從方法論的角度談ISO27001審核
發(fā)布時間:2020-05-27 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
本文將從方法論的視角對ISO27001審核應(yīng)關(guān)注的內(nèi)容進行探討。
一、ISO27001標(biāo)準(zhǔn)簡介
該標(biāo)準(zhǔn)分為三個部分,分別為引言、正文和附錄。
引言介紹了建立信息安全管理體系(簡稱ISMS)的意義和原則;描述了體系建設(shè)過程中使用的過程方法和PDCA模型}說明了ISMS與其他管理體系的兼容性。
正文的前三章介紹了標(biāo)準(zhǔn)的基本情況和涉及的術(shù)語和定義,從第四章開始,正式提出了ISMS的要求。標(biāo)準(zhǔn)也指出:“組織聲稱符合本標(biāo)準(zhǔn)時,對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。”
標(biāo)準(zhǔn)有3個附錄,其中附錄A是規(guī)范性附錄,根據(jù)標(biāo)準(zhǔn)要求,依據(jù)附錄A的控制目標(biāo)和控制措施的選擇和實施是標(biāo)準(zhǔn)正文的一部分。
ISO27001的審核依據(jù)主要集中在標(biāo)準(zhǔn)的第4到第8章和附錄A。
二、ISMS審核內(nèi)容
標(biāo)準(zhǔn)的正文采用了PDCA模型,并將該模型應(yīng)用于ISMS的所《認證技術(shù)》9011·05有過程中。
ISMS的提出是源于最佳實踐,在附錄A中給出的39個控制目標(biāo)和133條控制措施,涉及信息安全的11個方面。得到了世界上絕大多數(shù)國家的認同??刂拼胧┑倪x擇和實施是ISMS建設(shè)很重要的一部分。標(biāo)準(zhǔn)利用PDCA模型,通過風(fēng)險管理等方法將附錄A中的133條控制措施串聯(lián)起來,形成一個有機的整體。
在實際審核過程中,通常會采用系統(tǒng)的方式對組織建立的ISMS進行審查,不同的審核人員采用的審核方法都可能存在著一定差別,在這里僅介紹一下“方法論”的審核方式。
三、“方法論”審核的方式
哲學(xué)上的方法論是指人們認識世界、改造世界的一般方法,是指人們用什么樣的方式、方法來觀察事物和處理問題。簡單地說就是發(fā)現(xiàn)問題,分解問題,解決問題,檢查問題,改進問題。
所謂方法論”審核方式是指對整個ISMS的實施情況按照方法論的步驟進行審核。其實ISO27001正是提出了一個信息安全管理的方法論:發(fā)現(xiàn)問題(建立信息安全方針、目標(biāo)和范圍),分解問題(風(fēng)險評估),解決問題(風(fēng)險處理、控制措施選擇實施),檢查問題(監(jiān)視、測量和評審),改進問題(保持和改進)。將這些過程串起來,再加上證據(jù)維護(文件管理)和資源保障(管理職責(zé))即構(gòu)成完整的ISMS體系建立和管理過程。
在上述審核過程中,每個環(huán)節(jié)各有側(cè)重點。
1.發(fā)現(xiàn)問題
任何組織的信息安全方針、目標(biāo)和范圍的建立都是以組織的業(yè)務(wù)目標(biāo)和業(yè)務(wù)風(fēng)險為基礎(chǔ)的,業(yè)務(wù)是組織賴以生存的核心活動,因此任何管理體系的建設(shè)都是以業(yè)務(wù)為導(dǎo)向的。
2.分解問題
將復(fù)雜的問題分解為小問題是解決問題的有效方式,采用風(fēng)險評估是一個很有效的方法。大多數(shù)風(fēng)險評估方法大同小異,標(biāo)準(zhǔn)也對風(fēng)險評估的步驟和關(guān)鍵點給出了要求,關(guān)鍵是以下幾個方面:資產(chǎn)的統(tǒng)計是否充分,分類是否合理;威脅和脆弱點的識別是否遵照慣例,補充的威脅和脆弱點是否體現(xiàn)了組織的業(yè)務(wù)特點;風(fēng)險評估的結(jié)果是否符合常識和業(yè)務(wù)風(fēng)險特點。
3.解決問題
