监控和评审信息安全管理体系

信息安全管理体系标准有一整个章节都是关于监控和评审的。关于监控和评审的重要性,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:标准强烈地反映出管理层积极参与信息安全管理体系的长期管理的需求,同时也要认识到,信息安全威胁环境的变化快于商业环境。下面我们将粗略地讨论三种类型的活动,即:监控,审计和评审。


监控
监控,也可称为监督,它的首要目的是尽快地检测出程序的错误和信息安全事件,以便能速度采取纠正行动。监测应是正式的、系统化的和广泛的。附录的安全类别监测中包含专门监控IT相关的活动,这些都与ISO 27001的此部分相关联。信息安全事故管理章节也是监控的核心部分,它提出,组织必须监测偏差和事件,响应它们并从中进行学习。


审计
审计,另一方面,是经过专门设计和规划,用以确保在SOA记录中的控制是有效的及正在使用中的,并确定不合格和改进的机会。
控制目标(符合安全政策和标准,以及技术合规检查)中有特别针对这一问题,强调要有计划地定期进行在流程和技术层面人合规检查。附录中提出审计工具的安全性要求。审计在ISO 27001的条文有更深入的要求,其中规定了如下两个重要方面:
1.审计程序“应该策划审计方案,考虑审计过程和区域的状况及重要性,以及上次审计的结果。”
2.“受审计区域的管理负责人应确保立即采取措施以消除发现的不符及其原因,跟踪活动包括所采取措施的验证及验证结果的报告。”
再次重复一篇,标准清晰的指出,组织各级管理在信息安全管理体系的有效实施、维护和改善方面扮演重要角色。这必需纳入到管理和监督工作的职责描述、劳动合同、文化导向和其他培训及绩效评价中。


评审
评审也作审查,对内部和外部审计政策、业绩报告、异常报告、风险评估报告和所有相关的政策和程序进行评审,以确保信息安全管理体系在不断变化的背景下继续有效。
这一阶段当然和附录以及ISO 27002的相关章节有密切的关联,具体关联如下:
1.信息安全策略的评审
2.信息安全的独立审查
3.第三方服务的监测和审查
4.监测本身就是一项控制目标
5.用户访问权限的审查
6.应用程序的正确处理,是监测程序的使用和数据处理的控制目标
7.从信息安全事故中学习
8.测试、维护和重新评估业务连续性计划
所有的这些控制都必须在ISMS第三阶段的开发和实施阶段得到解决。监控和评审报告活动的相关发现和输出要被转移至纠正和改进行动,并且,出于ISMS的目的,用以证明决策过程和实施这些决策的审计记录需要保存在ISMS的记录中。

后话
看到很多客户顺利地通过了ISMS审计,我们为客户通过大量的安全意识宣教活动,建立了企业信息安全文化,并不断改进和获得国际认证组织的认可,感到非常高兴。欢迎其他的潜在客户也积极联系我们,洽谈相关的ISO 27001人员培训。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

信息安全管理体系认证机构和认证流程

ISO 27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证的规范。如果信息安全管理体系被认为符合规范要求,组织可以被发放正式的证书以确认之。因此,证书往往能够体现一家组织的信息安全管理水准,于是,很多国际型的组织便要求供应链也具有相应的证书,方可与之建立信息联系和业务合作。对此,昆明亭长朗然科技有限公司信息安全管理咨询专员董志军称:欧美的大型组织通常会要求供应商证明自己在信息安全管理方面尽职尽责,证书就是最好的证明。

认证机构
认证是由独立的,可信的认证机构进行的。它们在不同的国家有不同的叫法,包括‘注册机构’、‘评估和登记机关’、‘认证/注册中心’和‘登记司’等等。无论他们被如何称呼,他们都在做同样的事情,并接受同样的要求。

