从方法论的角度谈ISO27001审核

时间：2020-09-04作者：广汇联合（北京）认证服务有限公司浏览：212

本文将从方法论的视角对ISO27001审核应关注的内容进行探讨。

一、ISO27001标准简介

     该标准分为三个部分，分别为引言、正文和附录。

     引言介绍了建立信息安全管理体系(简称ISMS)的意义和原则；描述了体系建设过程中使用的过程方法和PDCA模型}说明了ISMS与其他管理体系的兼容性。

     正文的**章介绍了标准的基本情况和涉及的术语和定义，从*四章开始，正式提出了ISMS的要求。标准也指出：“组织声称符合本标准时，对于*4章、*5章、*6章、*7章和*8章的要求不能删减。”

      标准有3个附录，其中附录A是规范性附录，根据标准要求，依据附录A的控制目标和控制措施的选择和实施是标准正文的一部分。

      ISO27001的审核依据主要集中在标准的*4到*8章和附录A。

二、ISMS审核内容

      标准的正文采用了PDCA模型，并将该模型应用于ISMS的所《认证技术》9011·05有过程中。

      ISMS的提出是源于较佳实践，在附录A中给出的39个控制目标和133条控制措施，涉及信息安全的11个方面。得到了世界上绝大多数国家的认同。控制措施的选择和实施是ISMS建设很重要的一部分。标准利用PDCA模型，通过风险管理等方法将附录A中的133条控制措施串联起来，形成一个**的整体。

      在实际审核过程中，通常会采用系统的方式对组织建立的ISMS进行审查，不同的审核人员采用的审核方法都可能存在着一定差别，在这里仅介绍一下“方法论”的审核方式。

三、“方法论”审核的方式

      哲学上的方法论是指人们认识世界、改造世界的一般方法，是指人们用什么样的方式、方法来观察事物和处理问题。简单地说就是发现问题，分解问题，解决问题，检查问题，改进问题。

      所谓方法论”审核方式是指对整个ISMS的实施情况按照方法论的步骤进行审核。其实ISO27001正是提出了一个信息安全管理的方法论：发现问题(建立信息安全方针、目标和范围)，分解问题(风险评估)，解决问题(风险处理、控制措施选择实施)，检查问题(监视、测量和评审)，改进问题(保持和改进)。将这些过程串起来，再加上证据维护(文件管理)和资源**(管理职责)即构成完整的ISMS体系建立和管理过程。

    在上述审核过程中，每个环节各有侧重点。

1．发现问题

      任何组织的信息安全方针、目标和范围的建立都是以组织的业务目标和业务风险为基础的，业务是组织赖以生存的核心活动，因此任何管理体系的建设都是以业务为导向的。

2．分解问题

      将复杂的问题分解为小问题是解决问题的有效方式，采用风险评估是一个很有效的方法。大多数风险评估方法大同小异，标准也对风险评估的步骤和关键点给出了要求，关键是以下几个方面：资产的统计是否充分，分类是否合理；威胁和脆弱点的识别是否遵照惯例，补充的威胁和脆弱点是否体现了组织的业务特点；风险评估的结果是否符合常识和业务风险特点。

3．解决问题

    通过风险评估，问题分解为多个简单的问题。这些问题是否需要解决，如何解决取决于组织的业务特点和法律法规的要求。本阶段审核的重点包含以下几个方面。

    (1)风险接受是否合理；

    (2)适用性声明中对附录A的删减是否合理；

    (3)选择的控制目标是否有适宜、充分和有效的控制措施；

    (4)人力和物力**是否到位。

      对*三条内容的审核过程非常重要，将涉及到组织范围内选择实施的一百多条控制措施。在这些控制措施中，虽然不同的组织侧重点也有所不同，但附录A中包含的11个安全域对组织都很重要，对任何内容的删减都必须有充足的理由。

      在标准的正文中至少有五个地方提到了ISMS的建设是基于业务风险，因此，在ISMS的审核过程中，要充分了解和理解组织的业务，包括对控制措施的审核也要充分考虑组织的业务特点。

      控制措施分为两类：预防类控制措施和纠正类控制措施。附录A的133条控制措施*多数为预防类控制措施，例如：人力资源安全、物理和环境安全通信和操作安全等。这些控制措施的充分性、适宜性和有效性是**组织内部信息安全的基础，是审核的关注点。还有一些是纠正类的控制措施，例如：信息安全事件管理和业务连续性管理。

