欢迎光临南京凯新企业管理咨询有限公司官方网站!
400-700-4710 189-1297-7900
点击开启聊天
服务项目 Products
全国统一服务热线:
400-700-4710
地址:南京市江北新区浦珠北路126号澳林购物广场18F
传真:025-58834900
E-mail:njkx9000@163.com
产品名称:

从方法论的角度谈ISO27001审核

产品名称: 从方法论的角度谈ISO27001审核
上市日期: 2018-11-16
  • 产品概述
  • 产品规格
  • 详细参数

从方法论的角度谈ISO27001审核

本文将从方法论的视角对ISO27001审核应关注的内容进行探讨。

一、ISO27001标准简介

     该标准分为三个部分,分别为引言、正文和附录。

     引言介绍了建立信息安全管理体系(简称ISMS)的意义和原则;描述了体系建设过程中使用的过程方法和PDCA模型}说明了ISMS与其他管理体系的兼容性。

     正文的前三章介绍了标准的基本情况和涉及的术语和定义,从第四章开始,正式提出了ISMS的要求。标准也指出:“组织声称符合本标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。”

      标准有3个附录,其中附录A是规范性附录,根据标准要求,依据附录A的控制目标和控制措施的选择和实施是标准正文的一部分。

      ISO27001的审核依据主要集中在标准的第4到第8章和附录A。

二、ISMS审核内容

      标准的正文采用了PDCA模型,并将该模型应用于ISMS的所《认证技术》9011·05有过程中。

      ISMS的提出是源于最佳实践,在附录A中给出的39个控制目标和133条控制措施,涉及信息安全的11个方面。得到了世界上绝大多数国家的认同。控制措施的选择和实施是ISMS建设很重要的一部分。标准利用PDCA模型,通过风险管理等方法将附录A中的133条控制措施串联起来,形成一个有机的整体。

      在实际审核过程中,通常会采用系统的方式对组织建立的ISMS进行审查,不同的审核人员采用的审核方法都可能存在着一定差别,在这里仅介绍一下“方法论”的审核方式。

三、“方法论”审核的方式

      哲学上的方法论是指人们认识世界、改造世界的一般方法,是指人们用什么样的方式、方法来观察事物和处理问题。简单地说就是发现问题,分解问题,解决问题,检查问题,改进问题。

      所谓方法论”审核方式是指对整个ISMS的实施情况按照方法论的步骤进行审核。其实ISO27001正是提出了一个信息安全管理的方法论:发现问题(建立信息安全方针、目标和范围),分解问题(风险评估),解决问题(风险处理、控制措施选择实施),检查问题(监视、测量和评审),改进问题(保持和改进)。将这些过程串起来,再加上证据维护(文件管理)和资源保障(管理职责)即构成完整的ISMS体系建立和管理过程。

    在上述审核过程中,每个环节各有侧重点。

1.发现问题

      任何组织的信息安全方针、目标和范围的建立都是以组织的业务目标和业务风险为基础的,业务是组织赖以生存的核心活动,因此任何管理体系的建设都是以业务为导向的。

2.分解问题

      将复杂的问题分解为小问题是解决问题的有效方式,采用风险评估是一个很有效的方法。大多数风险评估方法大同小异,标准也对风险评估的步骤和关键点给出了要求,关键是以下几个方面:资产的统计是否充分,分类是否合理;威胁和脆弱点的识别是否遵照惯例,补充的威胁和脆弱点是否体现了组织的业务特点;风险评估的结果是否符合常识和业务风险特点。

3.解决问题

    通过风险评估,问题分解为多个简单的问题。这些问题是否需要解决,如何解决取决于组织的业务特点和法律法规的要求。本阶段审核的重点包含以下几个方面。

    (1)风险接受是否合理;

    (2)适用性声明中对附录A的删减是否合理;

    (3)选择的控制目标是否有适宜、充分和有效的控制措施;

    (4)人力和物力保障是否到位。

      对第三条内容的审核过程非常重要,将涉及到组织范围内选择实施的一百多条控制措施。在这些控制措施中,虽然不同的组织侧重点也有所不同,但附录A中包含的11个安全域对组织都很重要,对任何内容的删减都必须有充足的理由。

      在标准的正文中至少有五个地方提到了ISMS的建设是基于业务风险,因此,在ISMS的审核过程中,要充分了解和理解组织的业务,包括对控制措施的审核也要充分考虑组织的业务特点。

      控制措施分为两类:预防类控制措施和纠正类控制措施。附录A的133条控制措施中大多数为预防类控制措施,例如:人力资源安全、物理和环境安全通信和操作安全等。这些控制措施的充分性、适宜性和有效性是保障组织内部信息安全的基础,是审核的关注点。还有一些是纠正类的控制措施,例如:信息安全事件管理和业务连续性管理。

      其中信息安全事件管理是组织内信息安全的重点,对于使用中的信息没有绝对的安全,对安全事件的有效处理,可以将事件的影响降到最低。

      业务连续性管理则是所有控制措施中涵盖面最广的一类控制措施,无论是预防类措施还是纠正类措施,其实都是为了保证组织的核心活动:业务。其他10个安全域的控制措施是业务连续性管理的基础,有关业务连续性管理的控制措施一般是不能删减的。