通常来讲,经认可的认证机构是一个已经证明完全符合任何国际和国家标准规定的认证机构。不过,董志军补充说:信息安全管理体系证书的含金量主要体现在国际认证机构所发放的。因为文化环境的因素,国际大牌认证机构的国内分支发放的大量证书变质严重、可信度低;本土的拷贝机构所发放的证书虽然在可信度方面同样为众人所不齿,但是由于其有官方背景,反而受到很多寻求庇护的组织的青睐。

认证流程

对于已经通过ISO 9000或任何其他管理体系标准认证的任何组织,该认证流程将会非常熟悉。认证机构将分两个阶段发起审核流程。第一阶段将进行文件的审查(可能包括也可能不包括预认证的访问),这将使审计人员进行首次实际的正式访问以便能:

  • 熟悉该组织机构;
  • 对文件进行审查;
  • 确保ISMS得到了足够的开发,已经能够接受正式的审计;
  • 获取足够的关于该组织的信息,以及认证的目的和范围,以便有效地准备他们的审计。

这次访问是通常时间比较短,取决于组织的规模,可能只需要一两天。在作出访问之前,一些组织将开展远程文件审查。

正式审计
正式的审计,通常被称为’初审’,将花上数天时间。审计过程包括测试组织的(信息安全管理体系ISMS)文档流程以和标准的要求进行比较,以确认该组织已制订出符合标准要求的文档体系,然后再测试组织对ISMS的实际遵从情况。

审计工作将遵循一个预先设定的计划。审计人员将与他们进行沟通,包括和组织中的哪些人以及用什么顺序与他们面谈。

审计报告

认证审核将使用负面报道(也就是说,它会找出不足之处,而不是光辉点),以评估ISMS确保该组织的程序和流程,该组织的实际活动和执行的记录符合ISO 27001的要求,并且给出申报的系统的范围。审计的结果将是:
*书面审计报告(通常可在审计完成时交付)
*不符合项纠正措施和意见
*商定的纠正措施和时限

不符合项可以是轻微的或严重的;轻微的不符合项将被作为主要的改进机会,严重的不符合项将意味着该组织并不会(在这个阶段)成功地获得认证。通常, 当一个严重的不符合项被发现出来时,审计人员会建议,审计过程暂停,以便该组织使用足够的时间解决这个严重问题之后再重新开始。

审计输出结果

访问的预期结果应当是组织的ISMS通过了ISO 27001的认证和证书的效果问题。该证书应得到适当的展示,组织应该开始准备应对它的第一次监督访问,它将在约6个月后进行。

任何轻微的不符合项应该得到解决,并由邮件告知,所有证书的发放将依赖在事前商定的时间表内的整改情况。

审计监督将在审计后进行,既要确保他们不会发展成为不符合项,也要作为该组织持续改进活动的一部分。 正式批准的认证标志可以被组织用来当作营销材料。

补充说明

通常来讲,专业的信息安全内审人员都会知道如何应对外部审计和测评机构。但是审计人员的检查项通常也会包括检查工作区域和走访工作人员,如果这些区域和人员对信息安全的普遍理解和操作实践有重大失误,则会严重影响审计结果。经常出现严重的不符合项来自员工的访谈,造成审计的失败和时间的浪费。为防范这种情况,董志军建议组织的安全负责人注意强化办公区域的安全实践,在提升工作区域人员安全意识的同时,教导工作人员们如何正确应对审计面谈,至少让他们在信息安全方面不要随意猜测、推断、说些不肯定的话甚至瞎扯。比如某些人对某些安全要求可能有自己不同的观点,但是却不符合普适的安全价值,如果在面谈时对审计人员不加遮掩地表达出来,再添油加醋地进行一番批判,那就会造成审计人员认为组织在针对人员的信息安全意识培训工作方面存在不足。

昆明亭长朗然科技有限公司创作了大量信息安全意识方面的教程资源,包括动画视频、电子课件和宣传图片。同时,我们也提供在线的信息安全意识学习平台,可让受众们快速地学习和接受通用的信息安全意识理念。欢迎有兴趣有客户或合作伙伴联系我们,在线体验我们的作品,并进行合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898