      其中信息安全事件管理是组织内信息安全的重点，对于使用中的信息没有**的安全，对安全事件的有效处理，可以将事件的影响降到较低。

      业务连续性管理则是所有控制措施中涵盖面较广的一类控制措施，无论是预防类措施还是纠正类措施，其实都是为了保证组织的核心活动：业务。其他10个安全域的控制措施是业务连续性管理的基础，有关业务连续性管理的控制措施一般是不能删减的。

      ISO27001的业务连续性管理为组织的业务连续性提供了一个很好的管理模型。它不同于简单的应急预案，除了常规的审核点之外，还应关注以下几个方面：业务连续性管理是否体现了组织的业务特点；与风险管理和业务影响分析的关联。业务连续性计划是否能够保证业务的持续提供；恢复过程中的业务保持持续的方法。

4．检查问题

      监视、测量和评审是进行ISMS检查的主要方法。ISMS检查是体系运行的重要组成部分，就像每年参加体检是保持身体健康的方法一样，ISMS检查是保持ISMS健康发展的有效方法。

      对这一方面的审核主要集中在以下几个方面：文件评审；内审和管理评审；控制措施有效性测量方法和策略记录；日常监视，包括监控、日志、网络及桌面监控等。

5．改进问题

     在ISMS检查过程中和信息安全事件管理过程中，总是会发现各类问题，包括流程需要改进；信息的安全技术的应用；新的威胁和脆弱性的出现；发生违规事件，控制措施未满足目标等多个方面。针对这些问题，组织需要实施预防和纠正控制措施来保证体系的改进和完善。对这一方面的审核主要关注以下几个方面：ISMS检查过程中发现的问题是否都已经解决；未解决的问题是否制定了处理计划或被组织接受，接受是否合理；针对潜在的问题是否有相应的预防措施。

四、小结

    ISMS是一个文件化的管理体系，因此，审核一个重点就是查看证据，即上述所有的审核都是基于文件和记录等相关的证据进行的。另外，ISMS是组织管理体系中的一部分，体系的范围和与其他管理的接口也是在审核之初就应该关注的内容。

如您想更详细的了解更多认证资讯，请您网络搜索广汇联合，快人一步，成就管理者风范。


广汇联合（北京）认证服务有限公司专注于服务认证,IT信息管理认证 ,三体系认证等

• 词条

  词条说明

• ISO20000-信息服务管理目标及其实现的策划

  1、所需活动 信息服务管理目标是根据业务目标和服务管理方针来定义的，以使信息服务管理体系集中于满足业务需求和服务需求。 2、说明 这项必要活动的目的是定义和记录可衡量的目标，这些目标将为运营信息服务管理体系及其定义的服务提供重点，以满足组织的业务需求。这些定义的信息服务管理目标可以在与信息服务管理方针一致的*时间内实现。组织定期审查目标，以确保 根据业务需求、服务或信息服务管理方针的更改，更新目

• ISO27701认证与ISO29151体系认证区别ISO27701认证与ISO29151体系认证区别

  区别一：结构不同 ISO27701是ISO27001和ISO27002在隐私方面的扩展，并为隐私保护提供了除ISO27001和ISO27002之外的额外指导。标准通过*5章和*6章将ISO27002与附加的PIMS控制项通过ISO27001中PDCA的方式导入体系，形成完整的信息安全和隐私管理体系。*7章和*8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。 区别二 ：企业如何选

• ISO27000中的PDCA四个阶段

  策划阶段，组织应： 定义ISMS的范围和方针； 定义风险评估的系统性方法； 识别风险； 应用组织确定的系统性方法评估风险； 识别并评估可选的风险处理方式； 选择控制目标与控制方式； 当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行 信息安全管理体系。 实施阶段，组织应该实施选择的控制，包括： 实施特定的管理程序； 实施所选择的控制； 运作管理； 实施能够促进安全事件检测和响应的程序和

• 信息安全体系认证-ISO27001

  ISO27001体系认证，对于众多信息服务提供商来说，意义并不仅**于信息服务符合规程和提高服务质量。信息安全管理体系认证作为检验一个企业在信息安全方面的一个标准，是能够帮助公司形成一个约束员工、规范信息交流活动、推动公司业务发展越具系统化和管理化。 任何一家企业都是离不开体系认证的，就如ISO27001就是其一，特别是ISO20000信息技术管理体系作为世界上**部针对信息技术服务管理领域的国