國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
服務(wù)項目
“適用性聲明”是組織描述應(yīng)用于ISO27001信息安全管理體系(ISMS)的控制目標(biāo)和控制措施。在 ISO27001:2013,、GB/T22080-2016《信息技術(shù)安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)3.16條款指出:與組織信息安全管理體系相關(guān)并適用于組織信息安全管理體系(ISMS)的控制目標(biāo)和控制措施的文件化的陳述,。控制 目標(biāo)和控制措施是基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論,、法律法規(guī)的要求,、合同業(yè)務(wù)和組織對信息安全業(yè) 務(wù)要求。
由此可見,,重視組織信息安全管理體系ISMS策劃結(jié)果,,是現(xiàn)場審核評價所選用適用性聲明是否合理的基礎(chǔ),應(yīng)盡可能在不影響組織正常運作前提下,,設(shè)定異常,、緊急極限條件,善于運用“順向追蹤”和“逆向追 溯”相結(jié)合的靈活多樣的審核方式,,讓組織信息安全風(fēng)險得以充分釋放,;讓不易察覺或容易被忽視的風(fēng)險在現(xiàn)場 審核得以充分顯現(xiàn)。
1,、需逐條確認(rèn)組織“選用”與“不選用”適用性聲明的合理性適用性聲明共有133條控制目標(biāo)與控制措施,。組織通常會采納其中的絕大部分,但對于A.10.9 “電子商務(wù)服 務(wù)”這3條,,許多組織都將其刪減,。
一些組織在實施ISO27001信息安全管理體系時認(rèn)為,若用Internet網(wǎng)等進(jìn)行交易,,才屬于電子商務(wù)服務(wù),,其實不然。筆者認(rèn)為:只要交易活動與后臺物流及相關(guān)服務(wù)集成在一個IT系統(tǒng)中完成,,就構(gòu)成電子商務(wù)服務(wù),。如某銀行通過“線下型”電話推銷等形式向客戶進(jìn)行理財產(chǎn)品服務(wù),并把服務(wù)予以外包,。試想,,作為銀行如何保證外包方在向客戶提供服務(wù)過程中其所獲得信息是被銀行充分授權(quán)且不會產(chǎn)生非授權(quán)使用,?外包方在提供服務(wù)過程中如何對客戶身份進(jìn)行甄別?確保信息傳遞中不發(fā)生“張冠李戴"或由此帶來的信息泄露,。很顯然,,若組織存在上述活動,不選用“電子商務(wù)服務(wù)”控制目標(biāo)與控制措施是不合理的,。
隨著非網(wǎng)絡(luò)交易形式日益增多,,如存在推銷活動的證券、保險,、電信和委托房屋買賣等,雖可能不存在“在線交易”,,但卻同樣可能造成個人隱私乃至組織商業(yè)利益被泄露、竊聽,、冒充,、篡改或抵賴等,甚至它還有可能引起組織信息系統(tǒng)癱瘓,,故不能刪減A.10.9.1“電子商務(wù)”與A.10.9.3“公共可用信息”等控制措施,。
2、需對使用最普通,、最頻繁的信息資產(chǎn)和使用過程中所產(chǎn)生衍生物的風(fēng)險予以評估,,制定、實施有效的控制措施每天使用的手機(jī),,臺式,、便攜式電腦,U盤,,存儲設(shè)備和光盤等,已成為最普通,、最頻繁的使用物品,,并已成為開展工作不可或缺的信息交換工具。隨著信息技術(shù)曰新月異,,這些產(chǎn)品的功能不斷增加,、升級換代周期大為縮短,如手機(jī)具有信息存儲等功能之外,,還可進(jìn)行電子商務(wù)活動等,。在現(xiàn)場審核時,要關(guān)注使用這些信息資產(chǎn)及由此產(chǎn)生如電磁波輻射以及商業(yè)間諜等衍生物風(fēng)險,,特別需高度關(guān)注組織對這些風(fēng)險管理的有效性,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信