本文將從方法論的視角對(duì)ISO27001審核應(yīng)關(guān)注的內(nèi)容進(jìn)行探討。

　　一,、ISO27001標(biāo)準(zhǔn)簡(jiǎn)介

　　該標(biāo)準(zhǔn)分為三個(gè)部分,，分別為引言、正文和附錄,。

　　引言介紹了建立信息安全管理體系(簡(jiǎn)稱ISMS)的意義和原則,；描述了體系建設(shè)過(guò)程中使用的過(guò)程方法和PDCA模型}說(shuō)明了ISMS與其他管理體系的兼容性。

　　正文的前三章介紹了標(biāo)準(zhǔn)的基本情況和涉及的術(shù)語(yǔ)和定義,，從第四章開(kāi)始,，正式提出了ISMS的要求。標(biāo)準(zhǔn)也指出：“組織聲稱符合本標(biāo)準(zhǔn)時(shí),，對(duì)于第4章,、第5章、第6章,、第7章和第8章的要求不能刪減,。”

　　標(biāo)準(zhǔn)有3個(gè)附錄,，其中附錄A是規(guī)范性附錄,，根據(jù)標(biāo)準(zhǔn)要求，依據(jù)附錄A的控制目標(biāo)和控制措施的選擇和實(shí)施是標(biāo)準(zhǔn)正文的一部分,。

　　ISO27001的審核依據(jù)主要集中在標(biāo)準(zhǔn)的第4到第8章和附錄A,。

　　二、ISMS審核內(nèi)容

　　標(biāo)準(zhǔn)的正文采用了PDCA模型,，并將該模型應(yīng)用于ISMS的所《認(rèn)證技術(shù)》9011·05有過(guò)程中,。

　　ISMS的提出是源于最佳實(shí)踐,，在附錄A中給出的39個(gè)控制目標(biāo)和133條控制措施，涉及信息安全的11個(gè)方面,。得到了世界上絕大多數(shù)國(guó)家的認(rèn)同,。控制措施的選擇和實(shí)施是ISMS建設(shè)很重要的一部分,。標(biāo)準(zhǔn)利用PDCA模型,，通過(guò)風(fēng)險(xiǎn)管理等方法將附錄A中的133條控制措施串聯(lián)起來(lái)，形成一個(gè)有機(jī)的整體,。

　　在實(shí)際審核過(guò)程中,，通常會(huì)采用系統(tǒng)的方式對(duì)組織建立的ISMS進(jìn)行審查，不同的審核人員采用的審核方法都可能存在著一定差別,，在這里僅介紹一下“方法論”的審核方式,。

　　三、“方法論”審核的方式

　　哲學(xué)上的方法論是指人們認(rèn)識(shí)世界,、改造世界的一般方法，是指人們用什么樣的方式,、方法來(lái)觀察事物和處理問(wèn)題,。簡(jiǎn)單地說(shuō)就是發(fā)現(xiàn)問(wèn)題，分解問(wèn)題,，解決問(wèn)題,，檢查問(wèn)題，改進(jìn)問(wèn)題,。

　　所謂方法論”審核方式是指對(duì)整個(gè)ISMS的實(shí)施情況按照方法論的步驟進(jìn)行審核,。其實(shí)ISO27001正是提出了一個(gè)信息安全管理的方法論：發(fā)現(xiàn)問(wèn)題(建立信息安全方針、目標(biāo)和范圍),，分解問(wèn)題(風(fēng)險(xiǎn)評(píng)估),，解決問(wèn)題(風(fēng)險(xiǎn)處理、控制措施選擇實(shí)施),，檢查問(wèn)題(監(jiān)視,、測(cè)量和評(píng)審)，改進(jìn)問(wèn)題(保持和改進(jìn)),。將這些過(guò)程串起來(lái),，再加上證據(jù)維護(hù)(文件管理)和資源保障(管理職責(zé))即構(gòu)成完整的ISMS體系建立和管理過(guò)程。

　　在上述審核過(guò)程中,，每個(gè)環(huán)節(jié)各有側(cè)重點(diǎn),。

　　1．發(fā)現(xiàn)問(wèn)題

　　任何組織的信息安全方針、目標(biāo)和范圍的建立都是以組織的業(yè)務(wù)目標(biāo)和業(yè)務(wù)風(fēng)險(xiǎn)為基礎(chǔ)的,，業(yè)務(wù)是組織賴以生存的核心活動(dòng),，因此任何管理體系的建設(shè)都是以業(yè)務(wù)為導(dǎo)向的,。

　　2．分解問(wèn)題

　　將復(fù)雜的問(wèn)題分解為小問(wèn)題是解決問(wèn)題的有效方式，采用風(fēng)險(xiǎn)評(píng)估是一個(gè)很有效的方法,。大多數(shù)風(fēng)險(xiǎn)評(píng)估方法大同小異,，標(biāo)準(zhǔn)也對(duì)風(fēng)險(xiǎn)評(píng)估的步驟和關(guān)鍵點(diǎn)給出了要求，關(guān)鍵是以下幾個(gè)方面：資產(chǎn)的統(tǒng)計(jì)是否充分,，分類是否合理,；威脅和脆弱點(diǎn)的識(shí)別是否遵照慣例，補(bǔ)充的威脅和脆弱點(diǎn)是否體現(xiàn)了組織的業(yè)務(wù)特點(diǎn),；風(fēng)險(xiǎn)評(píng)估的結(jié)果是否符合常識(shí)和業(yè)務(wù)風(fēng)險(xiǎn)特點(diǎn),。

