ISO27001认证审核中关于“适用性声明”的合理性的探讨

admin

适用性声明
是组织描述应用于ISO27001信息安全管理体系（ISMS）的控制目标和控制措施。在ISO27001:2005、GB/T22080-2008《信息技术 安全技术 信息安全管理体系 要求》标准3.16条款指出：与组织信息安全管理体系相关并适用于组织信息安全管理体系（ISMS）的控制目标和控制措施的文件化的陈述。控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同业务和组织对信息安全业务要求。

由此可见，重视组织信息安全管理体系ISMS策划结果，是现场审核评价所选用适用性声明是否合理的基础，应尽可能在不影响组织正常运作前提下，设定异常、紧急极限条件，善于运用顺向追踪和逆向追溯相结合的灵活多样的审核方式，让组织信息安全风险得以充分释放；让不易察觉或容易被忽视的风险在现场审核得以充分显现。

1、需逐条确认组织选用与不选用适用性声明的合理性
适用性声明共有133条控制目标与控制措施。组织通常会采纳其中的绝大部分，但对于A.10.9 电子商务服务这3条，许多组织都将其删减。
一些组织在实施ISO27001信息安全管理体系时认为，若用Internet网等进行交易，才属于电子商务服务，其实不然。笔者认为：只要交易活动与后台物流及相关服务集成在一个IT系统中完成，就构成电子商务服务。如某银行通过线下型电话推销等形式向客户进行理财产品服务，并把服务予以外包。试想，作为银行如何保证外包方在向客户提供服务过程中其所获得信息是被银行充分授权且不会产生非授权使用？外包方在提供服务过程中如何对客户身份进行甄别？确保信息传递中不发生张冠李戴或由此带来的信息泄露。很显然，若组织存在上述活动，不选用电子商务服务控制目标与控制措施是不合理的。
随着非网络交易形式日益增多，如存在推销活动的证券、保险、电信和委托房屋买卖等,虽可能不存在在线交易，但却同样可能造成个人隐私乃至组织商业利益被泄露、窃听、冒充、算改或抵赖等，甚至它还有可能引起组织信息系统瘫痪，故不能删减A.10.9.1电子商务与A.10.9.3公共可用信息等控制措施。

2、需对使用最普通、最频繁的信息资产和使用过程中所产生衍生物的风险予以评估，制定、实施有效的控制措施
每天使用的手机，台式、便携式电脑，U盘，存储设备和光盘等，已成为最普通、最频繁的使用物品，并已成为开展工作不可或缺的信息交换工具。随着信息技术曰新月异，这些产品的功能不断增加、升级换代周期大为缩短，如手机具有信息存储等功能之外，还可进行电子商务活动等。在现场审核时，要关注使用这些信息资产及由此产生如电磁波辐射以及商业间谍等衍生物风险，特别需高度关注组织对这些风险管理的有效性。