ISO27001认证信息安全产品采购及信息系统的运行维护
ISO27001认证信息安全产品采购及信息系统的运行维护
ISO27001:2005、GB/T22080-2008《信息管理体系要求》虽未对信息资产产品采购或由委托外包方提供运行维护服务作出明确要求,但在审核过程中,可参照(GB/T19001-2008《质量
管理体系 要求》标准的要求。
1、信息安全产品采购
(1)产品与服务提供准入要求。
ISO27001的认证审核员首先应熟知政府、行政主管机关最新发布的信息安全产品法律、法规以及相关产品标准要求,特别是资质、许可和涉密等方面的市场准入要求。其次,应把组
织正在使用的信息安全产品与主管机构发布的最新测评申请注册公告进行对比,包含涉密资质、等级,以及产品测评、系统评估、服务资质测评和人员申请注册等。除此之外,还应关注其图形界
面与文档资料是否均为中文,且具备自主知识产权、专利等。
(2)采购信息。
信息安全产品覆盖面广、类型多、门类广,主要有入侵检测系统、防火墙、VPN、入侵防御、信息过滤、网络通讯安全审计、网站恢复产品、文件加密产品、访问控制产品检验、远
程主机监测产品、非授权外联监测、反垃圾邮件、数据库扫描、主机安全漏洞扫描、曰志分析、安全管理平台、WEB过滤防护、数据库安全审计、网际恶意代码控制、反垃圾邮件客
户端产品、本地数据备份与恢复、主机文件监测和自适应网络主动防御等。审核时,应关注上述信息安全产品采购合同和相关技术文件中,对于采购信息充分性与适宜性证据的收集
。
(3)验证信息安全产品是否满足釆购要求。
熟知采购准入要求,收集充分采购信息,其目的是有效验证信息安全产品能否满足采购要求。由于信息安全产品技术含量高、版本更新快,且涉及知识产权、专利等,故审核时,不
妨采取多种形式,验证重要信息安全采购产品是否满足规定的采购要求。
2、关注信息安全产品运行维护
信息安全产品安装、调试及投入使用后,必须进行动态运行维护。审核时,应对防止业务
活动中断,以及对保护关键业务过程免受信息系统重大失误或灾难影响的保障能力作出评价。
尤其需关注外包方应提供如下内容,包含:设备原厂服务承诺;设备原厂服务授权;所选定的运行维护服务模式;定期对组织网络进行安全巡检,同时有巡检方案及记录;系统检测
报告及详尽的分析报告;技术升级和支持方案;现场原厂产品技术培训和根据必须动态再培训的证据等。
ISO27001认证信息安全风险评估
ISO27001认证信息安全风险评估
ISO27001认证信息安全风险评估,是实施风险评估的前提,为了保证评估过程的可控性以及评估结果的客观性,在信息安全风险评估实施前应进行充分的准备和计划信息安全风险评估的准备活动包含:
(1)明确信息安全风险评估的目标
在ISO27001信息安全风险评估准备阶段应明确风险评估的目标,为信息安全风险评估的过程提供导向。信息安全需求是1个组织为保证其业务正常、有效运行而必须达到的信息 安全要求,通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求,来明确信息安全险评估的目标。
(2)明确信息安全风险评估的范围
既定的ISO27001信息安全风险评估可能只针对组织全部资产的1个子集,评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或是多个关联的系统比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。
(3)组建适当的评估管理与实施团队
在评估的准备阶段,评估组织应成立专门的评估团队,具体执行组织的信息安全风险评估。团队成员应包含评估单位领导、信息安全风险评估专家、技术专家,还应该包含管理层、业务部门、人力资源、IT系统和来自用户的代表。
(4)进行系统调研
系统调研是明确被评估对象的过程。风险评估团队应进行充分的系统调研,为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包含:业务战略及管理规范、主要的业务功能和要求;网络结构与网络环境,包含内部连接和外部连接、系统边界;主要的硬件、软件:数据和信息、统和数据的敏感性;支持和使用系统的人员。
(5)明确信息安全风险评估依据和方法
ISO27001信息安全风险评估依据包含现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统 本身的实时性或性能要求等。根据信息安全评估风险依据,并综合考虑信息安全K险评估的目的、范围、时间、效果、评估人员素质等因素,选择具体的风险计算方 法,并依据组织业务实施对系统安全运行的需求.明确相关的评估剡断依据,使之能够与组织坏境和安全要求相适应。
(6)制定信息安全风险评估方案
ISO27001信息安全风险评估方案的内容通常包含:团队组织:包含评估团队成员、组织结构、角色、责任等内容。工作规划、信息安全风险评估各阶段的工作规划,包含工作内容、工作形式、工作成果等内容、时间进度安排、项目实施的时间进度安排。
(7)获得最高管理者对信息安全风险评估工作的支持
ISO27001信息安全风险评估必须相关的财力和人力的支持,管理层必须以明示的方式表明对评估活动的支持,对资源调配做出承诺,并对信息安全风险评估小组赋予足够的权利,信息安全风险评估活动才能顺当进行。
在做好风险评估的准备工作之后,必须对企业的当前的信息安全系统进行资产识别、威胁识别和脆弱性识别。
除此之外,在对企业进行信息安全风险评估以前,假如要保障企业信息安全风险评估过程顺当实现并且风险评估结果真实有效,最重要的一点是要首先针对企业的信息安全 管理工作制定1个风险评估策略。好的风险评估策略是风险评估模型是否设计成功的关键,同时,1个好的风险评估策略必须包含企业信息安全风险产生的起因以及 进行风险评估操作的范围和目的。
由于企业的信息安全风险的产生因素包含外部风险因素和内部风险因素,这些风险因素都是企业日常工作中时刻面临的。风险因素是企业信息安全风险事故发生的潜存原因,风险因素主要是引起企业信息安全风险事故发生 的大小以及频率的因素,是企业信息安全风险出现威胁和损失的内在和间接的原因。因此,要定时定量的对这些风险进行评估来测定其风险程度。