信息安全管理體系審核案例分析

隨著信息技術、數字技術和互聯網通訊技術的快速應用和推廣，社會發展對信息化的依賴程度越來越大。從人們日常生活、企業組織運作到國家各方面的治理，信息資源都是不可或缺的資源和資產，在政治、經濟、軍事、教育、科技、生活等方面發揮著相當重要的作用。

但是近年來，信息安全威脅事件頻發，信息罪犯造成的經濟損失快速增多，損失量位居全球第一。沒有網絡安全就沒有國家安全。2023年4月，國務院國資委修訂印發的《中央企業負責人經營業績考核辦法》中將網絡安全作為央企負責人考核內容的一部分。隨著《網絡安全法》《互聯網信息管理辦法》和《信息安全等級保護管理辦法》等多部相關法律法規的頒布實施，信息安全已上升為國家戰略，作為國家安全的一部分，將其必要性和緊迫性排到了首位，既獨立又滲透于各行業領域當中。

定義和范疇

信息安全是指對信息的保密性、完整性和可用性的保持。（注：另外，也可包括諸如真實性、可核查性、抗抵賴性和可靠性等其他特性）。

信息安全一般包括實體安全、運行安全、信息安全和管理安全等4個方面的內容。實體安全是指保護計算機設備、網絡設施以及其他通訊與存儲介質免遭地震、水災、火災、有害氣體和其他環境事故（如電磁污染等） 破壞的措施；過程運行安全是指為保障系統功能的安全實現，提供一套安全措施（如風險分析、審計跟蹤、備份與恢復、應急措施） 來保護信息處理過程的安全；信息安全是指防止信息資源的非授權泄露、更改、破壞，或使信息被非法系統辨識、控制和否認，即確保信息的完整性、機密性、可用性和可控性；管理安全是指通過信息安全相關的法律法令和規章制度以及安全管理手段，確保系統安全生存和運營。

經典案例回顧

管理，除了行業本身，還有第三方的監管，為市場和政府提供采信。依據標準GB/T 22080-2016/ISO/IEC 27000：2013，對企業進行認證，在對企業的信息安全管理體系的審核過程中，我們非常關注企業實施的典型案例，積累了大量的優秀實施案例，結合標準具體條款（部分） 要求，筆者回顧和梳理了以下幾方面產生的良好實踐案例與讀者分享：

1.理解相關方的需求和期望

標準條款4.2：

組織應確定：信息安全管理體系相關方；這些相關方與信息安全相關的要求。

注：相關方的要求課包括法律、法規要求和合同義務。

案例分析：

在某企業的ISMS手冊中看到了類似這樣的文字：“首先要解決里子問題，其次要解決面子問題，再次是其他問題”。企業的首席信息安全官（CISO） 說這是首席執行官（CEO） 在面試他的時候向他提出的要求，他是這樣解讀的：防止客戶信息泄露到競爭對手那里，造成業務的直接損失，這是里子問題；防止公司面向互聯網開放的各個系統被黑客篡改等，發生負面新聞，造成業務的間接損失，這是面子問題。不得不說，這位CEO雖然不懂信息安全的術語和細節，也沒讀過ISO 27001標準原文，但這句話非常清晰明確地點出了包括股東在內的各相關方的需求和期望。

企業的CISO說他的一切工作的起點，就是這句話，這恰好也是2013版ISO 27001相較于2005版新增的這一HLS條款的原意。

2.組織的角色，責任和權限

標準條款5.3：

最高管理層應確保與信息安全相關角色的責任和權限得到分配和溝通；

最高管理層應分配責任和權限，以確保信息安全管理體系符合本標準的要求；向最高管理者報告信息安全管理體系績效。

注：最高管理層也可為組織內報告信息管理體系績效，分配責任和權限。

案例分析：

企業的CISO說他們公司原來把信息安全管理的職責放在了首席信息官（CIO） 分管IT部門下面的設備運行維護部門下，因為早些年的信息安全工作主要是一些服務請求，例如用戶口令重置和防火墻白名單設置相關的，后來發現很多安全事件是IT部門下的開發部門的代碼沒寫好導致的，而這樣的架構和層級對等關系導致了與開發部門的溝通極其困難。再后來，CIO把信息安全工作從運維部分出來，專門設立了CISO崗位和部門，與開發部和運維部等部門平級。雖然現在還是每天都在打架，尤其是跟IT部門之外的部門打交道的時候，但信息安全管理工作的推進還是順暢很多。

