趙瑾 國(guó)建勝

摘要：闡述了基于ISO27000系列標(biāo)準(zhǔn)搭建的ISMS信息安全管理體系通過(guò)認(rèn)證的益處，以及審核時(shí)應(yīng)關(guān)注的重點(diǎn)及審核內(nèi)容及要求。

關(guān)鍵詞：信息安全;信息安全管理體系;體系認(rèn)證

中圖分類號(hào)：TP311? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）18-0045-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

隨著信息技術(shù)的迅速發(fā)展，信息安全威脅應(yīng)運(yùn)而生，為應(yīng)對(duì)和避免日益嚴(yán)重的信息安全問(wèn)題，信息安全管理體系的搭建將成為減低信息安全風(fēng)險(xiǎn)的有效手段。通過(guò)認(rèn)證可以更好地證明信息安全管理體系的有效性、充分性及專業(yè)性。

1概述

信息安全管理就是通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)識(shí)別、分析信息安全風(fēng)險(xiǎn)，并采取措施將風(fēng)險(xiǎn)降到可接受水平并維持該水平的過(guò)程。搭建信息安全管理體系不是一了百當(dāng)?shù)?，由于信息技術(shù)的不斷發(fā)展，新的威脅應(yīng)運(yùn)而生，信息安全管理應(yīng)處于一個(gè)持續(xù)更新的、動(dòng)態(tài)的狀態(tài)，不斷提升整體信息安全能力。

依據(jù)ISO 27000系列標(biāo)準(zhǔn)搭建和實(shí)施信息安全管理體系，一般從信息資產(chǎn)出發(fā)，根據(jù)資產(chǎn)的重要程度制定相應(yīng)的信息安全措施保證業(yè)務(wù)連續(xù)性。體系可以規(guī)范員工行為，有效落實(shí)技術(shù)手段，保證信息安全體系的有效性及連續(xù)性。建立ISMS信息安全管理體系不僅可以預(yù)防和避免信息安全事件的發(fā)生，當(dāng)發(fā)生信息安全事故時(shí)可以及時(shí)響應(yīng)以減少帶來(lái)的損失。

組織的ISMS信息安全管理體系通過(guò)ISMS認(rèn)證，表明組織已通過(guò)建立一套科學(xué)有效的管理體系作為信息安全的保障。通過(guò)認(rèn)證有以下好處：

1）通過(guò)建立信息安全管理體系可以協(xié)調(diào)體系所需的各方資源，使體系相關(guān)方聯(lián)動(dòng)，增加體系運(yùn)行的有效性。這使得信息安全保障不僅僅是通過(guò)一個(gè)防火墻建立防護(hù)，而是經(jīng)過(guò)體系相關(guān)方進(jìn)行全面的綜合管理。

2）組織建立信息安全管理體系需一定的投入，若組織的信息安全管理體系能通過(guò)專業(yè)認(rèn)證機(jī)構(gòu)的審核，從而獲得認(rèn)證，企業(yè)不僅可以向其合作伙伴或競(jìng)爭(zhēng)對(duì)手以及投資方展示其在行業(yè)內(nèi)的專業(yè)地位，還可在獲得認(rèn)證后通過(guò)認(rèn)證機(jī)構(gòu)定期的監(jiān)督審核，不斷地被監(jiān)督和改善組織的信息安全管理體系，確保組織的信息安全管理水平，并可作為增強(qiáng)信息安全性的依據(jù)，使客戶及利益相關(guān)方感受到組織對(duì)信息安全水平的承諾。

3）通過(guò)認(rèn)證的管理體系能滿足政府及行業(yè)主管部門(mén)的信息安全合規(guī)要求，并證明組織信息安全的合規(guī)性。

4）通過(guò)認(rèn)證信息安全管理體系可以證明組織提供較為可靠的信息安全服務(wù)，通過(guò)認(rèn)證可以樹(shù)立組織良好的信息安全形象，增加信息安全信任感，從而獲得合作伙伴的信任，有利于組織的業(yè)務(wù)推廣及實(shí)施，尤其涉及信息安全構(gòu)成組織產(chǎn)品或服務(wù)的質(zhì)量特性時(shí)，如金融、電信等具有特殊要求的行業(yè)服務(wù)組織，體系通過(guò)ISO27001體系認(rèn)證具有很有說(shuō)服力的保證作用。除此之外，認(rèn)證能夠促進(jìn)業(yè)務(wù)推廣，提高跨行業(yè)的信息安全管理水平，有利于全球貿(mào)易的開(kāi)展。

2 認(rèn)證范圍和審核范圍

認(rèn)證范圍是組織的產(chǎn)品、服務(wù)、體系受到認(rèn)證機(jī)構(gòu)信用擔(dān)保的范圍，用于認(rèn)證注冊(cè)，用于表明組織ISMS所覆蓋的范圍。其中活動(dòng)和過(guò)程是認(rèn)證范圍的核心要素。

