信息安全管理体系认证机构和认证流程

ISO 27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证的规范。如果信息安全管理体系被认为符合规范要求,组织可以被发放正式的证书以确认之。因此,证书往往能够体现一家组织的信息安全管理水准,于是,很多国际型的组织便要求供应链也具有相应的证书,方可与之建立信息联系和业务合作。对此,昆明亭长朗然科技有限公司信息安全管理咨询专员董志军称:欧美的大型组织通常会要求供应商证明自己在信息安全管理方面尽职尽责,证书就是最好的证明。

认证机构
认证是由独立的,可信的认证机构进行的。它们在不同的国家有不同的叫法,包括‘注册机构’、‘评估和登记机关’、‘认证/注册中心’和‘登记司’等等。无论他们被如何称呼,他们都在做同样的事情,并接受同样的要求。

通常来讲,经认可的认证机构是一个已经证明完全符合任何国际和国家标准规定的认证机构。不过,董志军补充说:信息安全管理体系证书的含金量主要体现在国际认证机构所发放的。因为文化环境的因素,国际大牌认证机构的国内分支发放的大量证书变质严重、可信度低;本土的拷贝机构所发放的证书虽然在可信度方面同样为众人所不齿,但是由于其有官方背景,反而受到很多寻求庇护的组织的青睐。

认证流程

对于已经通过ISO 9000或任何其他管理体系标准认证的任何组织,该认证流程将会非常熟悉。认证机构将分两个阶段发起审核流程。第一阶段将进行文件的审查(可能包括也可能不包括预认证的访问),这将使审计人员进行首次实际的正式访问以便能:

  • 熟悉该组织机构;
  • 对文件进行审查;
  • 确保ISMS得到了足够的开发,已经能够接受正式的审计;
  • 获取足够的关于该组织的信息,以及认证的目的和范围,以便有效地准备他们的审计。

这次访问是通常时间比较短,取决于组织的规模,可能只需要一两天。在作出访问之前,一些组织将开展远程文件审查。

正式审计
正式的审计,通常被称为’初审’,将花上数天时间。审计过程包括测试组织的(信息安全管理体系ISMS)文档流程以和标准的要求进行比较,以确认该组织已制订出符合标准要求的文档体系,然后再测试组织对ISMS的实际遵从情况。

审计工作将遵循一个预先设定的计划。审计人员将与他们进行沟通,包括和组织中的哪些人以及用什么顺序与他们面谈。

审计报告

认证审核将使用负面报道(也就是说,它会找出不足之处,而不是光辉点),以评估ISMS确保该组织的程序和流程,该组织的实际活动和执行的记录符合ISO 27001的要求,并且给出申报的系统的范围。审计的结果将是:
*书面审计报告(通常可在审计完成时交付)
*不符合项纠正措施和意见
*商定的纠正措施和时限

不符合项可以是轻微的或严重的;轻微的不符合项将被作为主要的改进机会,严重的不符合项将意味着该组织并不会(在这个阶段)成功地获得认证。通常, 当一个严重的不符合项被发现出来时,审计人员会建议,审计过程暂停,以便该组织使用足够的时间解决这个严重问题之后再重新开始。

审计输出结果

访问的预期结果应当是组织的ISMS通过了ISO 27001的认证和证书的效果问题。该证书应得到适当的展示,组织应该开始准备应对它的第一次监督访问,它将在约6个月后进行。

任何轻微的不符合项应该得到解决,并由邮件告知,所有证书的发放将依赖在事前商定的时间表内的整改情况。

审计监督将在审计后进行,既要确保他们不会发展成为不符合项,也要作为该组织持续改进活动的一部分。 正式批准的认证标志可以被组织用来当作营销材料。

补充说明

通常来讲,专业的信息安全内审人员都会知道如何应对外部审计和测评机构。但是审计人员的检查项通常也会包括检查工作区域和走访工作人员,如果这些区域和人员对信息安全的普遍理解和操作实践有重大失误,则会严重影响审计结果。经常出现严重的不符合项来自员工的访谈,造成审计的失败和时间的浪费。为防范这种情况,董志军建议组织的安全负责人注意强化办公区域的安全实践,在提升工作区域人员安全意识的同时,教导工作人员们如何正确应对审计面谈,至少让他们在信息安全方面不要随意猜测、推断、说些不肯定的话甚至瞎扯。比如某些人对某些安全要求可能有自己不同的观点,但是却不符合普适的安全价值,如果在面谈时对审计人员不加遮掩地表达出来,再添油加醋地进行一番批判,那就会造成审计人员认为组织在针对人员的信息安全意识培训工作方面存在不足。

