從方法論的角度談ISO27001審核

時(shí)間：2020-09-04作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：220

本文將從方法論的視角對ISO27001審核應(yīng)關(guān)注的內(nèi)容進(jìn)行探討。

一、ISO27001標(biāo)準(zhǔn)簡介

     該標(biāo)準(zhǔn)分為三個(gè)部分，分別為引言、正文和附錄。

     引言介紹了建立信息安全管理體系(簡稱ISMS)的意義和原則；描述了體系建設(shè)過程中使用的過程方法和PDCA模型}說明了ISMS與其他管理體系的兼容性。

     正文的**章介紹了標(biāo)準(zhǔn)的基本情況和涉及的術(shù)語和定義，從*四章開始，正式提出了ISMS的要求。標(biāo)準(zhǔn)也指出：“組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對于*4章、*5章、*6章、*7章和*8章的要求不能刪減?！?

      標(biāo)準(zhǔn)有3個(gè)附錄，其中附錄A是規(guī)范性附錄，根據(jù)標(biāo)準(zhǔn)要求，依據(jù)附錄A的控制目標(biāo)和控制措施的選擇和實(shí)施是標(biāo)準(zhǔn)正文的一部分。

      ISO27001的審核依據(jù)主要集中在標(biāo)準(zhǔn)的*4到*8章和附錄A。

二、ISMS審核內(nèi)容

      標(biāo)準(zhǔn)的正文采用了PDCA模型，并將該模型應(yīng)用于ISMS的所《認(rèn)證技術(shù)》9011·05有過程中。

      ISMS的提出是源于較佳實(shí)踐，在附錄A中給出的39個(gè)控制目標(biāo)和133條控制措施，涉及信息安全的11個(gè)方面。得到了世界上絕大多數(shù)國家的認(rèn)同?？刂拼胧┑倪x擇和實(shí)施是ISMS建設(shè)很重要的一部分。標(biāo)準(zhǔn)利用PDCA模型，通過風(fēng)險(xiǎn)管理等方法將附錄A中的133條控制措施串聯(lián)起來，形成一個(gè)**的整體。

      在實(shí)際審核過程中，通常會采用系統(tǒng)的方式對組織建立的ISMS進(jìn)行審查，不同的審核人員采用的審核方法都可能存在著一定差別，在這里僅介紹一下“方法論”的審核方式。

三、“方法論”審核的方式

      哲學(xué)上的方法論是指人們認(rèn)識世界、改造世界的一般方法，是指人們用什么樣的方式、方法來觀察事物和處理問題。簡單地說就是發(fā)現(xiàn)問題，分解問題，解決問題，檢查問題，改進(jìn)問題。

      所謂方法論”審核方式是指對整個(gè)ISMS的實(shí)施情況按照方法論的步驟進(jìn)行審核。其實(shí)ISO27001正是提出了一個(gè)信息安全管理的方法論：發(fā)現(xiàn)問題(建立信息安全方針、目標(biāo)和范圍)，分解問題(風(fēng)險(xiǎn)評估)，解決問題(風(fēng)險(xiǎn)處理、控制措施選擇實(shí)施)，檢查問題(監(jiān)視、測量和評審)，改進(jìn)問題(保持和改進(jìn))。將這些過程串起來，再加上證據(jù)維護(hù)(文件管理)和資源**(管理職責(zé))即構(gòu)成完整的ISMS體系建立和管理過程。

    在上述審核過程中，每個(gè)環(huán)節(jié)各有側(cè)重點(diǎn)。

1．發(fā)現(xiàn)問題

      任何組織的信息安全方針、目標(biāo)和范圍的建立都是以組織的業(yè)務(wù)目標(biāo)和業(yè)務(wù)風(fēng)險(xiǎn)為基礎(chǔ)的，業(yè)務(wù)是組織賴以生存的**活動，因此任何管理體系的建設(shè)都是以業(yè)務(wù)為導(dǎo)向的。

