ISO27001認(rèn)證審核中關(guān)于“適用性聲明”的合理性的探討

2022-07-17 11:04:59 admin 98

“適用性聲明”是組織描述應(yīng)用于ISO27001信息安全管理體系（ISMS）的控制目標(biāo)和控制措施。在ISO27001:2005、GB/T22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》標(biāo)準(zhǔn)3.16條款指出：與組織信息安全管理體系相關(guān)并適用于組織信息安全管理體系（ISMS）的控制目標(biāo)和控制措施的文件化的陳述?？刂颇繕?biāo)和控制措施是基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同業(yè)務(wù)和組織對(duì)信息安全業(yè)務(wù)要求。

由此可見，重視組織信息安全管理體系ISMS策劃結(jié)果，是現(xiàn)場(chǎng)審核評(píng)價(jià)所選用適用性聲明是否合理的基礎(chǔ)，應(yīng)盡可能在不影響組織正常運(yùn)作前提下，設(shè)定異常、緊急極限條件，善于運(yùn)用“順向追蹤”和“逆向追溯”相結(jié)合的靈活多樣的審核方式，讓組織信息安全風(fēng)險(xiǎn)得以充分釋放；讓不易察覺或容易被忽視的風(fēng)險(xiǎn)在現(xiàn)場(chǎng)審核得以充分顯現(xiàn)。

1、需逐條確認(rèn)組織“選用”與“不選用”適用性聲明的合理性

適用性聲明共有133條控制目標(biāo)與控制措施。組織通常會(huì)采納其中的絕大部分，但對(duì)于A.10.9 “電子商務(wù)服務(wù)”這3條，許多組織都將其刪減。

一些組織在實(shí)施ISO27001信息安全管理體系時(shí)認(rèn)為，若用Internet網(wǎng)等進(jìn)行交易，才屬于電子商務(wù)服務(wù)，其實(shí)不然。筆者認(rèn)為：只要交易活動(dòng)與后臺(tái)物流及相關(guān)服務(wù)集成在一個(gè)IT系統(tǒng)中完成，就構(gòu)成電子商務(wù)服務(wù)。如某銀行通過“線下型”電話推銷等形式向客戶進(jìn)行理財(cái)產(chǎn)品服務(wù)，并把服務(wù)予以外包。試想，作為銀行如何保證外包方在向客戶提供服務(wù)過程中’其所獲得信息是被銀行充分授權(quán)且不會(huì)產(chǎn)生非授權(quán)使用？外包方在提供服務(wù)過程中如何對(duì)客戶身份進(jìn)行甄別？確保信息傳遞中不發(fā)生“張冠李戴"或由此帶來的信息泄露。很顯然，若組織存在上述活動(dòng)，不選用“電子商務(wù)服務(wù)”控制目標(biāo)與控制措施是不合理的。

隨著非網(wǎng)絡(luò)交易形式日益增多，如存在推銷活動(dòng)的證券、保險(xiǎn)、電信和委托房屋買賣等,雖可能不存在“在線交易”，但卻同樣可能造成個(gè)人隱私乃至組織商業(yè)利益被泄露、竊聽、冒充、算改或抵賴等，甚至它還有可能引起組織信息系統(tǒng)癱瘓，故不能刪減A.10.9.1“電子商務(wù)”與A.10.9.3“公共可用信息”等控制措施。

2、需對(duì)使用最普通、最頻繁的信息資產(chǎn)和使用過程中所產(chǎn)生衍生物的風(fēng)險(xiǎn)予以評(píng)估，制定、實(shí)施有效的控制措施

每天使用的手機(jī)，臺(tái)式、便攜式電腦，U盤，存儲(chǔ)設(shè)備和光盤等，已成為最普通、最頻繁的使用物品，并已成為開展工作不可或缺的信息交換工具。隨著信息技術(shù)曰新月異，這些產(chǎn)品的功能不斷增加、升級(jí)換代周期大為縮短，如手機(jī)具有信息存儲(chǔ)等功能之外，還可進(jìn)行電子商務(wù)活動(dòng)等。在現(xiàn)場(chǎng)審核時(shí)，要關(guān)注使用這些信息資產(chǎn)及由此產(chǎn)生如電磁波輻射以及商業(yè)間諜等衍生物風(fēng)險(xiǎn)，特別需高度關(guān)注組織對(duì)這些風(fēng)險(xiǎn)管理的有效性。

***********************************************************************************************************************************************

