趙瑾 國建勝

摘要：闡述了基于ISO27000系列標準搭建的ISMS信息安全管理體系通過認證的益處，以及審核時應關注的重點及審核內(nèi)容及要求。

關鍵詞：信息安全;信息安全管理體系;體系認證

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）18-0045-02

開放科學（資源服務）標識碼（OSID）：

隨著信息技術的迅速發(fā)展，信息安全威脅應運而生，為應對和避免日益嚴重的信息安全問題，信息安全管理體系的搭建將成為減低信息安全風險的有效手段。通過認證可以更好地證明信息安全管理體系的有效性、充分性及專業(yè)性。

1概述

信息安全管理就是通過信息安全風險評估活動識別、分析信息安全風險，并采取措施將風險降到可接受水平并維持該水平的過程。搭建信息安全管理體系不是一了百當?shù)?，由于信息技術的不斷發(fā)展，新的威脅應運而生，信息安全管理應處于一個持續(xù)更新的、動態(tài)的狀態(tài)，不斷提升整體信息安全能力。

依據(jù)ISO 27000系列標準搭建和實施信息安全管理體系，一般從信息資產(chǎn)出發(fā)，根據(jù)資產(chǎn)的重要程度制定相應的信息安全措施保證業(yè)務連續(xù)性。體系可以規(guī)范員工行為，有效落實技術手段，保證信息安全體系的有效性及連續(xù)性。建立ISMS信息安全管理體系不僅可以預防和避免信息安全事件的發(fā)生，當發(fā)生信息安全事故時可以及時響應以減少帶來的損失。

組織的ISMS信息安全管理體系通過ISMS認證，表明組織已通過建立一套科學有效的管理體系作為信息安全的保障。通過認證有以下好處：

1）通過建立信息安全管理體系可以協(xié)調(diào)體系所需的各方資源，使體系相關方聯(lián)動，增加體系運行的有效性。這使得信息安全保障不僅僅是通過一個防火墻建立防護，而是經(jīng)過體系相關方進行全面的綜合管理。

2）組織建立信息安全管理體系需一定的投入，若組織的信息安全管理體系能通過專業(yè)認證機構的審核，從而獲得認證，企業(yè)不僅可以向其合作伙伴或競爭對手以及投資方展示其在行業(yè)內(nèi)的專業(yè)地位，還可在獲得認證后通過認證機構定期的監(jiān)督審核，不斷地被監(jiān)督和改善組織的信息安全管理體系，確保組織的信息安全管理水平，并可作為增強信息安全性的依據(jù)，使客戶及利益相關方感受到組織對信息安全水平的承諾。

3）通過認證的管理體系能滿足政府及行業(yè)主管部門的信息安全合規(guī)要求，并證明組織信息安全的合規(guī)性。

4）通過認證信息安全管理體系可以證明組織提供較為可靠的信息安全服務，通過認證可以樹立組織良好的信息安全形象，增加信息安全信任感，從而獲得合作伙伴的信任，有利于組織的業(yè)務推廣及實施，尤其涉及信息安全構成組織產(chǎn)品或服務的質(zhì)量特性時，如金融、電信等具有特殊要求的行業(yè)服務組織，體系通過ISO27001體系認證具有很有說服力的保證作用。除此之外，認證能夠促進業(yè)務推廣，提高跨行業(yè)的信息安全管理水平，有利于全球貿(mào)易的開展。

2 認證范圍和審核范圍

認證范圍是組織的產(chǎn)品、服務、體系受到認證機構信用擔保的范圍，用于認證注冊，用于表明組織ISMS所覆蓋的范圍。其中活動和過程是認證范圍的核心要素。

審核范圍是用于指導具體審核的實施。審核范圍通常包括受審組織的實際位置、組織單元、活動和過程。相比認證范圍，審核范圍包括審核覆蓋時期，一般包括上次現(xiàn)場審核的末次會議結束開始到本次審核的末次會議結束為止，對于初次認證的信息安全管理體系來說，審核覆蓋時期指組織內(nèi)部管理體系正式運行開始到初次認證第二階段審核的末次會議結束。

對于初次認證的信息安全管理體系，認證機構根據(jù)審核組已審核的范圍及審核結論確定批準最終的認證范圍。監(jiān)督審核時，必須依據(jù)認證范圍確定審核范圍，通常情況下，此時審核范圍大小與認證范圍一致。