通過風(fēng)險評估,問題分解為多個簡單的問題。這些問題是否需要解決,如何解決取決于組織的業(yè)務(wù)特點和法律法規(guī)的要求。本階段審核的重點包含以下幾個方面。
(1)風(fēng)險接受是否合理;
(2)適用性聲明中對附錄A的刪減是否合理;
(3)選擇的控制目標(biāo)是否有適宜、充分和有效的控制措施;
(4)人力和物力保障是否到位。
對第三條內(nèi)容的審核過程非常重要,將涉及到組織范圍內(nèi)選擇實施的一百多條控制措施。在這些控制措施中,雖然不同的組織側(cè)重點也有所不同,但附錄A中包含的11個安全域?qū)M織都很重要,對任何內(nèi)容的刪減都必須有充足的理由。
在標(biāo)準(zhǔn)的正文中至少有五個地方提到了ISMS的建設(shè)是基于業(yè)務(wù)風(fēng)險,因此,在ISMS的審核過程中,要充分了解和理解組織的業(yè)務(wù),包括對控制措施的審核也要充分考慮組織的業(yè)務(wù)特點。
控制措施分為兩類:預(yù)防類控制措施和糾正類控制措施。附錄A的133條控制措施中大多數(shù)為預(yù)防類控制措施,例如:人力資源安全、物理和環(huán)境安全通信和操作安全等。這些控制措施的充分性、適宜性和有效性是保障組織內(nèi)部信息安全的基礎(chǔ),是審核的關(guān)注點。還有一些是糾正類的控制措施,例如:信息安全事件管理和業(yè)務(wù)連續(xù)性管理。
其中信息安全事件管理是組織內(nèi)信息安全的重點,對于使用中的信息沒有絕對的安全,對安全事件的有效處理,可以將事件的影響降到最低。
業(yè)務(wù)連續(xù)性管理則是所有控制措施中涵蓋面最廣的一類控制措施,無論是預(yù)防類措施還是糾正類措施,其實都是為了保證組織的核心活動:業(yè)務(wù)。其他10個安全域的控制措施是業(yè)務(wù)連續(xù)性管理的基礎(chǔ),有關(guān)業(yè)務(wù)連續(xù)性管理的控制措施一般是不能刪減的。
ISO27001的業(yè)務(wù)連續(xù)性管理為組織的業(yè)務(wù)連續(xù)性提供了一個很好的管理模型。它不同于簡單的應(yīng)急預(yù)案,除了常規(guī)的審核點之外,還應(yīng)關(guān)注以下幾個方面:業(yè)務(wù)連續(xù)性管理是否體現(xiàn)了組織的業(yè)務(wù)特點;與風(fēng)險管理和業(yè)務(wù)影響分析的關(guān)聯(lián)。業(yè)務(wù)連續(xù)性計劃是否能夠保證業(yè)務(wù)的持續(xù)提供;恢復(fù)過程中的業(yè)務(wù)保持持續(xù)的方法。
4.檢查問題
監(jiān)視、測量和評審是進行ISMS檢查的主要方法。ISMS檢查是體系運行的重要組成部分,就像每年參加體檢是保持身體健康的方法一樣,ISMS檢查是保持ISMS健康發(fā)展的有效方法。
對這一方面的審核主要集中在以下幾個方面:文件評審;內(nèi)審和管理評審;控制措施有效性測量方法和策略記錄;日常監(jiān)視,包括監(jiān)控、日志、網(wǎng)絡(luò)及桌面監(jiān)控等。
5.改進問題
在ISMS檢查過程中和信息安全事件管理過程中,總是會發(fā)現(xiàn)各類問題,包括流程需要改進;信息的安全技術(shù)的應(yīng)用;新的威脅和脆弱性的出現(xiàn);發(fā)生違規(guī)事件,控制措施未滿足目標(biāo)等多個方面。針對這些問題,組織需要實施預(yù)防和糾正控制措施來保證體系的改進和完善。對這一方面的審核主要關(guān)注以下幾個方面:ISMS檢查過程中發(fā)現(xiàn)的問題是否都已經(jīng)解決;未解決的問題是否制定了處理計劃或被組織接受,接受是否合理;針對潛在的問題是否有相應(yīng)的預(yù)防措施。
四、小結(jié)
ISMS是一個文件化的管理體系,因此,審核一個重點就是查看證據(jù),即上述所有的審核都是基于文件和記錄等相關(guān)的證據(jù)進行的。另外,ISMS是組織管理體系中的一部分,體系的范圍和與其他管理的接口也是在審核之初就應(yīng)該關(guān)注的內(nèi)容。