深圳市安信達(dá)咨詢公司——26年老品牌，國家首批ISO認(rèn)證咨詢備案、中國百強(qiáng)咨詢機(jī)構(gòu)、十大影響力品牌、廣東省甲級(jí)咨詢單位、廣東省中小企業(yè)管理咨詢服務(wù)示范單位、深圳市中小企業(yè)管理咨詢服務(wù)示范單位、深圳市卓越績(jī)效促進(jìn)會(huì)會(huì)員單位、深圳市“市長質(zhì)量獎(jiǎng)”指定輔導(dǎo)單位！

在當(dāng)下急功近利、魚龍混雜的市場(chǎng)環(huán)境，安信達(dá)咨詢公司不忘初衷、始終如一堅(jiān)持公司的經(jīng)營理念：“提升管理，為客戶創(chuàng)造價(jià)值”，真真切切關(guān)注客戶的需求，一切以客戶的需求出發(fā)、以客戶的需求為導(dǎo)向，關(guān)注咨詢給客戶帶來的價(jià)值。安信達(dá)ISO認(rèn)證咨詢公司是華南地區(qū)同行業(yè)為數(shù)的不多的真正關(guān)注客戶需求和利益的正規(guī)品牌ISO咨詢機(jī)構(gòu)！

因此，與安信達(dá)合作，企業(yè)自身一定要明確需求，顯性的結(jié)果雖然相同（都有ISO質(zhì)量體系文件、都能通過認(rèn)證、都能獲取證書），但不同的目的、需求其輔導(dǎo)過程、深入程度、咨詢師安排及工作量不同，企業(yè)的收益也不同，當(dāng)然企業(yè)的投資也不同。有的只是獲得了一張證書，有的通過體系的有效建立、推行從而規(guī)范企業(yè)的管理、提升企業(yè)管理水平，有效預(yù)防不良，降低企業(yè)不良成本，提升效益，讓企業(yè)在競(jìng)爭(zhēng)激勵(lì)的市場(chǎng)環(huán)境中贏得更多機(jī)會(huì)。

公司技術(shù)力量雄厚，擁有一批優(yōu)秀、穩(wěn)定的專職咨詢團(tuán)隊(duì)。咨詢師隊(duì)伍中大多供職10年以上，歸屬感強(qiáng)、責(zé)任心強(qiáng)。70%的團(tuán)隊(duì)成員具有大型外資、港資、臺(tái)資品質(zhì)管理、生產(chǎn)運(yùn)營管理出身，實(shí)戰(zhàn)管理經(jīng)驗(yàn)豐富，對(duì)企業(yè)存在的問題能夠一陣見血并提供可靠的解決方案。

公司有規(guī)范、完善的內(nèi)部管理系統(tǒng)：

業(yè)內(nèi)首家實(shí)行：

1) 《咨詢師注冊(cè)制度》：此注冊(cè)制度高于國家注冊(cè)咨詢師要求，更加注重理論與實(shí)戰(zhàn)的結(jié)合。

2) 《咨詢師咨詢過程質(zhì)量監(jiān)控制度》：監(jiān)控來自三個(gè)方面：a、業(yè)務(wù)經(jīng)理；b、專業(yè)客服；c、咨詢總監(jiān)(抽查的方式)

3) 《咨詢師績(jī)效考核制度既咨詢師激勵(lì)制度》：主要考核專業(yè)的能力和態(tài)度（責(zé)任心）兩方面，態(tài)度方面的考核權(quán)重占65%，考核結(jié)果直接與薪酬與在職培訓(xùn)掛鉤，推動(dòng)與拉動(dòng)雙核驅(qū)動(dòng)，激勵(lì)咨詢師更好的服務(wù)客戶。

目前開展的ISO系列認(rèn)證有：ISO9001認(rèn)證、ISO14001認(rèn)證、IATF16949認(rèn)證、ISO13485認(rèn)證、OHSAS18001認(rèn)證、QC080000認(rèn)證、AS9100認(rèn)證、HACCP認(rèn)證、ISO22000認(rèn)證、ISO27001認(rèn)證、ISO20000認(rèn)證、FSSC22000認(rèn)證、SA8000認(rèn)證、ISO26000認(rèn)證、ISO17025認(rèn)證、QS認(rèn)證咨詢、英國BRC認(rèn)證、美國AIB認(rèn)證、TAPA認(rèn)證、ICTI認(rèn)證、ISO14604認(rèn)證、ISO50001認(rèn)證等。點(diǎn)擊標(biāo)準(zhǔn)查看詳細(xì)信息

標(biāo)簽: ISO27001認(rèn)證審核中關(guān)于“適用性聲明”的合理性的探討