- 当前位置:首页 >服务项目 > ISO27001信息安全认证
- ISO27001信息安全认证
iso27001认证审核要点
一、iso27001信息安全管理体系 文件审核
ISO27001信息安全管理体系文件审核的目的是评价组织是否按GB/T22080—2008/ISO/IEC27001:2005的要求建立了文件化的信息安全管理体系;所建立的信息安全管理体系文件对组织的ISMS是否充分和适宜,是否符合ISO27001标准的要求,并进行了有效的发布和分发控制;组织是否有效地进行了体系文件培训,相关人员是否真正理解和贯彻了体系文件的要求。尽管体系文件全面描述了组织的ISMS体系,基于体系文件的审核几乎涉及标准要求的全部内容,还需要另外三条脉络作为补充。
iso27001信息安全管理体系文件审核是初次认证两个阶段都需要进行的工作,但是文审工作应该在第一阶段完成。
iso27001信息安全管理体系体系文件审核主要包括:
1.iso27001信息安全管理体系文件控制的审核
检查是否按GB/T22080—2008/ISO/IEC27001:2005要求,特别是4.3.1中的要求建立了体系文件;是否有规范的记录格式和记录 要求;是否按文件控制要求正式发布了相关文件等。要注意纸质文件和电子文件控制要求的差异,以及电子文件是否存在不同的文件控制系统。实际上,文件控制检 查的关键是判断文件的完整性是否在文件生成、发布、修订、再发布中得到了保持。另外,表明文件发布、使用状态的文件发布控制清单通常是必须的。
2.iso27001信息安全管理体系文件内容和实施情况的审核
对组织按照GB/T22080—2008/ISO/IEC27001:2005条款4.3.1建立的文件的内容进行检查,对其实施情况进行追踪。审核员需要 先理解这些文件的内容,进而验证其实施情况,特别是那些能够体现ISMS运行效果的证据,以便评价文件的可用性、充分性、适宜性,这也是体系文件审核的重 点。需要重点关注的文件包括:
(1) 描述方针、目标、范围、组织的信息安全定义等的文件
这些是整个审核的关注焦点。
(2) 文件/记录控制程序、内部审核/管理评审程序、预防与纠正措施程序、有效性测量程序等
需要检查这些程序的可用性和实施情况。
(3) 适用性声明
检查适用性声明的完备性,梳理控制措施与体系文件、技术措施、体系范围及安全要求与期望的关系,判断控制措施及其删减的合理性。
(4) 规程和规范操作类文件
检查文件的可操作性和应用情况,需要注意的是应结合审核过程验证控制措施的有效性。
(5) 安全职责分配
检查是否建立了ISMS安全职责分配表,是否定义了信息安全管理体系建立、实施、运行、监视、评审、保持和改进所需的信息安全职责,是否将所有职责落实到具体岗位和人员身上。
二、iso27001信息安全管理体系 风险评估与处置审核
检查信息安全管理体系的风险处置计划是否完备,特别是计划信息安全风险评估与处置是ISMS的核心过程,风险评估与处置的审核也成为ISO27001信息安全管理体系审核的核心脉络,目的是评价受审组织的风险评估是否依据ISO27001标准要求的流程进行;组织所确定的风险评估方法是否符合ISO27001标准要求;生成的风险评估报告是否与组织确定的方法一致;组织信息资产的收集是否完整、重要度识别是否与组织体系范围内的业务密切相关、脆弱性和威胁的识别是否完整;组织的风险接受准则是否明确、合理;是否根据风险评估制定了可行的风险处置计划,计划是否得到执行、监视与评审;残余风险是否符合组织的风险接受准则,是否对残余风险进行了评估,评估方法是否与组织确定的方法一致。
风险评估与处置的审核是第二阶段审核的重点内容之一,主要包括:
1.风险评估与处置程序的审核
评价程序的完备性和可执行性,可采用查阅记录、与风险评估小组成员面谈相结合的方式。
2.风险评估方法的审核
评价组织所定义的风险评估方法是否符合ISO27001标准的要求,是否具有可操作性。评价评估方法是否符合要求主要看该方法是否真正考虑了业务风险的影响因素,以及评估结果是否可比较和可再现,并评价信息资产的收集和风险分析是否覆盖了信息安全管理体系的范围。
3.风险评估报告的审核
检查风险评估报告内容是否基本完备,提供的重要资产清单是否与信息安全管理体系范围相适应;这需要审核员具有相当的与受审核组织业务相关的信息技术和信息安全技术的应用知识,风险评估报告是否与组织的信息安全现状明显不符。
