ISO27001的“方法論”審核方式

發(fā)布時間：2020-11-24 作者：廣匯聯(lián)合來源：廣匯聯(lián)合

在ISO27001審核過程中，每個環(huán)節(jié)各有側(cè)重點。

1.發(fā)現(xiàn)問題

任何組織的信息安全方針、目標(biāo)和范圍的建立都是以組織的業(yè)務(wù)目標(biāo)和業(yè)務(wù)風(fēng)險為基礎(chǔ)的，業(yè)務(wù)是組織賴以生存的核心活動，因此任何管理體系的建設(shè)都是以業(yè)務(wù)為導(dǎo)向的。

2.分解問題

將復(fù)雜的問題分解為小問題是解決問題的有效方式，采用風(fēng)險評估是一個很有效的方法。大多數(shù)風(fēng)險評估方法大同小異，標(biāo)準(zhǔn)也對風(fēng)險評估的步驟和關(guān)鍵點給出了要求，關(guān)鍵是以下幾個方面：資產(chǎn)的統(tǒng)計是否充分，分類是否合理；威脅和脆弱點的識別是否遵照慣例，補充的威脅和脆弱點是否體現(xiàn)了組織的業(yè)務(wù)特點；風(fēng)險評估的結(jié)果是否符合常識和業(yè)務(wù)風(fēng)險特點。

3.解決問題

通過風(fēng)險評估,問題分解為多個簡單的問題。這些問題是否需要解決，如何解決取決于組織的業(yè)務(wù)特點和法律法規(guī)的要求。本階段審核的重點包含以下幾個方面。

(1)風(fēng)險接受是否合理；

(2)適用性聲明中對附錄A的刪減是否合理；

(3)選擇的控制目標(biāo)是否有適宜、充分和有效的控制措施；

(4)人力和物力保障是否到位。

對第三條內(nèi)容的審核過程非常重要，將涉及到組織范圍內(nèi)選擇實施的一百多條控制措施。在這些控制措施中，雖然不同的組織側(cè)重點也有所不同，但附錄A中包含的11個安全域?qū)M織都很重要，對任何內(nèi)容的刪減都必須有充足的理由。

在標(biāo)準(zhǔn)的正文中至少有五個地方提到了ISMS的建設(shè)是基于業(yè)務(wù)風(fēng)險，因此在ISMS的審核過程中，要充分了解和理解組織的業(yè)務(wù)，包括對控制措施的審核也要充分考慮組織的業(yè)務(wù)特點。

控制措施分為兩類：預(yù)防類控制措施和糾正類控制措施。附錄A的133條控制措施中大多數(shù)為預(yù)防類控制措施，例如：人力資源安全、物理和環(huán)境安全通信和操作安全等。這些控制措施的充分性、適宜性和有效性是保障組織內(nèi)部信息安全的基礎(chǔ)，是審核的關(guān)注點。還有一些是糾正類的控制措施，例如：信息安全事件管理和業(yè)務(wù)連續(xù)性管理。

其中信息安全事件管理是組織內(nèi)信息安全的重點，對于使用中的信息沒有絕對的安全，對安全事件的有效處理，可以將事件的影響降到最低。

業(yè)務(wù)連續(xù)性管理則是所有控制措施中涵蓋面最廣的一類控制措施，無論是預(yù)防類措施還是糾正類措施，其實都是為了保證組織的核心活動：業(yè)務(wù)。其他10個安全域的控制措施是業(yè)務(wù)連續(xù)性管理的基礎(chǔ)，有關(guān)業(yè)務(wù)連續(xù)性管理的控制措施一般是不能刪減的。

ISO27001的業(yè)務(wù)連續(xù)性管理為組織的業(yè)務(wù)連續(xù)性提供了一個很好的管理模型。它不同于簡單的應(yīng)急預(yù)案，除了常規(guī)的審核點之外，還應(yīng)關(guān)注以下幾個方面：業(yè)務(wù)連續(xù)性管理是否體現(xiàn)了組織的業(yè)務(wù)特點；與風(fēng)險管理和業(yè)務(wù)影響分析的關(guān)聯(lián)。業(yè)務(wù)連續(xù)性計劃是否能夠保證業(yè)務(wù)的持續(xù)提供；恢復(fù)過程中的業(yè)務(wù)保持持續(xù)的方法。

4.檢查問題

監(jiān)視、測量和評審是進(jìn)行ISMS檢查的主要方法。ISMS檢查是體系運行的重要組成部分，就像每年參加體檢是保持身體健康的方法一樣，ISMS檢查是保持ISMS健康發(fā)展的有效方法。

對這一方面的審核主要集中在以下幾個方面：文件評審；內(nèi)審和管理評審；控制措施有效性測量方法和策略記錄；日常監(jiān)視，包括監(jiān)控、日志、網(wǎng)絡(luò)及桌面監(jiān)控等。

5.改進(jìn)問題

在ISMS檢查過程中和信息安全事件管理過程中，總是會發(fā)現(xiàn)各類問題，包括流程需要改進(jìn)；信息的安全技術(shù)的應(yīng)用；新的威脅和脆弱性的出現(xiàn)；發(fā)生違規(guī)事件，控制措施未滿足目標(biāo)等多個方面。針對這些問題，組織需要實施預(yù)防和糾正控制措施來保證體系的改進(jìn)和完善。對這一方面的審核主要關(guān)注以下幾個方面：ISMS檢查過程中發(fā)現(xiàn)的問題是否都已經(jīng)解決；未解決的問題是否制定了處理計劃或被組織接受，接受是否合理；針對潛在的問題是否有相應(yīng)的預(yù)防措施。

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

少妇的滋味在线_色综合一区二区_水蜜桃4美国伦理_中国一级黄_91九色网站,国产又黄又猛又粗又爽的小说网站,妇与子乱肉肉视频,日本大尺度激情做爰hd昼颜

ISO27001的“方法論”審核方式

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。