从方法论的角度谈ISO27001审核

时间:2018-10-31 15:57:33来源:智天下顾问点击:977

一、ISO27001标准简介

    该标准分为三个部分,分别为引言、正文和附录。

    引言介绍了建立信息安全管理体系(简称ISMS)的意义和原则;描述了体系建设过程中使用的过程方法和PDCA模型}说明了ISMS与其他管理体系的兼容性。

    正文的前三章介绍了标准的基本情况和涉及的术语和定义,从第四章开始,正式提出了ISMS的要求。标准也指出:“组织声称符合本标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。”

    标准有3个附录,其中附录A是规范性附录,根据标准要求,依据附录A的控制目标和控制措施的选择和实施是标准正文的一部分。

    ISO27001的审核依据主要集中在标准的第4到第8章和附录A

二、ISMS审核内容

    标准的正文采用了PDCA模型,并将该模型应用于ISMS的所《认证技术》9011·05有过程中。

    ISMS的提出是源于最佳实践,在附录A中给出的39个控制目标和133条控制措施,涉及信息安全的11个方面。得到了世界上绝大多数国家的认同。控制措施的选择和实施是ISMS建设很重要的一部分。标准利用PDCA模型,通过风险管理等方法将附录A中的133条控制措施串联起来,形成一个有机的整体。

    在实际审核过程中,通常会采用系统的方式对组织建立的ISMS进行审查,不同的审核人员采用的审核方法都可能存在着一定差别,在这里仅介绍一下“方法论”的审核方式。

三、“方法论”审核的方式

    哲学上的方法论是指人们认识世界、改造世界的一般方法,是指人们用什么样的方式、方法来观察事物和处理问题。简单地说就是发现问题,分解问题,解决问题,检查问题,改进问题。

    所谓方法论”审核方式是指对整个ISMS的实施情况按照方法论的步骤进行审核。其实ISO27001正是提出了一个信息安全管理的方法论:发现问题(建立信息安全方针、目标和范围),分解问题(风险评估),解决问题(风险处理、控制措施选择实施),检查问题(监视、测量和评审),改进问题(保持和改进)。将这些过程串起来,再加上证据维护(文件管理)和资源保障(管理职责)即构成完整的ISMS体系建立和管理过程。

    在上述审核过程中,每个环节各有侧重点。

1.发现问题

    任何组织的信息安全方针、目标和范围的建立都是以组织的业务目标和业务风险为基础的,业务是组织赖以生存的核心活动,因此任何管理体系的建设都是以业务为导向的。

2.分解问题

    将复杂的问题分解为小问题是解决问题的有效方式,采用风险评估是一个很有效的方法。大多数风险评估方法大同小异,标准也对风险评估的步骤和关键点给出了要求,关键是以下几个方面:资产的统计是否充分,分类是否合理;威胁和脆弱点的识别是否遵照惯例,补充的威胁和脆弱点是否体现了组织的业务特点;风险评估的结果是否符合常识和业务风险特点。

3.解决问题

    通过风险评估,问题分解为多个简单的问题。这些问题是否需要解决,如何解决取决于组织的业务特点和法律法规的要求。本阶段审核的重点包含以下几个方面。

    (1)风险接受是否合理;

    (2)适用性声明中对附录A的删减是否合理;

    (3)选择的控制目标是否有适宜、充分和有效的控制措施;

    (4)人力和物力保障是否到位。

    对第三条内容的审核过程非常重要,将涉及到组织范围内选择实施的一百多条控制措施。在这些控制措施中,虽然不同的组织侧重点也有所不同,但附录A中包含的11个安全域对组织都很重要,对任何内容的删减都必须有充足的理由。

    在标准的正文中至少有五个地方提到了ISMS的建设是基于业务风险,因此,在ISMS的审核过程中,要充分了解和理解组织的业务,包括对控制措施的审核也要充分考虑组织的业务特点。

    控制措施分为两类:预防类控制措施和纠正类控制措施。附录A133条控制措施中大多数为预防类控制措施,例如:人力资源安全、物理和环境安全通信和操作安全等。这些控制措施的充分性、适宜性和有效性是保障组织内部信息安全的基础,是审核的关注点。还有一些是纠正类的控制措施,例如:信息安全事件管理和业务连续性管理。

    其中信息安全事件管理是组织内信息安全的重点,对于使用中的信息没有绝对的安全,对安全事件的有效处理,可以将事件的影响降到最低。

延伸阅读

热门标签: 行业新闻