上周以审核方观察员的身份参加了一次ISO 27001的审核,获益良多。
此次参加的是一个“文档资料审核和初访”阶段,审核的对象是一个软件外包企业,共历时2天。
这个阶段的活动包括:
1、首次会议
作为审核方和之前做项目相比还是有很大差别的,客户对你的态度那是明显的不一样,而且这些认证的需求据我估计,应该也是他们国外的客户要求的,所以驱动力比较强。
首次会议是在一个大的会议室开的,客户来了30多人,来了2个副总,2个CXO,首次会议主要的是沟通一下这2天的计划安排,以及客户方领导的讲话动员,时间大约一共半个小时。
然后是客户的管理层代表访谈,主要通过管理层来了解公司的组织结构、管理体系的框架、职责和授权、信息系统结构,比较重要的是组织的安全目标、风险评估的管理、审核的重点关注区域和法律法规的识别。
2、文档审核
文档审核关注的应该是标准中应该被记录下来的那些文档是否存在,结构是否符合标准,还有事件管理,业务持续性管理等等,暂且不表,重点查看风险评估方法和适用性声明是否恰当,约两个半小时。
3、初次访问
初次访问的对象几乎包括了公司的所有部门,这个项目中一共是14个部门,每个部门时间大约1小时左右,这应该是2天的主要内容了,了解各个部门的业务流程后重点查看风险评估的结果和信息安全管理体系的执行情况。
4、末次会议
末次会议包括2个会议,一个是审核小组内部的讨论会议,大约20-30分钟,并根据讨论结果汇总出此次初审的Non-conformities、Observations、Noteworthy Efforts,然后和客户的审核小组成员沟通审核结果,并进行审核确认。
完了召开末次会议,基本参加人数和首次会议差不多,我们一起沟通两天以来的审核结果,挑一些主要的问题和与会人员一起沟通,并确定下次审核的大致安排。
通过此次的审核过程,我发现在ISO 27001审核中最重要的两个关键应该是风险评估和信息安全管理体系的执行情况,也就是说,如果你需要通过审核获得27001的证书,第一需要认真进行风险评估,而评估的对象是信息,不是信息系统,当然,信息系统肯定是最主要的,但其他信息也不能放过,而且风险评估的结果应该和管理层的理解是一致的,同时风险评估的结果也需要管理层进行确认,在评估完成后的风险处置计划也应该非常明确并识别出残余风险;第二是在一些关键区域、关键对象上要充分地体现出PDCA的过程来,有作业指导书、有实施记录、有问题报告、有纠正预防措施的记录,这些东西能证明你确实是按照PDCA的方式在执行你的信息安全管理体系。
当然,上面说的这2个只是关键点,并非全部,不管是帮助企业获得证书的咨询顾问,还是参与认证的企业,对于标准的熟悉决定了你获得证书的难易程度,并非是靠手中的一套标准就能做好一些项目的。在这个项目中建立体系的是几个以前做质量管理的人,他们的文档的整体结构、框架我个人认为非常完整,但对于安全的理解,比如CIA三性的理解、比如信息分类上出的问题都可以看出对标准的内涵缺乏一定的认识,凭心而论,要真想按照要求获得证书,以我的经验来看,还真是挺难的,不过任何证书到了中国,拿到手都变得简单了。
另一个方面,通过这两天的实习也深化了一个思想,审核发现问题不要停留在问题的表面,应该通过现象尽量去发现一些系统性的问题,比如在查看风险评估结果的时候,评估出公司使用盗版软件可能引起法律纠纷,而在风险评估报告上明确的写着“接受风险”,显然做风险评估的同志认为短期无法解决问题,而选择了接受,但法律纠纷可不是管理层或者股东能够接受的,从这个事情上看出的问题是管理层对风险评估结果没有认真的评审,而标准7.3里面明确地指出管理评审需要更新风险处置计划,如果认真地做了管理评审,接受法律纠纷的事情就不会发生了。
下个月还有3天的第二阶段的初审和跟踪,不知道又能学到些啥,拭目以待吧。
|