基于ISO 27000的ISMS的認證審核研究

趙瑾 國建勝

摘要：闡述了基于ISO27000系列標準搭建的ISMS信息安全管理體系通過認證的益處，以及審核時應關注的重點及審核內容及要求。

關鍵詞：信息安全;信息安全管理體系;體系認證

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）18-0045-02

開放科學（資源服務）標識碼（OSID）：

隨著信息技術的迅速發展，信息安全威脅應運而生，為應對和避免日益嚴重的信息安全問題，信息安全管理體系的搭建將成為減低信息安全風險的有效手段。通過認證可以更好地證明信息安全管理體系的有效性、充分性及專業性。

1概述

信息安全管理就是通過信息安全風險評估活動識別、分析信息安全風險，并采取措施將風險降到可接受水平并維持該水平的過程。搭建信息安全管理體系不是一了百當的，由于信息技術的不斷發展，新的威脅應運而生，信息安全管理應處于一個持續更新的、動態的狀態，不斷提升整體信息安全能力。

依據ISO 27000系列標準搭建和實施信息安全管理體系，一般從信息資產出發，根據資產的重要程度制定相應的信息安全措施保證業務連續性。體系可以規范員工行為，有效落實技術手段，保證信息安全體系的有效性及連續性。建立ISMS信息安全管理體系不僅可以預防和避免信息安全事件的發生，當發生信息安全事故時可以及時響應以減少帶來的損失。

組織的ISMS信息安全管理體系通過ISMS認證，表明組織已通過建立一套科學有效的管理體系作為信息安全的保障。通過認證有以下好處：

1）通過建立信息安全管理體系可以協調體系所需的各方資源，使體系相關方聯動，增加體系運行的有效性。這使得信息安全保障不僅僅是通過一個防火墻建立防護，而是經過體系相關方進行全面的綜合管理。

2）組織建立信息安全管理體系需一定的投入，若組織的信息安全管理體系能通過專業認證機構的審核，從而獲得認證，企業不僅可以向其合作伙伴或競爭對手以及投資方展示其在行業內的專業地位，還可在獲得認證后通過認證機構定期的監督審核，不斷地被監督和改善組織的信息安全管理體系，確保組織的信息安全管理水平，并可作為增強信息安全性的依據，使客戶及利益相關方感受到組織對信息安全水平的承諾。

3）通過認證的管理體系能滿足政府及行業主管部門的信息安全合規要求，并證明組織信息安全的合規性。

4）通過認證信息安全管理體系可以證明組織提供較為可靠的信息安全服務，通過認證可以樹立組織良好的信息安全形象，增加信息安全信任感，從而獲得合作伙伴的信任，有利于組織的業務推廣及實施，尤其涉及信息安全構成組織產品或服務的質量特性時，如金融、電信等具有特殊要求的行業服務組織，體系通過ISO27001體系認證具有很有說服力的保證作用。除此之外，認證能夠促進業務推廣，提高跨行業的信息安全管理水平，有利于全球貿易的開展。

2 認證范圍和審核范圍

認證范圍是組織的產品、服務、體系受到認證機構信用擔保的范圍，用于認證注冊，用于表明組織ISMS所覆蓋的范圍。其中活動和過程是認證范圍的核心要素。

審核范圍是用于指導具體審核的實施。審核范圍通常包括受審組織的實際位置、組織單元、活動和過程。相比認證范圍，審核范圍包括審核覆蓋時期，一般包括上次現場審核的末次會議結束開始到本次審核的末次會議結束為止，對于初次認證的信息安全管理體系來說，審核覆蓋時期指組織內部管理體系正式運行開始到初次認證第二階段審核的末次會議結束。

對于初次認證的信息安全管理體系，認證機構根據審核組已審核的范圍及審核結論確定批準最終的認證范圍。監督審核時，必須依據認證范圍確定審核范圍，通常情況下，此時審核范圍大小與認證范圍一致。

