目前,世界上普遍采用的信息安全管理体系的认证标准是英国标准协会的信息安全管理委员会指导下制定的ISO/IEC27001:20021信息安全管理体系规范》。 组织实施信息安全管理体系认证,就是根据BS7799标准,建立完整的信息安全管理体系,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的持续性。
1.1 什么是信息安全管理认证
认证(Certification)是第三方依据程序对产品、过程、服务符合规定的要求给予书面保证(合格证书),认证的基础是标准,认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定,认证的证明方式是认证证书与认证标志。认证是第三方所从事的活动,通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证、信息安全保证等。
目前,世界上普遍采用的信息安全管理体系的认证标准是英国标准协会的信息安全管理委员会指导下制定的ISO/IEC27001:20021信息安全管理体系规范》。
组织实施信息安全管理体系认证,就是根据BS7799标准,建立完整的信息安全管理体系,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的持续性。
1.2认证的目的和作用
信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价,使组织在信息安全管理方面有更大的可信性,并且能够使用证书向利益相关的组织提供保证;同时,认证能够促进组织间的贸易关系,提高跨行业的信息安全管理水平,从整体上有利于各国的全球贸易的开展。
信息安全管理体系可以保证组织提供可靠的信息安全服务,对该体系进行认证可以树立组织信息安全形象,为客户、合作者提供信息安全信任感,有利于组织业务活动的开展,特别是当信息安全构成组织所提供产品或服务的一个质量特性时,如金融、电信等服务组织,开展BS7799体系认证对外具有很强的质量保证作用。
组织需要进行信息安全管理体系认证的目的一般有以下几个方面:
获得最佳的信息安全运行方式
保证业务安全
降低风险、避免损失
保护核心竞争优势
提高商业活动中的信誉
增加竞争能力
满足客户要求
保证可持续发展
符合法律法规要求
1.3认证范围
在向认证机构表达认证范围时要注意,组织寻求的认证范围应该与信息安全管理体系的范围是相同的。例如,组织可能有几个办公地点,安全管理系统在这几个地点进行,但是可能只要申请对一个办公地点的认证。
认证范围定义是审核员确定评估计划的基础。认证机构将选择需要评估的功能和活动,并评估审核的时间,以及选择有适当背景的审核员与技术专家。
认证范围声明应该表达清楚,易于阅读,并吸引潜在的贸易伙伴的注意,并保持准确性和完整性。在拟定认证范围时,需要考虑下列因素:
文件化的适用性声明
组织的相关活动
要包含在内的组织的范围
地理位置
信息系统边界、平台、应用
所包含的支持活动
例外情况
在开展认证过程之前认证机构需要对认证范围进行认可。
1.4 认证条件与认证机构的选择
组织要得到信息安全管理认证,必须在符合一定条件的基础上,通过认证机构派出的审核员依据ISO/IEC27001标准进行的审核,其过程如图1-1所示。
(1)认证的基本条件
组织按照ISO/IEC27001:2001标准与适用的法律法规要求建立并实施文件化的信息安全管理体系,并满足以下基本条件以后,可以向被认可的认证机构提出认证申请:
遵循法律、法规的努力己被相关机构认同
体系文件完全符合标准要求
体系己被有效实施,即组织在风险评估的基础上识别出需要保护的关键信息资产、制定信息安全方针、确定安全控制目标与控制方式并实施、完成体系审核与评审活动并采取相应的纠正预防措施。
(2)寻求认证机构
组织在具备体系认证的基本条件时,就可以寻求认证机构申请体系认证。
UKAS(United Kingdom Accreditation Service)英国皇家认可委员会是英国负责认证机构认可和实验室测量及试验认可的国家机构,从事信息安全管理体系认证(BS7799认证)的机构应获得UKAS的认可,UKAS对获得认可的认证机构每年进行监督,4年之后重新评估。UKAS管理并公布一份被认可的认证机构及其认证范围的清单。每一个机构被认可的认证范围可能是不同的,寻求认证的组织有责任就此做出必要的评价,以决定它们要选择的机构。
