信息安全管理体系认证机构和认证流程

ISO 27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证的规范。如果信息安全管理体系被认为符合规范要求,组织可以被发放正式的证书以确认之。因此,证书往往能够体现一家组织的信息安全管理水准,于是,很多国际型的组织便要求供应链也具有相应的证书,方可与之建立信息联系和业务合作。对此,昆明亭长朗然科技有限公司信息安全管理咨询专员董志军称:欧美的大型组织通常会要求供应商证明自己在信息安全管理方面尽职尽责,证书就是最好的证明。

认证机构
认证是由独立的,可信的认证机构进行的。它们在不同的国家有不同的叫法,包括‘注册机构’、‘评估和登记机关’、‘认证/注册中心’和‘登记司’等等。无论他们被如何称呼,他们都在做同样的事情,并接受同样的要求。

通常来讲,经认可的认证机构是一个已经证明完全符合任何国际和国家标准规定的认证机构。不过,董志军补充说:信息安全管理体系证书的含金量主要体现在国际认证机构所发放的。因为文化环境的因素,国际大牌认证机构的国内分支发放的大量证书变质严重、可信度低;本土的拷贝机构所发放的证书虽然在可信度方面同样为众人所不齿,但是由于其有官方背景,反而受到很多寻求庇护的组织的青睐。

认证流程

对于已经通过ISO 9000或任何其他管理体系标准认证的任何组织,该认证流程将会非常熟悉。认证机构将分两个阶段发起审核流程。第一阶段将进行文件的审查(可能包括也可能不包括预认证的访问),这将使审计人员进行首次实际的正式访问以便能:

  • 熟悉该组织机构;
  • 对文件进行审查;
  • 确保ISMS得到了足够的开发,已经能够接受正式的审计;
  • 获取足够的关于该组织的信息,以及认证的目的和范围,以便有效地准备他们的审计。

这次访问是通常时间比较短,取决于组织的规模,可能只需要一两天。在作出访问之前,一些组织将开展远程文件审查。

正式审计
正式的审计,通常被称为’初审’,将花上数天时间。审计过程包括测试组织的(信息安全管理体系ISMS)文档流程以和标准的要求进行比较,以确认该组织已制订出符合标准要求的文档体系,然后再测试组织对ISMS的实际遵从情况。

审计工作将遵循一个预先设定的计划。审计人员将与他们进行沟通,包括和组织中的哪些人以及用什么顺序与他们面谈。

审计报告

认证审核将使用负面报道(也就是说,它会找出不足之处,而不是光辉点),以评估ISMS确保该组织的程序和流程,该组织的实际活动和执行的记录符合ISO 27001的要求,并且给出申报的系统的范围。审计的结果将是:
*书面审计报告(通常可在审计完成时交付)
*不符合项纠正措施和意见
*商定的纠正措施和时限

不符合项可以是轻微的或严重的;轻微的不符合项将被作为主要的改进机会,严重的不符合项将意味着该组织并不会(在这个阶段)成功地获得认证。通常, 当一个严重的不符合项被发现出来时,审计人员会建议,审计过程暂停,以便该组织使用足够的时间解决这个严重问题之后再重新开始。

审计输出结果

访问的预期结果应当是组织的ISMS通过了ISO 27001的认证和证书的效果问题。该证书应得到适当的展示,组织应该开始准备应对它的第一次监督访问,它将在约6个月后进行。