3審核重點

認證審核一般分為三種情形，分別是初次認證審核、監(jiān)督審核、再認證審核，接下來將依次介紹這三種情形的審核形式及內(nèi)容。

3.1初次認證審核

初次認證審核時一般分第一階段審核和第二階段審核兩個階段進行，第一階段審核結束才能開展第二階段審核工作，兩個階段審核工作側(cè)重點不同。

3.1.1 第一階段審核

該審核階段，組織應將建立設計信息安全管理體系時的所有文件及ISO 27001中要求的文件、流程、指南等傳遞至認證機構。通過結合客戶組織的ISMS方針和目標，及其建設ISMS的思路與側(cè)重，特別是受審組織的審核準備情況，為策劃第二階段審核提供重點。該階段審核工作主要是文件評審，認證機構應與受審組織應提前約定文件評審的時間和地點，并在第二階段審核開始前完成文件評審工作。第一階段審核結束應形成書面報告記錄審核結果，并在第二階段審核前完成對第一階段審核的審核報告的評審，以選擇第二階段審核的具有相應能力的審核組成員。

3.1.2 第二階段審核

第二階段審核以第一階段審核的審核報告中形成文件的審核發(fā)現(xiàn)為基礎，通常在受審組織的場所進行。主要從檢查受審組織如何評估信息安全風險和如何設計其ISMS、檢查受審組織如何執(zhí)行ISMS監(jiān)控、測量、報告和評審、檢查管理者如何執(zhí)行管理評審、檢查管理者如何履行信息安全職責、落實安全方針、風險評估的執(zhí)行結果、控制目標與控制措施的實現(xiàn)、各種活動和職責，相互之間的連帶關系等幾個方面具體展開。

3.2監(jiān)督審核

監(jiān)督審核是受審組織通過ISMS認證后，認證機構對受審組織取得認證后，信息安全管理體系運行情況的監(jiān)督檢查，采用文件審查，現(xiàn)場審查的方式主要針對上次審核發(fā)現(xiàn)的糾正/預防措施的分析與執(zhí)行情況、內(nèi)審與管審的實施情況，管理體系的變更情況、信息資產(chǎn)的變更與相應的風險評估和處理情況、信息安全事故的處理和記錄等方面進行審核檢查。

3.3 再認證審核

再認證審核是組織由于特殊原因?qū)е抡J證失效，再次申請認證時執(zhí)行的審核，該審核從檢驗組織的ISMS是否持續(xù)全面的符合ISO 27001的要求、評審在這個認證周期中ISMS的實施與繼續(xù)維護的情況等方面展開，對組織的ISMS再次認證開展審核，采用文件審查、現(xiàn)場審查的方式進行。

4審核流程及要求

4.1審核流程

一般情況下，認證審核分為兩個階段：遠程審核及現(xiàn)場審核。

組織在體系認證前，應向認證機構提出認證申請，并提交申請該認證所需的材料。再認證機構受理后，受審組織應與認證機構簽訂認證合同，明確審核日期、審核范圍等內(nèi)容。在簽訂該認證合同后，受審組織應根據(jù)認證機構要求，將建立設計信息安全管理體系時的所有文件及標準所要求的文件發(fā)送至認證機構，進行遠程審核，認證機構應根據(jù)受審組織的ISMS方針、目標，策劃現(xiàn)場審核。

在開始ISMS認證現(xiàn)場審核前應制定適宜的審核計劃，說明審核目的、審核準則及引用文件、審核范圍、現(xiàn)場審核活動的日期及地點、現(xiàn)場審核活動預期的審核周期、審核組成員的職責、為審核區(qū)域配置的適當?shù)馁Y源、其他內(nèi)容如受審核方代表、后期安排、保密承諾等。

在開始現(xiàn)場審核前應先召開首次會議，審核組成員以及受審組織重要領導及組織成員均出席該會議，應在首次會議明確本次審核的審核計劃，審核范圍、審核方式及審核周期，受審組織應根據(jù)審核計劃分配成員配合審核組成員完成審核工作。

審核工作開始后，受審組織應做到積極、有效配合審核工作的開展，及時答復審核組的詢問，提供真實有效的材料以證明體系有效平穩(wěn)運行，不得偽造證據(jù)材料，欺瞞回避審核組提問。審核組應真實有效的記錄審核結果，并針對有爭議性的審核項及時與受審組織溝通，以保證審核結果的客觀性。

當所有現(xiàn)場審核工作結束后，應召開末次會議，審核組成員以及受審組織重要領導及組織成員均出席該會議，會議應對此次審核工作進行總結，及時指出審核過程中所發(fā)現(xiàn)的問題及不符合項，并向受審組織解釋存在問題的地方及問題存在的原因，與受審組織達成一致約定整改時間。

