基于ISO 27000的ISMS的认证审核研究

2022.06.25

赵瑾国建胜

摘要：阐述了基于ISO27000系列标准搭建的ISMS信息安全管理体系通过认证的益处，以及审核时应关注的重点及审核内容及要求。

关键词：信息安全;信息安全管理体系;体系认证

中图分类号：TP311? ? ? 文献标识码：A

文章编号：1009-3044（2021）18-0045-02

开放科学（资源服务）标识码（OSID）：

随着信息技术的迅速发展，信息安全威胁应运而生，为应对和避免日益严重的信息安全问题，信息安全管理体系的搭建将成为减低信息安全风险的有效手段。通过认证可以更好地证明信息安全管理体系的有效性、充分性及专业性。

1概述

信息安全管理就是通过信息安全风险评估活动识别、分析信息安全风险，并采取措施将风险降到可接受水平并维持该水平的过程。搭建信息安全管理体系不是一了百当的，由于信息技术的不断发展，新的威胁应运而生，信息安全管理应处于一个持续更新的、动态的状态，不断提升整体信息安全能力。

依据ISO 27000系列标准搭建和实施信息安全管理体系，一般从信息资产出发，根据资产的重要程度制定相应的信息安全措施保证业务连续性。体系可以规范员工行为，有效落实技术手段，保证信息安全体系的有效性及连续性。建立ISMS信息安全管理体系不仅可以预防和避免信息安全事件的发生，当发生信息安全事故时可以及时响应以减少带来的损失。

组织的ISMS信息安全管理体系通过ISMS认证，表明组织已通过建立一套科学有效的管理体系作为信息安全的保障。通过认证有以下好处：

1）通过建立信息安全管理体系可以协调体系所需的各方资源，使体系相关方联动，增加体系运行的有效性。这使得信息安全保障不仅仅是通过一个防火墙建立防护，而是经过体系相关方进行全面的综合管理。

2）组织建立信息安全管理体系需一定的投入，若组织的信息安全管理体系能通过专业认证机构的审核，从而获得认证，企业不仅可以向其合作伙伴或竞争对手以及投资方展示其在行业内的专业地位，还可在获得认证后通过认证机构定期的监督审核，不断地被监督和改善组织的信息安全管理体系，确保组织的信息安全管理水平，并可作为增强信息安全性的依据，使客户及利益相关方感受到组织对信息安全水平的承诺。

3）通过认证的管理体系能满足政府及行业主管部门的信息安全合规要求，并证明组织信息安全的合规性。

4）通过认证信息安全管理体系可以证明组织提供较为可靠的信息安全服务，通过认证可以树立组织良好的信息安全形象，增加信息安全信任感，从而获得合作伙伴的信任，有利于组织的业务推广及实施，尤其涉及信息安全构成组织产品或服务的质量特性时，如金融、电信等具有特殊要求的行业服务组织，体系通过ISO27001体系认证具有很有说服力的保证作用。除此之外，认证能够促进业务推广，提高跨行业的信息安全管理水平，有利于全球贸易的开展。

2 认证范围和审核范围

认证范围是组织的产品、服务、体系受到认证机构信用担保的范围，用于认证注册，用于表明组织ISMS所覆盖的范围。其中活动和过程是认证范围的核心要素。

审核范围是用于指導具体审核的实施。审核范围通常包括受审组织的实际位置、组织单元、活动和过程。相比认证范围，审核范围包括审核覆盖时期，一般包括上次现场审核的末次会议结束开始到本次审核的末次会议结束为止，对于初次认证的信息安全管理体系来说，审核覆盖时期指组织内部管理体系正式运行开始到初次认证第二阶段审核的末次会议结束。

对于初次认证的信息安全管理体系，认证机构根据审核组已审核的范围及审核结论确定批准最终的认证范围。监督审核时，必须依据认证范围确定审核范围，通常情况下，此时审核范围大小与认证范围一致。