昆明亭长朗然科技有限公司创作了大量信息安全意识方面的教程资源,包括动画视频、电子课件和宣传图片。同时,我们也提供在线的信息安全意识学习平台,可让受众们快速地学习和接受通用的信息安全意识理念。欢迎有兴趣有客户或合作伙伴联系我们,在线体验我们的作品,并进行合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

ISO27000信息安全标准背景

不管从事哪个行业,哪项工作,了解行业标准不失为一项必修功课。即使泛泛地了解,在一个大的全景下,审视我们所从事的日常工作。当然,有的标准很概要,有的很细致,不同的标准对具体工作的指导作用不同,有的是强制性的,有的仅具参考。但是无论如何,了解它们,尤其是那些总括性的行业标准,对于从业人员开拓行业视野,都有莫大的帮助。信息安全行业是一个综合性的行业,传统上有管理和技术两类岗位可选,对于管理岗位来讲,信息安全管理体系标准是必须深入学习和了解的。

关于信息安全标准,昆明亭长朗然科技有限公司安全专员董志军说:如同所有标准一样,信息安全标准也经历了并且继续经历着一个历史和发展的过程,如下,我们简单地回顾一下过往,以便我们了解更多相关的历史背景。

信息安全标准,BS7799最初是在1999年4月份作为两个部分进行发布。

第一部分,《信息安全管理实施细则》,Code Of Practice for Information Security Management,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于 大、中、小组织。

第二部分,《信息安全管理体系规范》,Specification for Information Security Management Systems.,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。两部分标准的关联是第二部分的附件A中列出了所有的信息安全控制措施,以供组织考虑和加以选择。这些控管措施和标准的第一部分中的控管措施是一致的,并且第二部分要求用户到第一部分中寻找详细的关于实施和部署的指导意见。

由于BS7799第一部分开始被其它国家的标准化组织吸收和采用,并发布类似的标准。所以2000年12月,BS7799-1:1999《信息安全 管理实施细则》通过了国际标准化组织ISO/IEC的认可,正式成为国际标准——ISO/IEC17799:2000《信息技术—信息安全管理实施细 则》。2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了BS7799-2:2002《信息安全管理体系规范》。这次的重大修订包括:

  • 统一了标准两个部分章节的排序;
  • 引入并应用PDCA过程模式到标准中;
  • 添加了ISMS的持续改进;
  • 改进标准及附属章节,以便与其他管理标准协调一致,这些标准如ISO9001:2000以及ISO14001:1996

2005年6月,ISO组织对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。不少发达的国家如捷克、丹麦、荷兰、芬兰、法国、德国、冰岛、日本、韩国、挪威、葡萄牙和瑞典等等对这一标准进行了本地语言的翻译,中国也对此做了翻译。2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准 ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系—要求》。

ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。(Information Security Management System,简称ISMS)采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以 及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解 决方案。

ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。2007年4月ISO/IEC 17799:2005标准直接更改标准编号为ISO/IEC 27002。

当下,信息安全管理体系ISO 27000系列共包括10个标准,分别为:

  • ISO/IEC 27000:2009《信息安全管理体系基础和词汇》;
  • ISO/IEC 27001:2013《信息安全管理体系要求》;
  • ISO/IEC 27002:2013《信息安全管理实用规则》;
  • ISO/IEC 27003:2010《信息安全管理体系实施指南》;
  • ISO/IEC 27004:2009《信息安全管理测量》;
  • ISO/IEC 27005:2008《信息安全风险管理》;
  • ISO/IEC 27006:2007《认证机构要求》;
  • ISO/IEC 27007《信息安全管理体系审核指南》;
  • ISO/IEC 27008《控制审核员指南》;

可以确定的是,随着时代的进步,ISO/IEC 27000系列标准还将继续发展和演变下去,不过未来的所有变化,也不会有太大的偏离。万变不离其宗,对于大部分信息安全管理从业人员来讲,深入了解27001、27002、27003的精要,掌握其中的方法论,是可以享用一辈子知识财富。昆明亭长朗然科技有限公司帮助各类型的客户加强与工作人员们的信息安全沟通,这是信息安全管理体系标准的明文要求,也是所有建立信息安全管理体系的组织机构的基础工作,原因很简单,信息安全离不开人员。我们有大量的信息安全意识宣教内容,可以帮助工作人员在日常工作时了解安全威胁、掌握安全知识、付诸安全行为。欢迎有兴趣了解更多的信息安全从业人员联系我们,预览作品和洽谈采购合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898