      ISO27001的业务连续性管理为组织的业务连续性提供了一个很好的管理模型。它不同于简单的应急预案,除了常规的审核点之外,还应关注以下几个方面:业务连续性管理是否体现了组织的业务特点;与风险管理和业务影响分析的关联。业务连续性计划是否能够保证业务的持续提供;恢复过程中的业务保持持续的方法。

4.检查问题

      监视、测量和评审是进行ISMS检查的主要方法。ISMS检查是体系运行的重要组成部分,就像每年参加体检是保持身体健康的方法一样,ISMS检查是保持ISMS健康发展的有效方法。

      对这一方面的审核主要集中在以下几个方面:文件评审;内审和管理评审;控制措施有效性测量方法和策略记录;日常监视,包括监控、日志、网络及桌面监控等。

5.改进问题

     在ISMS检查过程中和信息安全事件管理过程中,总是会发现各类问题,包括流程需要改进;信息的安全技术的应用;新的威胁和脆弱性的出现;发生违规事件,控制措施未满足目标等多个方面。针对这些问题,组织需要实施预防和纠正控制措施来保证体系的改进和完善。对这一方面的审核主要关注以下几个方面:ISMS检查过程中发现的问题是否都已经解决;未解决的问题是否制定了处理计划或被组织接受,接受是否合理;针对潜在的问题是否有相应的预防措施。

四、小结

    ISMS是一个文件化的管理体系,因此,审核一个重点就是查看证据,即上述所有的审核都是基于文件和记录等相关的证据进行的。另外,ISMS是组织管理体系中的一部分,体系的范围和与其他管理的接口也是在审核之初就应该关注的内容。



Hot Products / 相关产品 More
2018 - 09 - 26
一、什么是CCC认证?所谓  3C认证,就是中国强制性产品认证制度,英文名称ChinaCompulsoryCertification,英文缩写CCC。3C认证的全称为”强制性产品认证制度”,它是各国政府为保护消费者人身安全和国家安全、加强产品质量管理、依照法律法规实施的一种产品合格评定制度。 二、CCC认证流程是什么?三、CCC认证的好处有哪些? 1. 强制性产品认证, 要求严把质量关,规范安全生产和规范市场行为;2. 3C认证制度的实施,无论是对于行业,还是消费者而言,都大有裨益。     1)有利于提升行业产品整体质量与档次,促进产业升级和产品出口增长。     2)广大的消费者将是实行3C认证的最大受益者。 四、CCC认证需要的材料有哪些?五、认证时间大概要多久?【...
2018 - 09 - 26
什么是CB认证?CB体系(电工产品合格测试与认证的IEC体系)是IECEE运作的-个国际体系,IECEE各成员国认证机构以IEC标准为基础对电工产品安全性能进行测试,其测试结果即CB测试报告和CB测试证书在IECEE各成员国得到相互认可的体系。目的是为了减少由于必须满足不同国家认证或批准准则而产生的国际贸易壁垒。IECEE 是国际电工委员会电工产品合格测试与认证组织的简称。 CB认证的优势绝大部分的电子电气产品进入各国时需要满足不同法规,在过去,要获得各国的产品安全认证是一个困难且耗费时间和金钱的过程。但现在依靠CB体系,制造商可以一次获得50多个国家的安全认证。在成功完成测试后,将为产品颁发一份CB检测证书和相应的CB检测报告。证书和报告加在一起就构成一个国际通行证,制造商用它可以申请任何参与CB体系国家或地区的***认证机构的全国认证,通常不再需要进行额外测试。 C...
2018 - 09 - 26
什么是API认证? API标准--API是美国石油学会(American Petroleum Institute)的英文缩写。API建于1919年,是美国第一家国家级的商业协会,也是全世界范围内最早、最成功的制定标准的商会之一,旨在联络石油工业的各个部门。API的一项重要任务,就是负责石油和天然气工业用设备的标准化工作,以确保该工业界所用设备的安全、可靠和互换性。 API 认证的好处 基于API标准制定过程,API规范Q2是由各类服务提供商和主要石油天然气公司共同制定,其源于行业,并服务于行业,确保满足行业的日常作业要求。    符合API规范Q2的服务提供商可以向行业证明其对服务策划,执行,评估,及有能力提供符合客户,法律要求的控制。服务策划必须包括关键指标,风险评估,应急预案与变更管理。    A...
2018 - 09 - 26
一、ASME背景介绍       ASME是American Society of Mechanical Engineers(美国机械工程师协会)的英文缩写。 美国机械工程师协会成立于  1880年,在世界各地建有分部,是一个有很大权威和影响的国际性学术组织。ASME主要从事发展机械工程及其有关领域的科学技术,鼓励基础研究,促进学术交流,发展与其他工程学、协会的合作,开展标准化活动,制定机械规范和标准。它拥有125000个成员,管理着全世界最大的技术出版署,主持每年30个技术会议,200个专业发展课程,并制订了许多工业和制造标准。  自成立以来,ASME领导了机械标准的发展,从最初的螺纹标准开始到现在已发展了超过600多个标准。1911年成立了锅炉机械指令委员会,在1914到1915年颁布了机械指令,以后该指令又与各个州及加拿大的法律相结合。ASME 已成为主要在技术、教育及调查领域内世界...

在线申请

  • *
  • *
  • *
  • *
联系我们
025-8443 4800
025-5883 4900
总部地址
南京市江北新区浦珠北路
126号澳林购物广场18F
邮编:330520
Copyright ©2018 - 2020 All rights researved by KAIXIN
犀牛云提供云计算服务