ISO27001认证
热线:
Q Q:ISO27001的“方法论”审核方式
发布时间:2020-11-24 作者:广汇联合 来源:广汇联合
在ISO27001审核过程中,每个环节各有侧重点。
1.发现问题
任何组织的信息安全方针、目标和范围的建立都是以组织的业务目标和业务风险为基础的,业务是组织赖以生存的核心活动,因此任何管理体系的建设都是以业务为导向的。
2.分解问题
将复杂的问题分解为小问题是解决问题的有效方式,采用风险评估是一个很有效的方法。大多数风险评估方法大同小异,标准也对风险评估的步骤和关键点给出了要求,关键是以下几个方面:资产的统计是否充分,分类是否合理;威胁和脆弱点的识别是否遵照惯例,补充的威胁和脆弱点是否体现了组织的业务特点;风险评估的结果是否符合常识和业务风险特点。
3.解决问题
通过风险评估,问题分解为多个简单的问题。这些问题是否需要解决,如何解决取决于组织的业务特点和法律法规的要求。本阶段审核的重点包含以下几个方面。
(1)风险接受是否合理;
(2)适用性声明中对附录A的删减是否合理;
(3)选择的控制目标是否有适宜、充分和有效的控制措施;
(4)人力和物力保障是否到位。
对第三条内容的审核过程非常重要,将涉及到组织范围内选择实施的一百多条控制措施。在这些控制措施中,虽然不同的组织侧重点也有所不同,但附录A中包含的11个安全域对组织都很重要,对任何内容的删减都必须有充足的理由。
在标准的正文中至少有五个地方提到了ISMS的建设是基于业务风险,因此在ISMS的审核过程中,要充分了解和理解组织的业务,包括对控制措施的审核也要充分考虑组织的业务特点。
控制措施分为两类:预防类控制措施和纠正类控制措施。附录A的133条控制措施中大多数为预防类控制措施,例如:人力资源安全、物理和环境安全通信和操作安全等。这些控制措施的充分性、适宜性和有效性是保障组织内部信息安全的基础,是审核的关注点。还有一些是纠正类的控制措施,例如:信息安全事件管理和业务连续性管理。
其中信息安全事件管理是组织内信息安全的重点,对于使用中的信息没有绝对的安全,对安全事件的有效处理,可以将事件的影响降到最低。
业务连续性管理则是所有控制措施中涵盖面最广的一类控制措施,无论是预防类措施还是纠正类措施,其实都是为了保证组织的核心活动:业务。其他10个安全域的控制措施是业务连续性管理的基础,有关业务连续性管理的控制措施一般是不能删减的。
ISO27001的业务连续性管理为组织的业务连续性提供了一个很好的管理模型。它不同于简单的应急预案,除了常规的审核点之外,还应关注以下几个方面:业务连续性管理是否体现了组织的业务特点;与风险管理和业务影响分析的关联。业务连续性计划是否能够保证业务的持续提供;恢复过程中的业务保持持续的方法。
4.检查问题
监视、测量和评审是进行ISMS检查的主要方法。ISMS检查是体系运行的重要组成部分,就像每年参加体检是保持身体健康的方法一样,ISMS检查是保持ISMS健康发展的有效方法。
对这一方面的审核主要集中在以下几个方面:文件评审;内审和管理评审;控制措施有效性测量方法和策略记录;日常监视,包括监控、日志、网络及桌面监控等。
5.改进问题
在ISMS检查过程中和信息安全事件管理过程中,总是会发现各类问题,包括流程需要改进;信息的安全技术的应用;新的威胁和脆弱性的出现;发生违规事件,控制措施未满足目标等多个方面。针对这些问题,组织需要实施预防和纠正控制措施来保证体系的改进和完善。对这一方面的审核主要关注以下几个方面:ISMS检查过程中发现的问题是否都已经解决;未解决的问题是否制定了处理计划或被组织接受,接受是否合理;针对潜在的问题是否有相应的预防措施。