　　3．解決問(wèn)題

　　通過(guò)風(fēng)險(xiǎn)評(píng)估，問(wèn)題分解為多個(gè)簡(jiǎn)單的問(wèn)題,。這些問(wèn)題是否需要解決,，如何解決取決于組織的業(yè)務(wù)特點(diǎn)和法律法規(guī)的要求。本階段審核的重點(diǎn)包含以下幾個(gè)方面,。

　　(1)風(fēng)險(xiǎn)接受是否合理,；

　　(2)適用性聲明中對(duì)附錄A的刪減是否合理；

　　(3)選擇的控制目標(biāo)是否有適宜,、充分和有效的控制措施,；(4)人力和物力保障是否到位。

　　對(duì)第三條內(nèi)容的審核過(guò)程非常重要,，將涉及到組織范圍內(nèi)選擇實(shí)施的一百多條控制措施,。在這些控制措施中，雖然不同的組織側(cè)重點(diǎn)也有所不同,，但附錄A中包含的11個(gè)安全域?qū)M織都很重要,，對(duì)任何內(nèi)容的刪減都必須有充足的理由。

　　在標(biāo)準(zhǔn)的正文中至少有五個(gè)地方提到了ISMS的建設(shè)是基于業(yè)務(wù)風(fēng)險(xiǎn),，因此,，在ISMS的審核過(guò)程中，要充分了解和理解組織的業(yè)務(wù),，包括對(duì)控制措施的審核也要充分考慮組織的業(yè)務(wù)特點(diǎn),。

　　控制措施分為兩類：預(yù)防類控制措施和糾正類控制措施。附錄A的133條控制措施中大多數(shù)為預(yù)防類控制措施,，例如：人力資源安全,、物理和環(huán)境安全通信和操作安全等。這些控制措施的充分性,、適宜性和有效性是保障組織內(nèi)部信息安全的基礎(chǔ),，是審核的關(guān)注點(diǎn)。還有一些是糾正類的控制措施，例如：信息安全事件管理和業(yè)務(wù)連續(xù)性管理,。

　　其中信息安全事件管理是組織內(nèi)信息安全的重點(diǎn),，對(duì)于使用中的信息沒(méi)有絕對(duì)的安全，對(duì)安全事件的有效處理,，可以將事件的影響降到最低,。

　　業(yè)務(wù)連續(xù)性管理則是所有控制措施中涵蓋面最廣的一類控制措施，無(wú)論是預(yù)防類措施還是糾正類措施,，其實(shí)都是為了保證組織的核心活動(dòng)：業(yè)務(wù),。其他10個(gè)安全域的控制措施是業(yè)務(wù)連續(xù)性管理的基礎(chǔ)，有關(guān)業(yè)務(wù)連續(xù)性管理的控制措施一般是不能刪減的,。

　　ISO27001的業(yè)務(wù)連續(xù)性管理為組織的業(yè)務(wù)連續(xù)性提供了一個(gè)很好的管理模型,。它不同于簡(jiǎn)單的應(yīng)急預(yù)案，除了常規(guī)的審核點(diǎn)之外,，還應(yīng)關(guān)注以下幾個(gè)方面：業(yè)務(wù)連續(xù)性管理是否體現(xiàn)了組織的業(yè)務(wù)特點(diǎn),；與風(fēng)險(xiǎn)管理和業(yè)務(wù)影響分析的關(guān)聯(lián)。業(yè)務(wù)連續(xù)性計(jì)劃是否能夠保證業(yè)務(wù)的持續(xù)提供,；恢復(fù)過(guò)程中的業(yè)務(wù)保持持續(xù)的方法,。

　　4．檢查問(wèn)題

　　監(jiān)視、測(cè)量和評(píng)審是進(jìn)行ISMS檢查的主要方法,。ISMS檢查是體系運(yùn)行的重要組成部分,，就像每年參加體檢是保持身體健康的方法一樣，ISMS檢查是保持ISMS健康發(fā)展的有效方法,。

　　對(duì)這一方面的審核主要集中在以下幾個(gè)方面：文件評(píng)審；內(nèi)審和管理評(píng)審,；控制措施有效性測(cè)量方法和策略記錄,；日常監(jiān)視，包括監(jiān)控,、日志,、網(wǎng)絡(luò)及桌面監(jiān)控等。

　　5．改進(jìn)問(wèn)題

　　在ISMS檢查過(guò)程中和信息安全事件管理過(guò)程中,，總是會(huì)發(fā)現(xiàn)各類問(wèn)題,，包括流程需要改進(jìn)；信息的安全技術(shù)的應(yīng)用,；新的威脅和脆弱性的出現(xiàn),；發(fā)生違規(guī)事件，控制措施未滿足目標(biāo)等多個(gè)方面,。針對(duì)這些問(wèn)題,，組織需要實(shí)施預(yù)防和糾正控制措施來(lái)保證體系的改進(jìn)和完善,。對(duì)這一方面的審核主要關(guān)注以下幾個(gè)方面：ISMS檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題是否都已經(jīng)解決,；未解決的問(wèn)題是否制定了處理計(jì)劃或被組織接受,，接受是否合理；針對(duì)潛在的問(wèn)題是否有相應(yīng)的預(yù)防措施,。

　　四,、小結(jié)

　　ISMS是一個(gè)文件化的管理體系，因此,，審核一個(gè)重點(diǎn)就是查看證據(jù),，即上述所有的審核都是基于文件和記錄等相關(guān)的證據(jù)進(jìn)行的。另外,，ISMS是組織管理體系中的一部分,，體系的范圍和與其他管理的接口也是在審核之初就應(yīng)該關(guān)注的內(nèi)容。