審核范圍是用于指導(dǎo)具體審核的實(shí)施。審核范圍通常包括受審組織的實(shí)際位置、組織單元、活動(dòng)和過(guò)程。相比認(rèn)證范圍，審核范圍包括審核覆蓋時(shí)期，一般包括上次現(xiàn)場(chǎng)審核的末次會(huì)議結(jié)束開(kāi)始到本次審核的末次會(huì)議結(jié)束為止，對(duì)于初次認(rèn)證的信息安全管理體系來(lái)說(shuō)，審核覆蓋時(shí)期指組織內(nèi)部管理體系正式運(yùn)行開(kāi)始到初次認(rèn)證第二階段審核的末次會(huì)議結(jié)束。

對(duì)于初次認(rèn)證的信息安全管理體系，認(rèn)證機(jī)構(gòu)根據(jù)審核組已審核的范圍及審核結(jié)論確定批準(zhǔn)最終的認(rèn)證范圍。監(jiān)督審核時(shí)，必須依據(jù)認(rèn)證范圍確定審核范圍，通常情況下，此時(shí)審核范圍大小與認(rèn)證范圍一致。

3審核重點(diǎn)

認(rèn)證審核一般分為三種情形，分別是初次認(rèn)證審核、監(jiān)督審核、再認(rèn)證審核，接下來(lái)將依次介紹這三種情形的審核形式及內(nèi)容。

3.1初次認(rèn)證審核

初次認(rèn)證審核時(shí)一般分第一階段審核和第二階段審核兩個(gè)階段進(jìn)行，第一階段審核結(jié)束才能開(kāi)展第二階段審核工作，兩個(gè)階段審核工作側(cè)重點(diǎn)不同。

3.1.1 第一階段審核

該審核階段，組織應(yīng)將建立設(shè)計(jì)信息安全管理體系時(shí)的所有文件及ISO 27001中要求的文件、流程、指南等傳遞至認(rèn)證機(jī)構(gòu)。通過(guò)結(jié)合客戶組織的ISMS方針和目標(biāo)，及其建設(shè)ISMS的思路與側(cè)重，特別是受審組織的審核準(zhǔn)備情況，為策劃第二階段審核提供重點(diǎn)。該階段審核工作主要是文件評(píng)審，認(rèn)證機(jī)構(gòu)應(yīng)與受審組織應(yīng)提前約定文件評(píng)審的時(shí)間和地點(diǎn)，并在第二階段審核開(kāi)始前完成文件評(píng)審工作。第一階段審核結(jié)束應(yīng)形成書(shū)面報(bào)告記錄審核結(jié)果，并在第二階段審核前完成對(duì)第一階段審核的審核報(bào)告的評(píng)審，以選擇第二階段審核的具有相應(yīng)能力的審核組成員。

3.1.2 第二階段審核

第二階段審核以第一階段審核的審核報(bào)告中形成文件的審核發(fā)現(xiàn)為基礎(chǔ)，通常在受審組織的場(chǎng)所進(jìn)行。主要從檢查受審組織如何評(píng)估信息安全風(fēng)險(xiǎn)和如何設(shè)計(jì)其ISMS、檢查受審組織如何執(zhí)行ISMS監(jiān)控、測(cè)量、報(bào)告和評(píng)審、檢查管理者如何執(zhí)行管理評(píng)審、檢查管理者如何履行信息安全職責(zé)、落實(shí)安全方針、風(fēng)險(xiǎn)評(píng)估的執(zhí)行結(jié)果、控制目標(biāo)與控制措施的實(shí)現(xiàn)、各種活動(dòng)和職責(zé)，相互之間的連帶關(guān)系等幾個(gè)方面具體展開(kāi)。

3.2監(jiān)督審核

監(jiān)督審核是受審組織通過(guò)ISMS認(rèn)證后，認(rèn)證機(jī)構(gòu)對(duì)受審組織取得認(rèn)證后，信息安全管理體系運(yùn)行情況的監(jiān)督檢查，采用文件審查，現(xiàn)場(chǎng)審查的方式主要針對(duì)上次審核發(fā)現(xiàn)的糾正/預(yù)防措施的分析與執(zhí)行情況、內(nèi)審與管審的實(shí)施情況，管理體系的變更情況、信息資產(chǎn)的變更與相應(yīng)的風(fēng)險(xiǎn)評(píng)估和處理情況、信息安全事故的處理和記錄等方面進(jìn)行審核檢查。