组织在选定认证机构后,就可以与之联系提交认证申请,在双方协商一致的情况下签订认证合同,认证费用是按照审核员的审核人天数(包括文件审核与完成审核报告的人天)与每人天的审核价格来计算。不同的认证机构费用标准也不相同。认证合同中应明确认证机构保守组织商业秘密,在组织现场遵守组织的有关信息安全规章的要求。审核所需的人天数取决于以下因素:
受审核的员工数
持有的信息量
场所数据与地理位置分布
与外界的接触面
所利用的信息技术的复杂程度
组织是否已具有一个相关的管理体系认证证书,如ISO9001
业务功能
企业类型
风险程度
图1-1 ISMS认证的过程
1.1 信息安全管理体系的认证过程
1.1.1 认证的准备
在认证之前,认证方与被认证方都要进行相应的准备活动。
被认证方需要按照ISO/IEC27001建立信息安全管理体系,在确认满足认证基本条件的情况下,被认证方向认证机构递交正式申请;认证机构对认证方的申请资料进行初步检查,确定是否受理申请。如受理申请,认证机构将评估认证费用和正式审核时间。
(1)组织可以寻求认证的类型
整个组织,包括所有的信息设施、信息系统和服务。
特定的信息系统。
(2)组织为认证要做的准备工作
文件化的信息安全方针、策略、程序、适用性声明及其他文件。
确定ISMS范围,以及此范围内的组织结构、人员组成、业务场所的数目、功能、信息安全的应用、业务特性、风险程序等相关材料。
己建立适当的安全组织和必要的基础设施,与信息安全相关的员工己落实明确的安全责任的相关说明资料。
ISMS范围内业务体系的描述,与外界的接口
法律、法规、合同的附加要求
采用了有效的风险评估和风险管理方法,对所有信息系统进行了风险评估。
根据ISO/IEC27001的标准要求,建立有效文件,将所有类型的安全风险和BS7799控制联系起来,并成功地选择了安全控制目标与控制措施。
组织有适当的风险接受的处理程序
文件化的信息安全检查列表,可以证明安全控制正在被正确地、有效地实施,并经过相关测试。
文件化的安全维护和管理的过程。
文件化的体系审核和管理评审报告。
1.1.2 认证的实施
(1)第一阶段―文件审核与初访
第一阶段主要是从总体上了解受审核方ISMS的基本情况,确认受审核方是否具备认证审核条件,为第二阶段的审核策划提供依据。审核的重点在于审核ISMS文件是否符合BS7799标准的要求。了解受审核方的活动、产品或服务的全过程,判断风险评估与风险管理状况,并对受审核方ISMS的策划及内审情况等进行初步审查。
文件审核
第一阶段现场审核准备
确定现场审核日期
编制第一阶段现场审核计划
编制检查表
第一阶段现场审核
编制第一阶段审核报告
第一阶段审核完成后,审核组应编制审核报告,报告内容包括审核的实施情况与审核结论、发现问题及下一步的工作重点。
第一阶段与第二阶段审核的差异如表1-1所示:
表1-1第一阶段与第二阶段审核的差异
|
|
第一阶段 |
第二阶段 |
|
目的 |
了解ISMS状况,确认受审核方是否具备认证审核条件;
‚确定第二阶段审核的可行性;
ƒ确定第二阶段审核的重点。 |
评价受审核方的ISMS是否有效实施;
‚决定受审核方能否通过认证审核并取得注册 |
|
范围 |
审核方的ISMS文件和有关资料
‚与重要信息资产及高风险源有关的现场 |
所有现场和有关文件与资料 |
|
审核人日 |
较少(约占总人日的1/3-1/4) |
较多(约占总人日的2/3-3/4) |
|
审核内容 |
适用的法律、法规的识别与满足的基本情况。
‚风险评估、风险管理方法策划的充分性
ƒ方针、策略、控制目标、控制措施的连贯性、适宜性。
„对实现信息安全方针与目标的策划
…组织内容与管理评审的实施情况 |
涉及标准的全部要素
‚受审核方的所有部门 |
|
审核报告 |
第一阶段的审核结论主要是对体系策划的充分性,风险评估和法律要求符合的充分性,以及体系文件的符合性进行评价。 |
整个审核的结论,对体系的符合性、有效性与适应性进行全面评价。 |
第二阶段审核是对信息安全管理体系的全面审核与评价,目的是验证组织的信息安全管理体系是否按照认证标准与组织体系文件要求予以有效实施,组织的安全风险是否被控制在组织可以接受的水平内,根据审核发现对组织的信息安全管理体系运行状况是否符合标准与文件规定做出判断,并据此对受审核方能否通过信息安全管理体系认证做出结论。
第二阶段的审核准备
审核组综合考虑第一阶段审核结论及受审核方对不符合项的纠正情况,确定进行第二阶段审核的时机和条件是否成熟。在此基础上,审核组进行第二阶段审核的准备工作:
确定现场审核日期
编制第二阶段现场审核计划
编制检查表
第二阶段的现场审核