任何轻微的不符合项应该得到解决,并由邮件告知,所有证书的发放将依赖在事前商定的时间表内的整改情况。

审计监督将在审计后进行,既要确保他们不会发展成为不符合项,也要作为该组织持续改进活动的一部分。 正式批准的认证标志可以被组织用来当作营销材料。

补充说明

通常来讲,专业的信息安全内审人员都会知道如何应对外部审计和测评机构。但是审计人员的检查项通常也会包括检查工作区域和走访工作人员,如果这些区域和人员对信息安全的普遍理解和操作实践有重大失误,则会严重影响审计结果。经常出现严重的不符合项来自员工的访谈,造成审计的失败和时间的浪费。为防范这种情况,董志军建议组织的安全负责人注意强化办公区域的安全实践,在提升工作区域人员安全意识的同时,教导工作人员们如何正确应对审计面谈,至少让他们在信息安全方面不要随意猜测、推断、说些不肯定的话甚至瞎扯。比如某些人对某些安全要求可能有自己不同的观点,但是却不符合普适的安全价值,如果在面谈时对审计人员不加遮掩地表达出来,再添油加醋地进行一番批判,那就会造成审计人员认为组织在针对人员的信息安全意识培训工作方面存在不足。

昆明亭长朗然科技有限公司创作了大量信息安全意识方面的教程资源,包括动画视频、电子课件和宣传图片。同时,我们也提供在线的信息安全意识学习平台,可让受众们快速地学习和接受通用的信息安全意识理念。欢迎有兴趣有客户或合作伙伴联系我们,在线体验我们的作品,并进行合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

ISO 27001定义信息安全

毋庸置疑,信息是信息时代的货币。在通常情况下,信息是一个组织拥有的最宝贵的资产,即使该信息没有受到正式和全面的估价。
IT治理是董事会和管理团队用来引导和控制企业各种结构、标准和流程,旨在有效地管理,保护和利用其组织的信息资产。

信息安全管理是IT治理的一个子集,它的重点是保护一个组织的信息资产安全。对此,昆明亭长朗然科技有限公司信息安全管理实战专员董志军强调称:领会到这一点,是信息安全与业务沟通的关键,也是信息安全人员与高管们沟通的基础。

信息资产面临的风险
资产在ISO 27001中的定义为“对组织具有价值的任何东西”。信息资产面临着各种各样的威胁,这些威胁包括来自外部的和内部的,威胁的范围包含有随机产生的和非常 具体的。风险包括自然灾害,欺诈和其他犯罪活动,也包括用户错误和系统故障。信息风险可以影响信息资产的一个或多个信息安全基本三要素或信息安全三属性, 它们是:可用性、机密性和完整性。

ISO 27001中将这些三要素或者三个属性定义为:
1.可用性(AVAILABILITY)- ‘经授权的实体在正常需求下可以访问和使用的属性’,信息允许由人类用户访问,以及软件程序访问;
2.保密性(CONFIDENTIALITY)- ‘信息不提供或披露给未经授权的个人、实体或程序的属性‘;
3.完整性(INTEGRITY)- ‘维护资产的准确性和完整性的属性’。

信息安全
ISO 27001将信息安全定义为“对信息的机密性,完整性和可用性的保持”。此外,如真实性(防伪确认),可跟踪性,不可抵赖性和可靠性等属性也可以参与进来。信息安全管理体系
ISO 27001定义了ISMS,即Information Security Management System,亦即信息安全管理体系,是整个管理系统的一部分,以业务风险方法为基础,其目的是建立、实施、运行、监督、评审、保持和改进信息安全。该管 理体系包括“组织的结构、方针政策、规划活动、职责、实践(惯例)、程序、过程和资源。ISMS的存在是为了维持机密性,完整性和可用性。如图所 示,ISMS确保组织的信息和信息资产的机密性,完整性和可用性,最关键的信息资产在所有三个属性都是重要的。

看似非常基础的信息安全三要素、三元组或大三角“C、I、A”,其实很多职场人员并不懂,甚至包括不少IT人员。当然,在多数情况下,不懂这些基础理论,并不会影响用户们遵守信息安全规章制度和管理要求。不过,如果让用户们掌握了这些入门知识,他们对安全的理解会更上一层楼,在思想上也更能接受信息安全政策及指南,进而在行动中积极主动的实践信息安全。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构加强对员工们进行信息安全相关的教育培训,我们创作了大量的课程内容,其中包括上述信息安全三要素的电子课件、动画教程等等,欢迎有兴趣了解的客户联系我们,取得作品的预览和洽谈采购。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898