3.3 再認(rèn)證審核

再認(rèn)證審核是組織由于特殊原因?qū)е抡J(rèn)證失效，再次申請(qǐng)認(rèn)證時(shí)執(zhí)行的審核，該審核從檢驗(yàn)組織的ISMS是否持續(xù)全面的符合ISO 27001的要求、評(píng)審在這個(gè)認(rèn)證周期中ISMS的實(shí)施與繼續(xù)維護(hù)的情況等方面展開(kāi)，對(duì)組織的ISMS再次認(rèn)證開(kāi)展審核，采用文件審查、現(xiàn)場(chǎng)審查的方式進(jìn)行。

4審核流程及要求

4.1審核流程

一般情況下，認(rèn)證審核分為兩個(gè)階段：遠(yuǎn)程審核及現(xiàn)場(chǎng)審核。

組織在體系認(rèn)證前，應(yīng)向認(rèn)證機(jī)構(gòu)提出認(rèn)證申請(qǐng)，并提交申請(qǐng)?jiān)撜J(rèn)證所需的材料。再認(rèn)證機(jī)構(gòu)受理后，受審組織應(yīng)與認(rèn)證機(jī)構(gòu)簽訂認(rèn)證合同，明確審核日期、審核范圍等內(nèi)容。在簽訂該認(rèn)證合同后，受審組織應(yīng)根據(jù)認(rèn)證機(jī)構(gòu)要求，將建立設(shè)計(jì)信息安全管理體系時(shí)的所有文件及標(biāo)準(zhǔn)所要求的文件發(fā)送至認(rèn)證機(jī)構(gòu)，進(jìn)行遠(yuǎn)程審核，認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)受審組織的ISMS方針、目標(biāo)，策劃現(xiàn)場(chǎng)審核。

在開(kāi)始ISMS認(rèn)證現(xiàn)場(chǎng)審核前應(yīng)制定適宜的審核計(jì)劃，說(shuō)明審核目的、審核準(zhǔn)則及引用文件、審核范圍、現(xiàn)場(chǎng)審核活動(dòng)的日期及地點(diǎn)、現(xiàn)場(chǎng)審核活動(dòng)預(yù)期的審核周期、審核組成員的職責(zé)、為審核區(qū)域配置的適當(dāng)?shù)馁Y源、其他內(nèi)容如受審核方代表、后期安排、保密承諾等。

在開(kāi)始現(xiàn)場(chǎng)審核前應(yīng)先召開(kāi)首次會(huì)議，審核組成員以及受審組織重要領(lǐng)導(dǎo)及組織成員均出席該會(huì)議，應(yīng)在首次會(huì)議明確本次審核的審核計(jì)劃，審核范圍、審核方式及審核周期，受審組織應(yīng)根據(jù)審核計(jì)劃分配成員配合審核組成員完成審核工作。

審核工作開(kāi)始后，受審組織應(yīng)做到積極、有效配合審核工作的開(kāi)展，及時(shí)答復(fù)審核組的詢問(wèn)，提供真實(shí)有效的材料以證明體系有效平穩(wěn)運(yùn)行，不得偽造證據(jù)材料，欺瞞回避審核組提問(wèn)。審核組應(yīng)真實(shí)有效的記錄審核結(jié)果，并針對(duì)有爭(zhēng)議性的審核項(xiàng)及時(shí)與受審組織溝通，以保證審核結(jié)果的客觀性。

當(dāng)所有現(xiàn)場(chǎng)審核工作結(jié)束后，應(yīng)召開(kāi)末次會(huì)議，審核組成員以及受審組織重要領(lǐng)導(dǎo)及組織成員均出席該會(huì)議，會(huì)議應(yīng)對(duì)此次審核工作進(jìn)行總結(jié)，及時(shí)指出審核過(guò)程中所發(fā)現(xiàn)的問(wèn)題及不符合項(xiàng)，并向受審組織解釋存在問(wèn)題的地方及問(wèn)題存在的原因，與受審組織達(dá)成一致約定整改時(shí)間。

受審組織應(yīng)在規(guī)定時(shí)間內(nèi)對(duì)所發(fā)現(xiàn)問(wèn)題及不符合項(xiàng)及時(shí)整改，在整改過(guò)程中如有疑問(wèn)，應(yīng)及時(shí)與審核組成員溝通，在整改完成后，應(yīng)及時(shí)提交整改結(jié)果，審核組對(duì)整改結(jié)果進(jìn)行監(jiān)督審核，在關(guān)閉問(wèn)題項(xiàng)及不符合項(xiàng)后，將審核結(jié)果上報(bào)至認(rèn)證機(jī)構(gòu)，認(rèn)證機(jī)構(gòu)對(duì)審核結(jié)果進(jìn)行核查后向受審組織頒發(fā)認(rèn)證證明。

4.2審核要求

ISMS認(rèn)證審核主要從信息安全管理體系的管理要求和控制要求兩個(gè)方面進(jìn)行，依據(jù)ISO 27001的內(nèi)容開(kāi)展審核工作，具體要求如下：