3审核重点

认证审核一般分为三种情形，分别是初次认证审核、监督审核、再认证审核，接下来将依次介绍这三种情形的审核形式及内容。

3.1初次认证审核

初次认证审核时一般分第一阶段审核和第二阶段审核两个阶段进行，第一阶段审核结束才能开展第二阶段审核工作，两个阶段审核工作侧重点不同。

3.1.1 第一阶段审核

该审核阶段，组织应将建立设计信息安全管理体系时的所有文件及ISO 27001中要求的文件、流程、指南等传递至认证机构。通过结合客户组织的ISMS方针和目标，及其建设ISMS的思路与侧重，特别是受审组织的审核准备情况，为策划第二阶段审核提供重点。该阶段审核工作主要是文件评审，认证机构应与受审组织应提前约定文件评审的时间和地点，并在第二阶段审核开始前完成文件评审工作。第一阶段审核结束应形成书面报告记录审核结果，并在第二阶段审核前完成对第一阶段审核的审核报告的评审，以选择第二阶段审核的具有相应能力的审核组成员。

3.1.2 第二阶段审核

第二阶段审核以第一阶段审核的审核报告中形成文件的审核发现为基础，通常在受审组织的场所进行。主要从检查受审组织如何评估信息安全风险和如何设计其ISMS、检查受审组织如何执行ISMS监控、测量、报告和评审、检查管理者如何执行管理评审、检查管理者如何履行信息安全职责、落实安全方针、风险评估的执行结果、控制目标与控制措施的实现、各种活动和职责，相互之间的连带关系等几个方面具体展开。

3.2监督审核

监督审核是受审组织通过ISMS认证后，认证机构对受审组织取得认证后，信息安全管理体系运行情况的监督检查，采用文件审查，现场审查的方式主要针对上次审核发现的纠正/预防措施的分析与执行情况、内审与管审的实施情况，管理体系的变更情况、信息资产的变更与相应的风险评估和处理情况、信息安全事故的处理和记录等方面进行审核检查。

3.3 再认证审核

再认证审核是组织由于特殊原因导致认证失效，再次申请认证时执行的审核，该审核从检验组织的ISMS是否持续全面的符合ISO 27001的要求、评审在这个认证周期中ISMS的实施与继续维护的情况等方面展开，对组织的ISMS再次认证开展审核，采用文件审查、现场审查的方式进行。

4审核流程及要求

4.1审核流程

一般情况下，认证审核分为两个阶段：远程审核及现场审核。

组织在体系认证前，应向认证机构提出认证申请，并提交申请该认证所需的材料。再认证机构受理后，受审组织应与认证机构签订认证合同，明确审核日期、审核范围等内容。在签订该认证合同后，受审组织应根据认证机构要求，将建立设计信息安全管理体系时的所有文件及标准所要求的文件发送至认证机构，进行远程审核，认证机构应根据受审组织的ISMS方针、目标，策划现场审核。

在开始ISMS认证现场审核前应制定适宜的审核计划，说明审核目的、审核准则及引用文件、审核范围、现场审核活动的日期及地点、现场审核活动预期的审核周期、审核组成员的职责、为审核区域配置的适当的资源、其他内容如受审核方代表、后期安排、保密承诺等。

在开始现场审核前应先召开首次会议，审核组成员以及受审组织重要领导及组织成员均出席该会议，应在首次会议明确本次审核的审核计划，审核范围、审核方式及审核周期，受审组织应根据审核计划分配成员配合审核组成员完成审核工作。

审核工作开始后，受审组织应做到积极、有效配合审核工作的开展，及时答复审核组的询问，提供真实有效的材料以证明体系有效平稳运行，不得伪造证据材料，欺瞒回避审核组提问。审核组应真实有效的记录审核结果，并针对有争议性的审核项及时与受审组织沟通，以保证审核结果的客观性。

