國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
服務(wù)項(xiàng)目
在組織實(shí)施信息安全管理體系中,,信息安全產(chǎn)品與制造業(yè)產(chǎn)品最大不同是前者“看不見”。大至信息系統(tǒng),,小至殺毒光盤等往往是組織向相關(guān)單位定制或通過購買而獲取的,,且其極大部分均是組織委托外包方提供后續(xù)運(yùn)行維護(hù)服務(wù)。故若組織未明確采購及信息系統(tǒng)運(yùn)行維護(hù)要求,,則可能直接導(dǎo)致信息安全產(chǎn)品不能滿足規(guī)定使用要求或已知預(yù)期用途要求,,對組織整個業(yè)務(wù)運(yùn)作過程帶來威脅。
ISO27001:2013,、GB/T22080-2016《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》雖未對信息資產(chǎn)產(chǎn)品采購或由委托外包方提供運(yùn)行維護(hù)服務(wù)作出明確要求,,但在審核過程中,可參照(GB/T19001-2016《質(zhì)量管理體系 要求》標(biāo)準(zhǔn)的要求,。
1,、信息安全產(chǎn)品采購
(1)產(chǎn)品與服務(wù)提供準(zhǔn)入要求,。
ISO27001的認(rèn)證審核員首先應(yīng)熟知政府、行政主管機(jī)關(guān)最新發(fā)布的信息安全產(chǎn)品法律,、法規(guī)以及相關(guān)產(chǎn)品 標(biāo)準(zhǔn)要求,,特別是資質(zhì)、許可和涉密等方面的市場準(zhǔn)入要求,。其次,,應(yīng)把組織正在使用的信息安全產(chǎn)品與主管機(jī)構(gòu)發(fā)布的最新測評注冊公告進(jìn)行對比,包括涉密資質(zhì),、等級,,以及產(chǎn)品測評、系統(tǒng)評估,、服務(wù)資質(zhì)測評和人員注 冊等,。此外,還應(yīng)關(guān)注其圖形界面與文檔資料是否均為中文,,且具備自主知識產(chǎn)權(quán),、專利等。
?。?)采購信息,。
信息安全產(chǎn)品覆蓋面廣、類型多,、門類廣,,主要有入侵檢測系統(tǒng),、防火墻、VPN,、入侵防御,、信息過濾、網(wǎng)絡(luò)通訊安全審計(jì),、網(wǎng)站恢復(fù)產(chǎn)品,、文件加密產(chǎn)品、訪問控制產(chǎn)品檢驗(yàn),、遠(yuǎn)程主機(jī)監(jiān)測產(chǎn)品,、非授權(quán)外聯(lián)監(jiān)測、反垃圾郵件,、數(shù)據(jù)庫掃描,、主機(jī)安全漏洞掃描、日志分析,、安全管理平臺,、WEB過濾防護(hù)、數(shù)據(jù)庫安全審計(jì),、網(wǎng)際惡意代碼控制,、反垃圾郵件客戶端產(chǎn)品、本地數(shù)據(jù)備份與恢復(fù),、主機(jī)文件監(jiān)測和自適應(yīng)網(wǎng)絡(luò)主動防御等,。審核時,應(yīng)關(guān)注上述信息安全產(chǎn)品采購合同和相關(guān)技術(shù)文件中,,對于采購信息充分性與適宜性證據(jù)的收集,。
(3)驗(yàn)證信息安全產(chǎn)品是否滿足釆購要求,。
熟知采購準(zhǔn)入要求,,收集充分采購信息,其目的是有效驗(yàn)證信息安全產(chǎn)品能否滿足采購要求,。由于信息安全產(chǎn)品技術(shù)含量高,、版本更新快,且涉及知識產(chǎn)權(quán),、專利等,,故審核時,不妨采取多種形式,,驗(yàn)證重要信息安全采 購產(chǎn)品是否滿足規(guī)定的采購要求,。
2、關(guān)注信息安全產(chǎn)品運(yùn)行維護(hù)
信息安全產(chǎn)品安裝、調(diào)試及投入使用后,,需要進(jìn)行動態(tài)運(yùn)行維護(hù),。審核時,應(yīng)對防止業(yè)務(wù)活動中斷,,以及對保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難影響的保障能力作出評價,。
尤其需關(guān)注外包方應(yīng)提供如下內(nèi)容,包括:設(shè)備原廠服務(wù)承諾,;設(shè)備原廠服務(wù)授權(quán),;所選定的運(yùn)行維護(hù)服務(wù)模式;定期對組織網(wǎng)絡(luò)進(jìn)行安全巡檢,,同時有巡檢方案及記錄,;系統(tǒng)檢測報告及詳盡的分析報告;技術(shù)升級和支持方案;現(xiàn)場原廠產(chǎn)品技術(shù)培訓(xùn)和根據(jù)需要動態(tài)再培訓(xùn)的證據(jù)等,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信