受審組織應在規(guī)定時間內(nèi)對所發(fā)現(xiàn)問題及不符合項及時整改，在整改過程中如有疑問，應及時與審核組成員溝通，在整改完成后，應及時提交整改結果，審核組對整改結果進行監(jiān)督審核，在關閉問題項及不符合項后，將審核結果上報至認證機構，認證機構對審核結果進行核查后向受審組織頒發(fā)認證證明。

4.2審核要求

ISMS認證審核主要從信息安全管理體系的管理要求和控制要求兩個方面進行，依據(jù)ISO 27001的內(nèi)容開展審核工作，具體要求如下：

4.2.1管理要求

對于信息安全管理體系，要求建立和管理ISMS，具體體現(xiàn)為應建立ISMS、實施與運行ISMS、監(jiān)視與評審ISMS、保持與改進ISMS;還對文件管理要求，具體體現(xiàn)為文件控制要求及記錄控制要求;對于管理職責，要求應做出管理承諾并對資源進行管理，具體表現(xiàn)為資源提供及培訓、意識和能力的培養(yǎng);對于內(nèi)部審核、管理評審及ISMS改進也有相應的管理要求。

4.2.2控制要求

對于體系的控制要求分別從安全方針、信息安全的組織、資產(chǎn)、人力資源安全、物理和環(huán)境安全、通信和運行管理、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、信息安全事故管理、業(yè)務連續(xù)性管理、符合性十二個控制域分別提出具體的控制要求。

對于安全方針的控制要求主要為應依據(jù)業(yè)務要求和相關法律法規(guī)，提供信息安全的管理方向和支持;對于信息安全的組織的控制要求主要包括兩個方面，一是內(nèi)部的組織應管理組織內(nèi)的信息安全，二是外放應保持被外方訪問與處理，與外方通信或被管理的組織的信息與信息處理設施的安全;對于資產(chǎn)的控制要求主要為實現(xiàn)和保持對組織資產(chǎn)的適當保護;對于人力資源安全的控制要求分別從雇用之前、雇傭期間、雇傭終止或雇傭變更等各個方面提出相應要求;對物理和環(huán)境安全，分別從安全區(qū)域及設備安全兩個角度提出相應控制要求;對于通信和運行管理，分別從運行程序和職責、第三方交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意代碼和移動代碼、備份、網(wǎng)絡安全管理、介質(zhì)處理、信息交換、電子商務服務、監(jiān)視等多個角度提出控制要求;對于訪問控制的控制要求從訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網(wǎng)絡訪問控制、操作系統(tǒng)的訪問控制、應用系統(tǒng)和信息訪問控制、移動計算機設施和遠程工作設施七個方面展開;對于信息系統(tǒng)獲取、開發(fā)和維護的控制要求包括信?息系統(tǒng)的安全要求、正確處理應用系統(tǒng)中的數(shù)據(jù)、密碼控制、系統(tǒng)文件的安全、開發(fā)過程和支持過程中的安全、技術脆弱性管理;對于信息安全事故管理的控制要求主要有報告信息安全事件和弱點及信息安全事故和改進的管理兩個方面;對業(yè)務連續(xù)性管理的控制要求主要為對于業(yè)務連續(xù)性管理的信息安全問題的控制要求;對于符合性的控制要求，則包括對于法律要求、安全方針與安全標準及技術的符合性控制要求。

5結語

通過對信息安全管理體系的大致介紹，以及對認證和審核范圍、審核重點、審核內(nèi)容及要求的研究，我們可以看出建設信息安全管理體系對于組織信息安全能力的提升有很大的幫助，并且通過認證，可以有力證明組織的信息安全能力及產(chǎn)品的信息安全性。另外，在實施體系審核時，應確保實施審核時應根據(jù)受審方業(yè)務特點和組織規(guī)模適當調(diào)整審核內(nèi)容，確保審核科學，公正，有效開展。

參考文獻：

[1] 王暉.醫(yī)院信息安全管理要求[J].信息安全與通信保密，2008，6（S1）：41-48.

[2] 山東國子軟件股份有限公司.IT企業(yè)視角下的信息安全[J].行政事業(yè)資產(chǎn)與財務，2017（22）：24-25.

[3] 徐黎源.基于ISO/IEC27001體系的中小企業(yè)信息安全管理機制研究[D].寧波：寧波大學，2009.