2．分解問題

      將復(fù)雜的問題分解為小問題是解決問題的有效方式，采用風(fēng)險(xiǎn)評估是一個(gè)很有效的方法。大多數(shù)風(fēng)險(xiǎn)評估方法大同小異，標(biāo)準(zhǔn)也對風(fēng)險(xiǎn)評估的步驟和關(guān)鍵點(diǎn)給出了要求，關(guān)鍵是以下幾個(gè)方面：資產(chǎn)的統(tǒng)計(jì)是否充分，分類是否合理；威脅和脆弱點(diǎn)的識別是否遵照慣例，補(bǔ)充的威脅和脆弱點(diǎn)是否體現(xiàn)了組織的業(yè)務(wù)特點(diǎn)；風(fēng)險(xiǎn)評估的結(jié)果是否符合常識和業(yè)務(wù)風(fēng)險(xiǎn)特點(diǎn)。

3．解決問題

    通過風(fēng)險(xiǎn)評估，問題分解為多個(gè)簡單的問題。這些問題是否需要解決，如何解決取決于組織的業(yè)務(wù)特點(diǎn)和法律法規(guī)的要求。本階段審核的重點(diǎn)包含以下幾個(gè)方面。

    (1)風(fēng)險(xiǎn)接受是否合理；

    (2)適用性聲明中對附錄A的刪減是否合理；

    (3)選擇的控制目標(biāo)是否有適宜、充分和有效的控制措施；

    (4)人力和物力**是否到位。

      對*三條內(nèi)容的審核過程非常重要，將涉及到組織范圍內(nèi)選擇實(shí)施的一百多條控制措施。在這些控制措施中，雖然不同的組織側(cè)重點(diǎn)也有所不同，但附錄A中包含的11個(gè)安全域?qū)M織都很重要，對任何內(nèi)容的刪減都必須有充足的理由。

      在標(biāo)準(zhǔn)的正文中至少有五個(gè)地方提到了ISMS的建設(shè)是基于業(yè)務(wù)風(fēng)險(xiǎn)，因此，在ISMS的審核過程中，要充分了解和理解組織的業(yè)務(wù)，包括對控制措施的審核也要充分考慮組織的業(yè)務(wù)特點(diǎn)。

      控制措施分為兩類：預(yù)防類控制措施和糾正類控制措施。附錄A的133條控制措施*多數(shù)為預(yù)防類控制措施，例如：人力資源安全、物理和環(huán)境安全通信和操作安全等。這些控制措施的充分性、適宜性和有效性是**組織內(nèi)部信息安全的基礎(chǔ)，是審核的關(guān)注點(diǎn)。還有一些是糾正類的控制措施，例如：信息安全事件管理和業(yè)務(wù)連續(xù)性管理。

      其中信息安全事件管理是組織內(nèi)信息安全的重點(diǎn)，對于使用中的信息沒有**的安全，對安全事件的有效處理，可以將事件的影響降到較低。

      業(yè)務(wù)連續(xù)性管理則是所有控制措施中涵蓋面較廣的一類控制措施，無論是預(yù)防類措施還是糾正類措施，其實(shí)都是為了保證組織的**活動：業(yè)務(wù)。其他10個(gè)安全域的控制措施是業(yè)務(wù)連續(xù)性管理的基礎(chǔ)，有關(guān)業(yè)務(wù)連續(xù)性管理的控制措施一般是不能刪減的。

      ISO27001的業(yè)務(wù)連續(xù)性管理為組織的業(yè)務(wù)連續(xù)性提供了一個(gè)很好的管理模型。它不同于簡單的應(yīng)急預(yù)案，除了常規(guī)的審核點(diǎn)之外，還應(yīng)關(guān)注以下幾個(gè)方面：業(yè)務(wù)連續(xù)性管理是否體現(xiàn)了組織的業(yè)務(wù)特點(diǎn)；與風(fēng)險(xiǎn)管理和業(yè)務(wù)影響分析的關(guān)聯(lián)。業(yè)務(wù)連續(xù)性計(jì)劃是否能夠保證業(yè)務(wù)的持續(xù)提供；恢復(fù)過程中的業(yè)務(wù)保持持續(xù)的方法。

4．檢查問題

      監(jiān)視、測量和評審是進(jìn)行ISMS檢查的主要方法。ISMS檢查是體系運(yùn)行的重要組成部分，就像每年參加體檢是保持身體健康的方法一樣，ISMS檢查是保持ISMS健康發(fā)展的有效方法。

      對這一方面的審核主要集中在以下幾個(gè)方面：文件評審；內(nèi)審和管理評審；控制措施有效性測量方法和策略記錄；日常監(jiān)視，包括監(jiān)控、日志、網(wǎng)絡(luò)及桌面監(jiān)控等。