当所有现场审核工作结束后，应召开末次会议，审核组成员以及受审组织重要领导及组织成员均出席该会议，会议应对此次审核工作进行总结，及时指出审核过程中所发现的问题及不符合项，并向受审组织解释存在问题的地方及问题存在的原因，与受审组织达成一致约定整改时间。

受审组织应在规定时间内对所发现问题及不符合项及时整改，在整改过程中如有疑问，应及时与审核组成员沟通，在整改完成后，应及时提交整改结果，审核组对整改结果进行监督审核，在关闭问题项及不符合项后，将审核结果上报至认证机构，认证机构对审核结果进行核查后向受审组织颁发认证证明。

4.2审核要求

ISMS认证审核主要从信息安全管理体系的管理要求和控制要求两个方面进行，依据ISO 27001的内容开展审核工作，具体要求如下：

4.2.1管理要求

对于信息安全管理体系，要求建立和管理ISMS，具体体现为应建立ISMS、实施与运行ISMS、监视与评审ISMS、保持与改进ISMS;还对文件管理要求，具体体现为文件控制要求及记录控制要求;对于管理职责，要求应做出管理承诺并对资源进行管理，具体表现为资源提供及培训、意识和能力的培养;对于内部审核、管理评审及ISMS改进也有相应的管理要求。

4.2.2控制要求

对于体系的控制要求分别从安全方针、信息安全的组织、资产、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统获取、开发和维护、信息安全事故管理、业务连续性管理、符合性十二个控制域分别提出具体的控制要求。

对于安全方针的控制要求主要为应依据业务要求和相关法律法规，提供信息安全的管理方向和支持;对于信息安全的组织的控制要求主要包括两个方面，一是内部的组织应管理组织内的信息安全，二是外放应保持被外方访问与处理，与外方通信或被管理的组织的信息与信息处理设施的安全;对于资产的控制要求主要为实现和保持对组织资产的适当保护;对于人力资源安全的控制要求分别从雇用之前、雇佣期间、雇佣终止或雇佣变更等各个方面提出相应要求;对物理和环境安全，分别从安全区域及设备安全两个角度提出相应控制要求;对于通信和运行管理，分别从运行程序和职责、第三方交付管理、系统规划和验收、防范恶意代码和移动代码、备份、网络安全管理、介质处理、信息交换、电子商务服务、监视等多个角度提出控制要求;对于访问控制的控制要求从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统的访问控制、应用系统和信息访问控制、移动计算机设施和远程工作设施七个方面展开;对于信息系统获取、开发和维护的控制要求包括信?息系统的安全要求、正确处理应用系统中的数据、密码控制、系统文件的安全、开发过程和支持过程中的安全、技术脆弱性管理;对于信息安全事故管理的控制要求主要有报告信息安全事件和弱点及信息安全事故和改进的管理两个方面;对业务连续性管理的控制要求主要为对于业务连续性管理的信息安全问题的控制要求;对于符合性的控制要求，则包括对于法律要求、安全方针与安全标准及技术的符合性控制要求。

5结语

通过对信息安全管理体系的大致介绍，以及对认证和审核范围、审核重点、审核内容及要求的研究，我们可以看出建设信息安全管理体系对于组织信息安全能力的提升有很大的帮助，并且通过认证，可以有力证明组织的信息安全能力及产品的信息安全性。另外，在实施体系审核时，应确保实施审核时应根据受审方业务特点和组织规模适当调整审核内容，确保审核科学，公正，有效開展。

参考文献：

[1] 王晖.医院信息安全管理要求[J].信息安全与通信保密，2008，6（S1）：41-48.

[2] 山东国子软件股份有限公司.IT企业视角下的信息安全[J].行政事业资产与财务，2017（22）：24-25.

[3] 徐黎源.基于ISO/IEC27001体系的中小企业信息安全管理机制研究[D].宁波：宁波大学，2009.