從方法論的角度談ISO27001審核

發布時間：2020-08-05 作者：廣匯聯合來源：廣匯聯合

1.發現問題

任何組織的信息安全方針、目標和范圍的建立都是以組織的業務目標和業務風險為基礎的，業務是組織賴以生存的核心活動，因此任何管理體系的建設都是以業務為導向的。

2.分解問題

將復雜的問題分解為小問題是解決問題的有效方式，采用風險評估是一個很有效的方法。大多數風險評估方法大同小異，標準也對風險評估的步驟和關鍵點給出了要求，關鍵是以下幾個方面：資產的統計是否充分，分類是否合理；威脅和脆弱點的識別是否遵照慣例，補充的威脅和脆弱點是否體現了組織的業務特點；風險評估的結果是否符合常識和業務風險特點。

3.解決問題

通過風險評估，問題分解為多個簡單的問題。這些問題是否需要解決，如何解決取決于組織的業務特點和法律法規的要求。本階段審核的重點包含以下幾個方面。

(1)風險接受是否合理；

(2)適用性聲明中對附錄A的刪減是否合理；

(3)選擇的控制目標是否有適宜、充分和有效的控制措施；

(4)人力和物力保障是否到位。

在標準的正文中至少有五個地方提到了ISMS的建設是基于業務風險，因此，在ISMS的審核過程中，要充分了解和理解組織的業務，包括對控制措施的審核也要充分考慮組織的業務特點。

控制措施分為兩類：預防類控制措施和糾正類控制措施。控制措施的充分性、適宜性和有效性是保障組織內部信息安全的基礎，是審核的關注點。還有一些是糾正類的控制措施，例如：信息安全事件管理和業務連續性管理。其中信息安全事件管理是組織內信息安全的重點，對于使用中的信息沒有絕對的安全，對安全事件的有效處理，可以將事件的影響降到最低。業務連續性管理則是所有控制措施中涵蓋面最廣的一類控制措施，無論是預防類措施還是糾正類措施，其實都是為了保證組織的核心活動：業務。其他10個安全域的控制措施是業務連續性管理的基礎，有關業務連續性管理的控制措施一般是不能刪減的。

ISO27001的業務連續性管理為組織的業務連續性提供了一個很好的管理模型。它不同于簡單的應急預案，除了常規的審核點之外，還應關注以下幾個方面：業務連續性管理是否體現了組織的業務特點；與風險管理和業務影響分析的關聯。業務連續性計劃是否能夠保證業務的持續提供；恢復過程中的業務保持持續的方法。

4.檢查問題

監視、測量和評審是進行ISMS檢查的主要方法。ISMS檢查是體系運行的重要組成部分，就像每年參加體檢是保持身體健康的方法一樣，ISMS檢查是保持ISMS健康發展的有效方法。

對這一方面的審核主要集中在以下幾個方面：文件評審；內審和管理評審；控制措施有效性測量方法和策略記錄；日常監視，包括監控、日志、網絡及桌面監控等。

5.改進問題

在ISMS檢查過程中和信息安全事件管理過程中，總是會發現各類問題，包括流程需要改進；信息的安全技術的應用；新的威脅和脆弱性的出現；發生違規事件，控制措施未滿足目標等多個方面。針對這些問題，組織需要實施預防和糾正控制措施來保證體系的改進和完善。對這一方面的審核主要關注以下幾個方面：ISMS檢查過程中發現的問題是否都已經解決；未解決的問題是否制定了處理計劃或被組織接受，接受是否合理；針對潛在的問題是否有相應的預防措施。

ISMS是一個文件化的管理體系，因此，審核一個重點就是查看證據，即上述所有的審核都是基于文件和記錄等相關的證據進行的。另外，ISMS是組織管理體系中的一部分，體系的范圍和與其他管理的接口也是在審核之初就應該關注的內容。

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網絡搜索廣匯聯合，快人一步，成就管理者風范。

從方法論的角度談ISO27001審核

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網絡搜索廣匯聯合，快人一步，成就管理者風范。

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網絡搜索廣匯聯合，快人一步，成就管理者風范。