5．改進(jìn)問題

     在ISMS檢查過程中和信息安全事件管理過程中，總是會發(fā)現(xiàn)各類問題，包括流程需要改進(jìn)；信息的安全技術(shù)的應(yīng)用；新的威脅和脆弱性的出現(xiàn)；發(fā)生違規(guī)事件，控制措施未滿足目標(biāo)等多個(gè)方面。針對這些問題，組織需要實(shí)施預(yù)防和糾正控制措施來保證體系的改進(jìn)和完善。對這一方面的審核主要關(guān)注以下幾個(gè)方面：ISMS檢查過程中發(fā)現(xiàn)的問題是否都已經(jīng)解決；未解決的問題是否制定了處理計(jì)劃或被組織接受，接受是否合理；針對潛在的問題是否有相應(yīng)的預(yù)防措施。

四、小結(jié)

    ISMS是一個(gè)文件化的管理體系，因此，審核一個(gè)重點(diǎn)就是查看證據(jù)，即上述所有的審核都是基于文件和記錄等相關(guān)的證據(jù)進(jìn)行的。另外，ISMS是組織管理體系中的一部分，體系的范圍和與其他管理的接口也是在審核之初就應(yīng)該關(guān)注的內(nèi)容。

如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• 信息安全體系認(rèn)證-ISO27001

  ISO27001體系認(rèn)證，對于眾多信息服務(wù)提供商來說，意義并不僅**于信息服務(wù)符合規(guī)程和提高服務(wù)質(zhì)量。信息安全管理體系認(rèn)證作為檢驗(yàn)一個(gè)企業(yè)在信息安全方面的一個(gè)標(biāo)準(zhǔn)，是能夠幫助公司形成一個(gè)約束員工、規(guī)范信息交流活動、推動公司業(yè)務(wù)發(fā)展越具系統(tǒng)化和管理化。 任何一家企業(yè)都是離不開體系認(rèn)證的，就如ISO27001就是其一，特別是ISO20000信息技術(shù)管理體系作為世界上**部針對信息技術(shù)服務(wù)管理領(lǐng)域的國

• 詳細(xì)了解ISO27001信息安全管理體系！

  “信息”作為一種商業(yè)資產(chǎn)，其重要性也是與日俱增。信息安全，按照**標(biāo)準(zhǔn)化組織提出的ISO27001中的概念，需要保證信息的“保密性”、“完整性”和“可用性”。 時(shí)至今日，“信息”作為一種商業(yè)資產(chǎn)，其所擁有的**對于一個(gè)組織而言毋庸置疑，重要性也是與日俱增。通俗地講，就是要保護(hù)信息免受來自各方面的威脅，從而確保一個(gè)組織或機(jī)構(gòu)可持續(xù)發(fā)展。 如何快速了解ISO27001信息安全管理體系認(rèn)證，下面一起來學(xué)

• 建立ISO27001信息安全管理體系的意義

  建立ISO27001信息安全管理體系的意義 (1)建立貫穿整個(gè)供應(yīng)鏈的信息安全系統(tǒng)，較大限度減少企業(yè)危機(jī)； (2)促使管理層堅(jiān)持貫徹信息安全**體系； (3)對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢； (4)在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到較低程度； (5)時(shí)間與資源的利用較大化； (6)使組織的生意伙伴和客戶對組織充滿信心； (7)建立一套完整的信息安全管理體系，在

• 漏洞管理方法--ISO27001及ISO27002

  您一定遇到過，系統(tǒng)正常運(yùn)行得好好地突然無緣無故變得很慢或近乎停止運(yùn)行。IT人員奮戰(zhàn)數(shù)小時(shí)使所有系統(tǒng)恢復(fù)在線正常運(yùn)行。最后IT人員發(fā)現(xiàn)事件的根本原因在于信息系統(tǒng)中存在缺陷。該缺陷可能會被蓄意或無意地利用，導(dǎo)致系統(tǒng)故障。 這種情況再平常不過了，有時(shí)候會導(dǎo)致較嚴(yán)重的后果：數(shù)據(jù)丟失或被竊取，且造成運(yùn)營損失，中斷業(yè)務(wù)。那如何處理以上情況呢？且看下文解說： 漏洞是什么及漏洞如何產(chǎn)生的？ ISO 27000概述