從方法論的角度談ISO27001審核

發(fā)布時(shí)間：2020-08-05 作者：廣匯聯(lián)合來(lái)源：廣匯聯(lián)合

1.發(fā)現(xiàn)問(wèn)題

任何組織的信息安全方針、目標(biāo)和范圍的建立都是以組織的業(yè)務(wù)目標(biāo)和業(yè)務(wù)風(fēng)險(xiǎn)為基礎(chǔ)的，業(yè)務(wù)是組織賴以生存的核心活動(dòng)，因此任何管理體系的建設(shè)都是以業(yè)務(wù)為導(dǎo)向的。

2.分解問(wèn)題

將復(fù)雜的問(wèn)題分解為小問(wèn)題是解決問(wèn)題的有效方式，采用風(fēng)險(xiǎn)評(píng)估是一個(gè)很有效的方法。大多數(shù)風(fēng)險(xiǎn)評(píng)估方法大同小異，標(biāo)準(zhǔn)也對(duì)風(fēng)險(xiǎn)評(píng)估的步驟和關(guān)鍵點(diǎn)給出了要求，關(guān)鍵是以下幾個(gè)方面：資產(chǎn)的統(tǒng)計(jì)是否充分，分類是否合理；威脅和脆弱點(diǎn)的識(shí)別是否遵照慣例，補(bǔ)充的威脅和脆弱點(diǎn)是否體現(xiàn)了組織的業(yè)務(wù)特點(diǎn)；風(fēng)險(xiǎn)評(píng)估的結(jié)果是否符合常識(shí)和業(yè)務(wù)風(fēng)險(xiǎn)特點(diǎn)。

3.解決問(wèn)題

通過(guò)風(fēng)險(xiǎn)評(píng)估，問(wèn)題分解為多個(gè)簡(jiǎn)單的問(wèn)題。這些問(wèn)題是否需要解決，如何解決取決于組織的業(yè)務(wù)特點(diǎn)和法律法規(guī)的要求。本階段審核的重點(diǎn)包含以下幾個(gè)方面。

(1)風(fēng)險(xiǎn)接受是否合理；

(2)適用性聲明中對(duì)附錄A的刪減是否合理；

(3)選擇的控制目標(biāo)是否有適宜、充分和有效的控制措施；

(4)人力和物力保障是否到位。

在標(biāo)準(zhǔn)的正文中至少有五個(gè)地方提到了ISMS的建設(shè)是基于業(yè)務(wù)風(fēng)險(xiǎn)，因此，在ISMS的審核過(guò)程中，要充分了解和理解組織的業(yè)務(wù)，包括對(duì)控制措施的審核也要充分考慮組織的業(yè)務(wù)特點(diǎn)。

控制措施分為兩類：預(yù)防類控制措施和糾正類控制措施。控制措施的充分性、適宜性和有效性是保障組織內(nèi)部信息安全的基礎(chǔ)，是審核的關(guān)注點(diǎn)。還有一些是糾正類的控制措施，例如：信息安全事件管理和業(yè)務(wù)連續(xù)性管理。其中信息安全事件管理是組織內(nèi)信息安全的重點(diǎn)，對(duì)于使用中的信息沒有絕對(duì)的安全，對(duì)安全事件的有效處理，可以將事件的影響降到最低。業(yè)務(wù)連續(xù)性管理則是所有控制措施中涵蓋面最廣的一類控制措施，無(wú)論是預(yù)防類措施還是糾正類措施，其實(shí)都是為了保證組織的核心活動(dòng)：業(yè)務(wù)。其他10個(gè)安全域的控制措施是業(yè)務(wù)連續(xù)性管理的基礎(chǔ)，有關(guān)業(yè)務(wù)連續(xù)性管理的控制措施一般是不能刪減的。

ISO27001的業(yè)務(wù)連續(xù)性管理為組織的業(yè)務(wù)連續(xù)性提供了一個(gè)很好的管理模型。它不同于簡(jiǎn)單的應(yīng)急預(yù)案，除了常規(guī)的審核點(diǎn)之外，還應(yīng)關(guān)注以下幾個(gè)方面：業(yè)務(wù)連續(xù)性管理是否體現(xiàn)了組織的業(yè)務(wù)特點(diǎn)；與風(fēng)險(xiǎn)管理和業(yè)務(wù)影響分析的關(guān)聯(lián)。業(yè)務(wù)連續(xù)性計(jì)劃是否能夠保證業(yè)務(wù)的持續(xù)提供；恢復(fù)過(guò)程中的業(yè)務(wù)保持持續(xù)的方法。

4.檢查問(wèn)題

監(jiān)視、測(cè)量和評(píng)審是進(jìn)行ISMS檢查的主要方法。ISMS檢查是體系運(yùn)行的重要組成部分，就像每年參加體檢是保持身體健康的方法一樣，ISMS檢查是保持ISMS健康發(fā)展的有效方法。

對(duì)這一方面的審核主要集中在以下幾個(gè)方面：文件評(píng)審；內(nèi)審和管理評(píng)審；控制措施有效性測(cè)量方法和策略記錄；日常監(jiān)視，包括監(jiān)控、日志、網(wǎng)絡(luò)及桌面監(jiān)控等。

5.改進(jìn)問(wèn)題

在ISMS檢查過(guò)程中和信息安全事件管理過(guò)程中，總是會(huì)發(fā)現(xiàn)各類問(wèn)題，包括流程需要改進(jìn)；信息的安全技術(shù)的應(yīng)用；新的威脅和脆弱性的出現(xiàn)；發(fā)生違規(guī)事件，控制措施未滿足目標(biāo)等多個(gè)方面。針對(duì)這些問(wèn)題，組織需要實(shí)施預(yù)防和糾正控制措施來(lái)保證體系的改進(jìn)和完善。對(duì)這一方面的審核主要關(guān)注以下幾個(gè)方面：ISMS檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題是否都已經(jīng)解決；未解決的問(wèn)題是否制定了處理計(jì)劃或被組織接受，接受是否合理；針對(duì)潛在的問(wèn)題是否有相應(yīng)的預(yù)防措施。

ISMS是一個(gè)文件化的管理體系，因此，審核一個(gè)重點(diǎn)就是查看證據(jù)，即上述所有的審核都是基于文件和記錄等相關(guān)的證據(jù)進(jìn)行的。另外，ISMS是組織管理體系中的一部分，體系的范圍和與其他管理的接口也是在審核之初就應(yīng)該關(guān)注的內(nèi)容。

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

艳后荒淫史h版电影_久久精品视频免费看_又色又爽又黄又刺激免费_国产一区二区免费_日韩三级在线免费_av大帝天堂_成年人在线观看av_jizz日本老师水多_一级片一级片_国产a小视频

從方法論的角度談ISO27001審核

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。