积分: 0
设置
首页
Portal
企业简介
新闻资讯
公司业务
项目案例
服务中心
请登录
立即注册
搜索
搜索
本版
文章
帖子
用户
QQ登录
微信登录
微博登录
论坛
员工风采
公司简介和公众号
发展历程
企业文化
人才招聘
新闻动态和政策
通知公告
企业咨询
公司代理记账
企业及个人培训
科技型企业服务
军工企业认证
软件产品开发
企业服务案例
咨询认证案例
常见问题
下载中心
天津网泰君悦信息技术有限公司
»
›
企业咨询认证
›
ISO27001
›
ISO27001认证审核中关于“适用性声明”的合理性的探讨 ...
返回列表
查看:
9065
|
回复:
0
ISO27001认证审核中关于“适用性声明”的合理性的探讨
[复制链接]
admin
admin
当前离线
积分
430
58
主题
58
帖子
430
积分
管理员
积分
430
发消息
电梯直达
楼主
发表于 2016-3-6 14:01:47
|
只看该作者
|
倒序浏览
|
阅读模式
适用性声明
是组织描述应用于ISO27001信息安全管理体系(ISMS)的控制目标和控制措施。在ISO27001:2005、GB/T22080-2008《信息技术 安全技术 信息安全管理体系 要求》标准3.16条款指出:与组织信息安全管理体系相关并适用于组织信息安全管理体系(ISMS)的控制目标和控制措施的文件化的陈述。控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同业务和组织对信息安全业务要求。
由此可见,重视组织信息安全管理体系ISMS策划结果,是现场审核评价所选用适用性声明是否合理的基础,应尽可能在不影响组织正常运作前提下,设定异常、紧急极限条件,善于运用顺向追踪和逆向追溯相结合的灵活多样的审核方式,让组织信息安全风险得以充分释放;让不易察觉或容易被忽视的风险在现场审核得以充分显现。
1、需逐条确认组织选用与不选用适用性声明的合理性
适用性声明共有133条控制目标与控制措施。组织通常会采纳其中的绝大部分,但对于A.10.9 电子商务服务这3条,许多组织都将其删减。
一些组织在实施ISO27001信息安全管理体系时认为,若用Internet网等进行交易,才属于电子商务服务,其实不然。笔者认为:只要交易活动与后台物流及相关服务集成在一个IT系统中完成,就构成电子商务服务。如某银行通过线下型电话推销等形式向客户进行理财产品服务,并把服务予以外包。试想,作为银行如何保证外包方在向客户提供服务过程中其所获得信息是被银行充分授权且不会产生非授权使用?外包方在提供服务过程中如何对客户身份进行甄别?确保信息传递中不发生张冠李戴或由此带来的信息泄露。很显然,若组织存在上述活动,不选用电子商务服务控制目标与控制措施是不合理的。
随着非网络交易形式日益增多,如存在推销活动的证券、保险、电信和委托房屋买卖等,虽可能不存在在线交易,但却同样可能造成个人隐私乃至组织商业利益被泄露、窃听、冒充、算改或抵赖等,甚至它还有可能引起组织信息系统瘫痪,故不能删减A.10.9.1电子商务与A.10.9.3公共可用信息等控制措施。
2、需对使用最普通、最频繁的信息资产和使用过程中所产生衍生物的风险予以评估,制定、实施有效的控制措施
每天使用的手机,台式、便携式电脑,U盘,存储设备和光盘等,已成为最普通、最频繁的使用物品,并已成为开展工作不可或缺的信息交换工具。随着信息技术曰新月异,这些产品的功能不断增加、升级换代周期大为缩短,如手机具有信息存储等功能之外,还可进行电子商务活动等。在现场审核时,要关注使用这些信息资产及由此产生如电磁波辐射以及商业间谍等衍生物风险,特别需高度关注组织对这些风险管理的有效性。
认证
收藏
0
微信分享
相关帖子
•
软件公司如何开展CMM认证,CMM软件过程改进三个关键步骤
回复
使用道具
举报
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
QQ在线咨询
售前咨询热线
18622353695
售后服务热线
18902129391
快速回复
返回顶部
返回列表