3審核重點

認證審核一般分為三種情形，分別是初次認證審核、監督審核、再認證審核，接下來將依次介紹這三種情形的審核形式及內容。

3.1初次認證審核

初次認證審核時一般分第一階段審核和第二階段審核兩個階段進行，第一階段審核結束才能開展第二階段審核工作，兩個階段審核工作側重點不同。

3.1.1 第一階段審核

該審核階段，組織應將建立設計信息安全管理體系時的所有文件及ISO 27001中要求的文件、流程、指南等傳遞至認證機構。通過結合客戶組織的ISMS方針和目標，及其建設ISMS的思路與側重，特別是受審組織的審核準備情況，為策劃第二階段審核提供重點。該階段審核工作主要是文件評審，認證機構應與受審組織應提前約定文件評審的時間和地點，并在第二階段審核開始前完成文件評審工作。第一階段審核結束應形成書面報告記錄審核結果，并在第二階段審核前完成對第一階段審核的審核報告的評審，以選擇第二階段審核的具有相應能力的審核組成員。

3.1.2 第二階段審核

第二階段審核以第一階段審核的審核報告中形成文件的審核發現為基礎，通常在受審組織的場所進行。主要從檢查受審組織如何評估信息安全風險和如何設計其ISMS、檢查受審組織如何執行ISMS監控、測量、報告和評審、檢查管理者如何執行管理評審、檢查管理者如何履行信息安全職責、落實安全方針、風險評估的執行結果、控制目標與控制措施的實現、各種活動和職責，相互之間的連帶關系等幾個方面具體展開。

3.2監督審核

監督審核是受審組織通過ISMS認證后，認證機構對受審組織取得認證后，信息安全管理體系運行情況的監督檢查，采用文件審查，現場審查的方式主要針對上次審核發現的糾正/預防措施的分析與執行情況、內審與管審的實施情況，管理體系的變更情況、信息資產的變更與相應的風險評估和處理情況、信息安全事故的處理和記錄等方面進行審核檢查。

3.3 再認證審核

再認證審核是組織由于特殊原因導致認證失效，再次申請認證時執行的審核，該審核從檢驗組織的ISMS是否持續全面的符合ISO 27001的要求、評審在這個認證周期中ISMS的實施與繼續維護的情況等方面展開，對組織的ISMS再次認證開展審核，采用文件審查、現場審查的方式進行。

4審核流程及要求

4.1審核流程

一般情況下，認證審核分為兩個階段：遠程審核及現場審核。

組織在體系認證前，應向認證機構提出認證申請，并提交申請該認證所需的材料。再認證機構受理后，受審組織應與認證機構簽訂認證合同，明確審核日期、審核范圍等內容。在簽訂該認證合同后，受審組織應根據認證機構要求，將建立設計信息安全管理體系時的所有文件及標準所要求的文件發送至認證機構，進行遠程審核，認證機構應根據受審組織的ISMS方針、目標，策劃現場審核。

在開始ISMS認證現場審核前應制定適宜的審核計劃，說明審核目的、審核準則及引用文件、審核范圍、現場審核活動的日期及地點、現場審核活動預期的審核周期、審核組成員的職責、為審核區域配置的適當的資源、其他內容如受審核方代表、后期安排、保密承諾等。

在開始現場審核前應先召開首次會議，審核組成員以及受審組織重要領導及組織成員均出席該會議，應在首次會議明確本次審核的審核計劃，審核范圍、審核方式及審核周期，受審組織應根據審核計劃分配成員配合審核組成員完成審核工作。

審核工作開始后，受審組織應做到積極、有效配合審核工作的開展，及時答復審核組的詢問，提供真實有效的材料以證明體系有效平穩運行，不得偽造證據材料，欺瞞回避審核組提問。審核組應真實有效的記錄審核結果，并針對有爭議性的審核項及時與受審組織溝通，以保證審核結果的客觀性。