首次会议
现场检查、收集审核证据
内部评定
审核组(受审核申请方不参加)汇总分析审核证据,确定不符合项,提出审核结论。
末次会议
审核组向受审核的企业领导,包括信息安全管理经理等,报告审核过程总结情况,发现的不符合项、审核结论、现场审核结束后的有关安排等。主要有以下内容:
审核范围的再次确认
不符合项的概要,纠正措施要求。
任何观察资料及建议性活动的概述
审核的综合评论
宣布审核结论建议
建议或认证的其他方面(如:认证的持续性)
审核机密性的再次确认
审核的期限取决于但并不局限于下列因素:
要面谈的人员的数量
所持的数据量
地点的数目
与外界的接口
使用的信息技术的复杂度
组织是否已经有了相关鉴定的管理系统证书,如ISO9001
业务功能
行业类型
风险程度
编制审核报告
现场审核后,审核组应编制审核报告,做出审核结论。审核组将审核报告提交认证机构、申请方等。审核报告包括以下方面:
审核场所
组织及适用的BS7799-2控制要求-参阅审核计划与适用性声明
组织关键文件的发布日期与版本,包括:方针、策略、程序、范围、适用性声明等文件
适用于组织的额外的强制性或自愿性标准或规则。
审核结果的综合评论
不符合项和观察报告的编号识别及类别
审核涉及到的人员
审核结论有以下三种情况:
信息安全管理体系己建立,运行有效,无严重不符合项和轻微不符合项,同意推荐认证通过。
信息安全管理体系己建立并正常运行,在审核过程中发现少数轻微不符合项或个别严重不符合项,要求组织在规定的时间内实施纠正措施,同意在验证纠正措施的实施后推荐认证通过。
信息安全管理体系仍有缺陷,在审核过程中发现较多的不符合项,需要在实施纠正措施后安排复审,本次不予以推荐认证通过。
1.1.3 证书与标志
组织采取了必要的纠正措施之后,并由认证机构验证通过,认证机构将为组织颁发ISMS证书,证书包括下述内容:
关于认证组织的信息
组织全称,涉及到的相关组织
业务的相关地点
业务的流程
相关的业务功能与活动
认证的范围
适用性声明和特定版本的描述
关于信息安全系统满足ISO/IEC27001认证标准的声明
证书开始生效的时间
证书号
只有认证机构认可了组织的认证范围,才能在证书上显示认可标志,UKAS认可标志的使用规则可参见BSI-DISC。
1.1.4 维持认证
审核和证书颁布并不代表认证结束。认证机构将继续监控ISMS符合标准的情况,通过执行每年至少一次的监督审核。这些监督审核的重点是抽样检查系统的某些领域,所以比最初的审核时间短,审核时间约为初始现场审核时间的三分之一。尽管审核团队可能会随时间不同而变化,但是对他们的能力要求和最初审核人员是一样的。
被认证机构有义务通知认证机构组织所发生的可能影响到系统或者证书的变更。这些变更包括:如,组织变更,人员变更,业务核心变更,技术变更,外部接口变更。
认证的有效期一般为三年。三年之后,系统需要认证机构重新进行审核。
对于被认证组织而言,认证后要定期进行自我评估活动,监控和检查ISMS,包括:
检查ISMS的范围是否充分
进行定期ISMS有效性检查,考虑安全审核结果、审核时间、建议、人员反馈
进行定期的规程文档的审查,以实施ISMS
审查可接受的风险水平,考虑组织变更、技术、业务目标的变化
实施ISMS的改善
采取适当的校正或者预防行动
见面会
审核组与组织的管理者、信息安全管理经理及有关人员会面,说明第一阶段审核的目的、范围、内容、程序和方法,识别评审难点,并陈述保密声明。
现场检查
与信息安全管理经理交谈,了解组织基本情况以及信息安全管理体系整体运行情况
到现场调查,了解信息资产、威胁、脆弱点识别是否有遗漏,风险评估与风险管理程序是否适宜,主要方式是审核文件、查阅记录。
检查组织的法律、法规获取识别情况以及法律、法规符合性
检查并评审组织的内审情况
检查并评审组织的ISMS策划的可行性和适用性:包括ISMS方针、策略、程序、控制目标、控制措施、运行策划等。
证实管理评审已实施
开不符合项报告
交流会
现场审核结束前,召开交流会,审核组长向受审企业通报第一阶段审核结论,指出存在的不符合项,提出纠正要求,并确定第二阶段审核的条件和具体事宜。
通常文件审核包括以下内容:
认证范围、适用性声明
信息安全方针、策略、程序、作业指导书
信息系统环境文件(信息基础设施、网络拓扑结构、信息系统相关人员)
风险评估与风险管理文件
业务持续性计划
体系审核和管理评审报告。
法律、法规、合同的要求
信息安全记录
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