审核员需要熟悉ISO27001标准的风险评估,并需准确了解组织面临的信息安全风险,进而确定主要资产和风险检查点,结合另外三条线进行审核追踪。
4.风险处置计划的审核
检查风险处置计划是否完备,特别是计划的实施结果是否得到监视和评审,残余风险是否控制在受审核组织可接受范围之内,没有控制在可接受范围之内的是否得到领导层的批准进而确定风险处置计划的检查点,结合另外三条线进行审核追踪。
三、ISO27001信息安全管理体系 业务连续性审核
风险管理存在不确定性,通过风险管理只能将组织的风险尽量控制在组织可接受范围之内。要想保证组织的业务达到组织所期望的正常运营目标,还需要依赖具有确定性的管理措施——业务连续性管理做补充。信息安全连续性管理是业务连续性管理的重要方面,业务连续性/信息安全连续性审核也是ISO27001信息安全管理体系审核的重要脉络。
业务连续性/信息安全连续性审核目的是评价组织是否进行了关键业务分析,是否分析了关键业务对信息资产的依赖程度,是否建立了业务连续性计划框架,是否针对关键业务/依赖度高的信息资产制定了业务连续性/信息安全连续性计划,信息安全连续性的管理流程是否完整,是否针对业务连续性/信息安全连续性计划制定了演练计划,是否组织了演练,是否对演练进行了分析,是否依据分析结果对业务连续性/信息安全连续性计划、演练计划、管理流程进行改进,是否发生过引起关键业务中断的信息安全事件,如发生过,是否依据信息安全连续性计划实现了关键业务恢复目标,有没有连续性计划外的信息资产影响恢复目标实现。
业务连续性/信息安全连续性审核主要在第二阶段审核进行。审核组应重点关注组织业务连续性管理中的信息安全连续性管理,并结合业务连续性的其他方面(例如人员、材料、运输、设施等),但是注意不要用对组织整个业务连续性管理的泛泛检查来代替对业务连续性的信息安全方面的审核。
业务连续性/信息安全连续性审核主要包括:
1.业务连续性管理程序检查
评价程序的可执行性和完备性,可采用查阅记录、与有关工作人员面谈相结合的方式。
2.计划和演练情况检查
检查组织的关键业务影响分析报告、业务连续性计划框架、信息安全连续性计划,评价组织的业务连续性/信息安全连续性策划;抽样已进行的演练项目,通过人员、演练记录和演练分析报告的检查进一步评价业务连续性/信息安全连续性管理的有效陛等。
3.事件管理检查
信息安全事件管理是信息安全管理的基础工作,沿着四条脉络的审核都可能涉及事件管理。发生严重事件时往往会启动业务连续性计划,另外还应根据对事件及其处理情况的分析来改进风险评估和业务连续性管理。因此有必要结合事件管理进一步验证业务连续性管理的有效性。
四、iso27001信息安全管理体系 合规性检查
符合适用法律法规的要求GB/22080-2008/ISO/IEC27001:2005的基本要求。合规性检查在初次审核的两个阶段都需要,目的是评价组织是否充分识别了适用的法律法规以及实际执行情况。合规性检查主要包括:
1.资格验证
包括但不仅限于在申请评审及第一阶段审核中对营业执照、特许经营许可、注册地址和办公地址(包括临时场所)、信息安全管理体系覆盖的人数、法定代表人身份等进行验证,验证可以通过查验证件原件、查验场地产权或租赁协议和核实人数等方式进行。对存在虚假信息的要进一步查明原因,及时妥善处理。
2.法律法规要求识别情况检查
首先审核员应了解受审核组织需遵守的法律法规,然后检查组织提供的已识别的法律法规清单,并通过沟通、查验相关材料和环境巡视等方式,检查组织是否存在违反法律法规的行为,进而评价组织的法律法规符合性。
3.保密检查
主要针对有保密要求的组织(例如涉及国家秘密或组织有需要保密的信息)进行检查。
应注意对有保密要求的组织在申请评审和任命审核组时就充分考虑其认证风险。原则上,审核组检查的是组织是否建立了相应的保密规程和实际执行情况,审核员一般不应接触保密信息;特殊情况下,确有必要接触保密信息的,应严格按组织的保密规程办理相关手续。
4.知识产权保护检查
知识产权保护是合规性的重要方面,也是标准附录A专门列出的合规性检查项目。合规性检查中需要特别组织是否识别了需要保护的知识产权并落实了保护措施,是否识别了组织的正版化状态,是否落实了正版化策略。例如,检查组织所使用的工具、系统、设备及生产中所采用的技术有没有违反知识产权保护的规定,一旦发现违规则应向组织明确指出。