當所有現場審核工作結束后，應召開末次會議，審核組成員以及受審組織重要領導及組織成員均出席該會議，會議應對此次審核工作進行總結，及時指出審核過程中所發現的問題及不符合項，并向受審組織解釋存在問題的地方及問題存在的原因，與受審組織達成一致約定整改時間。

受審組織應在規定時間內對所發現問題及不符合項及時整改，在整改過程中如有疑問，應及時與審核組成員溝通，在整改完成后，應及時提交整改結果，審核組對整改結果進行監督審核，在關閉問題項及不符合項后，將審核結果上報至認證機構，認證機構對審核結果進行核查后向受審組織頒發認證證明。

4.2審核要求

ISMS認證審核主要從信息安全管理體系的管理要求和控制要求兩個方面進行，依據ISO 27001的內容開展審核工作，具體要求如下：

4.2.1管理要求

對于信息安全管理體系，要求建立和管理ISMS，具體體現為應建立ISMS、實施與運行ISMS、監視與評審ISMS、保持與改進ISMS;還對文件管理要求，具體體現為文件控制要求及記錄控制要求;對于管理職責，要求應做出管理承諾并對資源進行管理，具體表現為資源提供及培訓、意識和能力的培養;對于內部審核、管理評審及ISMS改進也有相應的管理要求。

4.2.2控制要求

對于體系的控制要求分別從安全方針、信息安全的組織、資產、人力資源安全、物理和環境安全、通信和運行管理、訪問控制、信息系統獲取、開發和維護、信息安全事故管理、業務連續性管理、符合性十二個控制域分別提出具體的控制要求。

對于安全方針的控制要求主要為應依據業務要求和相關法律法規，提供信息安全的管理方向和支持;對于信息安全的組織的控制要求主要包括兩個方面，一是內部的組織應管理組織內的信息安全，二是外放應保持被外方訪問與處理，與外方通信或被管理的組織的信息與信息處理設施的安全;對于資產的控制要求主要為實現和保持對組織資產的適當保護;對于人力資源安全的控制要求分別從雇用之前、雇傭期間、雇傭終止或雇傭變更等各個方面提出相應要求;對物理和環境安全，分別從安全區域及設備安全兩個角度提出相應控制要求;對于通信和運行管理，分別從運行程序和職責、第三方交付管理、系統規劃和驗收、防范惡意代碼和移動代碼、備份、網絡安全管理、介質處理、信息交換、電子商務服務、監視等多個角度提出控制要求;對于訪問控制的控制要求從訪問控制的業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統的訪問控制、應用系統和信息訪問控制、移動計算機設施和遠程工作設施七個方面展開;對于信息系統獲取、開發和維護的控制要求包括信?息系統的安全要求、正確處理應用系統中的數據、密碼控制、系統文件的安全、開發過程和支持過程中的安全、技術脆弱性管理;對于信息安全事故管理的控制要求主要有報告信息安全事件和弱點及信息安全事故和改進的管理兩個方面;對業務連續性管理的控制要求主要為對于業務連續性管理的信息安全問題的控制要求;對于符合性的控制要求，則包括對于法律要求、安全方針與安全標準及技術的符合性控制要求。

5結語

通過對信息安全管理體系的大致介紹，以及對認證和審核范圍、審核重點、審核內容及要求的研究，我們可以看出建設信息安全管理體系對于組織信息安全能力的提升有很大的幫助，并且通過認證，可以有力證明組織的信息安全能力及產品的信息安全性。另外，在實施體系審核時，應確保實施審核時應根據受審方業務特點和組織規模適當調整審核內容，確保審核科學，公正，有效開展。

參考文獻：

[1] 王暉.醫院信息安全管理要求[J].信息安全與通信保密，2008，6（S1）：41-48.

[2] 山東國子軟件股份有限公司.IT企業視角下的信息安全[J].行政事業資產與財務，2017（22）：24-25.

[3] 徐黎源.基于ISO/IEC27001體系的中小企業信息安全管理機制研究[D].寧波：寧波大學，2009.