從方法論的角度談ISO27001審核

2020-06-04 作者:优德体育w88网站 119

ISMS的提出是源于最佳實踐,在附錄A中給出的39個控制目標和133條控制措施,涉及信息安全的11個方面。得到了世界上絕大多數國家的認同。控制措施的選擇和實施是ISMS建設很重要的一部分。標準利用PDCA模型,通過風險管理等方法將附錄A中的133條控制措施串聯起來,形成一個有機的整體。

优德体育w88网站所謂方法論審核方式是指對整個ISMS的實施情況按照方法論的步驟進行審核。其實ISO27001正是提出了一個信息安全管理的方法論:發現問題(建立信息安全方針、目標和范圍),分解問題(風險評估),解決問題(風險處理、控制措施選擇實施),檢查問題(監視、測量和評審),改進問題(保持和改進)。將這些過程串起來,再加上證據維護(文件管理)和資源保障(管理職責)即構成完整的ISMS體系建立和管理過程。

將復雜的問題分解為小問題是解決問題的有效方式,采用風險評估是一個很有效的方法。大多數風險評估方法大同小異,標準也對風險評估的步驟和關鍵點給出了要求,關鍵是以下幾個方面:資產的統計是否充分,分類是否合理;威脅和脆弱點的識別是否遵照慣例,補充的威脅和脆弱點是否體現了組織的業務特點;風險評估的結果是否符合常識和業務風險特點。

對第三條內容的審核過程非常重要,將涉及到組織范圍內選擇實施的一百多條控制措施。在這些控制措施中,雖然不同的組織側重點也有所不同,但附錄A中包含的11個安全域對組織都很重要,對任何內容的刪減都必須有充足的理由。

控制措施分為兩類:預防類控制措施和糾正類控制措施。附錄A的133條控制措施中大多數為預防類控制措施,例如:人力資源安全、物理和環境安全通信和操作安全等。這些控制措施的充分性、適宜性和有效性是保障組織內部信息安全的基礎,是審核的關注點。還有一些是糾正類的控制措施,例如:信息安全事件管理和業務連續性管理。

業務連續性管理則是所有控制措施中涵蓋面最廣的一類控制措施,無論是預防類措施還是糾正類措施,其實都是為了保證組織的核心活動:業務。其他10個安全域的控制措施是業務連續性管理的基礎,有關業務連續性管理的控制措施一般是不能刪減的。

ISO27001的業務連續性管理為組織的業務連續性提供了一個很好的管理模型。它不同于簡單的應急預案,除了常規的審核點之外,還應關注以下幾個方面:業務連續性管理是否體現了組織的業務特點;與風險管理和業務影響分析的關聯。業務連續性計劃是否能夠保證業務的持續提供;恢復過程中的業務保持持續的方法。

在ISMS檢查過程中和信息安全事件管理過程中,總是會發現各類問題,包括流程需要改進;信息的安全技術的應用;新的威脅和脆弱性的出現;發生違規事件,控制措施未滿足目標等多個方面。針對這些問題,組織需要實施預防和糾正控制措施來保證體系的改進和完善。對這一方面的審核主要關注以下幾個方面:ISMS檢查過程中發現的問題是否都已經解決;未解決的問題是否制定了處理計劃或被組織接受,接受是否合理;針對潛在的問題是否有相應的預防措施。

ISMS是一個文件化的管理體系,因此,審核一個重點就是查看證據,即上述所有的審核都是基于文件和記錄等相關的證據進行的。另外,ISMS是組織管理體系中的一部分,體系的范圍和與其他管理的接口也是在審核之初就應該關注的內容。