企業的CISO對現狀的認識也比較深刻：打架的根源在于IT部門的性質是服務部門，核心職責是支撐好業務的運行，而信息安全管理的性質是踩剎車，是以平時給兄弟部門造成一系列小麻煩來防止突然有一天發生大麻煩。

3.規劃

標準條款6：

當規劃信息安全管理體系時，組織應考慮標準4.1中提到的事項和標準4.2中提到的要求，并確定需要應對的風險和機會，以：

確保信息安全管理體系可達到預期結果；

預防或減少不良影響；

達到持續改進。

組織應規劃：

應對這些風險和機會的措施；

如何將這些措施整合到信息安全管理體系過程中，并予以實現；

評價這些措施的有效性。

案例分析：

企業的CISO說他們部門每年年初制定的年度工作計劃就是ISO 27001標準中要求的規劃，ISO 27001標準中要求的規劃也就是他們部門每年年初制定的年度工作計劃。

企業的CISO說ISO 27001標準的條款6給他最大的價值就是幫他建立了一套制定規劃的方法和框架。用科學的基于風險評估和風險處置的思路來寫，比之前簡單地說投入人力和資金做某項目更容易說服上司。企業的人才和資金永遠都是稀缺資源，別人說服上司新建一條流水線都是用這樣的理由：投入1000萬，3年就能回本，再之后就是XXX利潤。信息安全管理工作是不能直接創造價值的，但可以通過減少損失的方式間接創造價值，比如CISO這樣說服他的上司：

安全創造的年度價值=ALE安全投入前-ALE安全投入后-安全的年度投入成本

注1：上述公式的4個參數的單位都是人民幣；

注2：ALE是年度損失期望的英文縮寫，ALE=ARO× SLE；

注3：ALE的本質就是風險；

注4：ARO的本質就是標準條款6.1.2d）2；

注5：SLE的本質就是標準條款6.1.2d）1。

4.遠程工作

標準條款A.6.2.2：

控制措施：應實現相應的策略及其支持性的安全措施，以保護在遠程工作地點上所訪問的、處理的或存儲的信息。

案例分析：

企業的CISO說，ISO 27002的6.2.2條款提到了“虛擬桌面”，我們認為這是個非常好的信息安全控制措施，雖然價格較貴。封閉是最好的保護。在虛擬桌面的工作環境下，所有的員工物理上觸摸的桌面和虛擬桌面之間是隔離的：物理桌面只是輸入設備和輸出設備，虛擬桌面才是計算設備和存儲設備。

我們設置了禁止磁盤映射后，從虛擬桌面就無法把文件傳回到物理桌面了，這大大降低了泄密風險。但虛擬桌面也有一些負面作用，例如確實工作上必要的文件傳輸，就要靠內網和外網間的文件服務器中轉加審批和審計，效率較低；例如一旦斷電斷網，就無法工作，所以我們加強了供電和網絡等的冗余。

5.資產清單

標準條款A.8.1.1：

控制措施：應識別信息以及與信息和信息處理設施相關的其他資產，并編制和維護這些資產的清單。

案例分析：

企業的CISO說，雖然ISO 27001的2013版相較于2005版放棄了基于資產、威脅和脆弱性的風險評估方法，他們也不再使用那種微軟Excel表格制作的風險評估報告，但他認為實時地摸清自己的家底還是很重要的。該企業的資產沒有按照硬件、軟件、服務、人員和聲譽之類的涇渭分明的分類方法，而是類似于CMDB，更強調CI之間的關聯關系和依賴關系等，也更強調實時性和準確性。

該企業的資產清單不是一個表格，而是一個可以在任意節點點擊鉆取的網狀結構的系統，該系統的數據主要來源于持續集成系統的各種發布，少量來源于本地掃描、網絡掃描和網絡流量抓包等技術手段，人工的增減刪改原則上是禁止的。該企業的資產屬性包括了：域名、IP、端口、接口、通用軟件包、責任人等。

企業的CISO說，假如fastjson的某個版本被曝出存在安全漏洞，可以在幾秒鐘內列出受影響的業務、系統、域名、ip、磁盤文件路徑等。

結語

數字化、信息化和互聯網技術的技術應用在快速發展，但凡涉及有數據、有信息化和有互聯網應用的企業都會涉及信息安全的管理。實踐證明，單純采用技術手段來保護信息和信息系統安全的作用是有限的，在缺乏良好管理的支撐下，有些技術甚至是無效的。通過信息安全管理體系并結合各種適用的控制措施（包括管理、技術和運行三方面） 才是組織信息安全的真正保障。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202011/ccaa_11186.html