4.2.1管理要求

對(duì)于信息安全管理體系，要求建立和管理ISMS，具體體現(xiàn)為應(yīng)建立ISMS、實(shí)施與運(yùn)行ISMS、監(jiān)視與評(píng)審ISMS、保持與改進(jìn)ISMS;還對(duì)文件管理要求，具體體現(xiàn)為文件控制要求及記錄控制要求;對(duì)于管理職責(zé)，要求應(yīng)做出管理承諾并對(duì)資源進(jìn)行管理，具體表現(xiàn)為資源提供及培訓(xùn)、意識(shí)和能力的培養(yǎng);對(duì)于內(nèi)部審核、管理評(píng)審及ISMS改進(jìn)也有相應(yīng)的管理要求。

4.2.2控制要求

對(duì)于體系的控制要求分別從安全方針、信息安全的組織、資產(chǎn)、人力資源安全、物理和環(huán)境安全、通信和運(yùn)行管理、訪問(wèn)控制、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、符合性十二個(gè)控制域分別提出具體的控制要求。

對(duì)于安全方針的控制要求主要為應(yīng)依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)，提供信息安全的管理方向和支持;對(duì)于信息安全的組織的控制要求主要包括兩個(gè)方面，一是內(nèi)部的組織應(yīng)管理組織內(nèi)的信息安全，二是外放應(yīng)保持被外方訪問(wèn)與處理，與外方通信或被管理的組織的信息與信息處理設(shè)施的安全;對(duì)于資產(chǎn)的控制要求主要為實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù);對(duì)于人力資源安全的控制要求分別從雇用之前、雇傭期間、雇傭終止或雇傭變更等各個(gè)方面提出相應(yīng)要求;對(duì)物理和環(huán)境安全，分別從安全區(qū)域及設(shè)備安全兩個(gè)角度提出相應(yīng)控制要求;對(duì)于通信和運(yùn)行管理，分別從運(yùn)行程序和職責(zé)、第三方交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意代碼和移動(dòng)代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處理、信息交換、電子商務(wù)服務(wù)、監(jiān)視等多個(gè)角度提出控制要求;對(duì)于訪問(wèn)控制的控制要求從訪問(wèn)控制的業(yè)務(wù)要求、用戶訪問(wèn)管理、用戶職責(zé)、網(wǎng)絡(luò)訪問(wèn)控制、操作系統(tǒng)的訪問(wèn)控制、應(yīng)用系統(tǒng)和信息訪問(wèn)控制、移動(dòng)計(jì)算機(jī)設(shè)施和遠(yuǎn)程工作設(shè)施七個(gè)方面展開(kāi);對(duì)于信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)的控制要求包括信?息系統(tǒng)的安全要求、正確處理應(yīng)用系統(tǒng)中的數(shù)據(jù)、密碼控制、系統(tǒng)文件的安全、開(kāi)發(fā)過(guò)程和支持過(guò)程中的安全、技術(shù)脆弱性管理;對(duì)于信息安全事故管理的控制要求主要有報(bào)告信息安全事件和弱點(diǎn)及信息安全事故和改進(jìn)的管理兩個(gè)方面;對(duì)業(yè)務(wù)連續(xù)性管理的控制要求主要為對(duì)于業(yè)務(wù)連續(xù)性管理的信息安全問(wèn)題的控制要求;對(duì)于符合性的控制要求，則包括對(duì)于法律要求、安全方針與安全標(biāo)準(zhǔn)及技術(shù)的符合性控制要求。

5結(jié)語(yǔ)

通過(guò)對(duì)信息安全管理體系的大致介紹，以及對(duì)認(rèn)證和審核范圍、審核重點(diǎn)、審核內(nèi)容及要求的研究，我們可以看出建設(shè)信息安全管理體系對(duì)于組織信息安全能力的提升有很大的幫助，并且通過(guò)認(rèn)證，可以有力證明組織的信息安全能力及產(chǎn)品的信息安全性。另外，在實(shí)施體系審核時(shí)，應(yīng)確保實(shí)施審核時(shí)應(yīng)根據(jù)受審方業(yè)務(wù)特點(diǎn)和組織規(guī)模適當(dāng)調(diào)整審核內(nèi)容，確保審核科學(xué)，公正，有效開(kāi)展。

參考文獻(xiàn)：

[1] 王暉.醫(yī)院信息安全管理要求[J].信息安全與通信保密，2008，6（S1）：41-48.

[2] 山東國(guó)子軟件股份有限公司.IT企業(yè)視角下的信息安全[J].行政事業(yè)資產(chǎn)與財(cái)務(wù)，2017（22）：24-25.

[3] 徐黎源.基于ISO/IEC27001體系的中小企業(yè)信息安全管理機(jī)制研究[D].寧波：寧波大學(xué)，2009.