欢迎来到华道众合官网收藏本站  |  网站地图  |  联系我们
HOME 首页 > ISO27001认证 > ISO27001认证_“A.18.2 信息安全评审”条款讲解

ISO27001认证_“A.18.2 信息安全评审”条款讲解

文章来源:华道众合  添加时间:2021/2/1
【标准条款】
A. 18.2 信息安全评审
目的:确保依据组织策略和规程来实现和运行信息安全。
A. 18.2.1 信息安全独立评审
应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现(如信息安全的控制目标、控制、策略、过程和规程)进行独立评审。
【理解与应用】
管理者宜启动独立评审。对于确保一个组织管理信息安全的方法持续适宜、充分有效,这种独立评审是必要的。评审宜包括评估安全方法改进的机会和变更的需要,包括策略和控制目的。
这样的评审宜由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的技能和经验。
独立评审的结果宜被记录并报告给启动评审的管理者。这些记录宜加以保持。如果独立评审识别出组织管理信息安全的方法和实现不充分,例如,不符合信息安全策略文件(见 A.5.1.1信息安全策略)中声明的信息安全的方向,管理者宜考虑纠正措施。
ISO/IEC 27007《信息安全管理体系审核指南》和 ISO/IEC TR 27008,《信息安全控制审核员指南》也提供了实现独立评审的指南。
 
【标准条款】
A.18.2.2 符合安全策略和标准
管理者应定期评审其责任范围内的信息处理和规程与适当的安全策略、标准和任何其他安全要求的符合性。
【理解与应用】
管理人员宜识别如何评审策略、标准和其他适用的法律法规规定的信息安全要求得到满足。为了高效的定期评审,宜考虑采用自动测量和报告工具。
如果评审结果发现任何不符合,管理人员宜:
(1)识别不符合的原因;
(2)评价达到符合性的措施需要;
(3)实现适当的纠正措施;
(4)评审所采取的纠正措施,验证其有效性,明确其缺陷或弱点。
宜记录并保持管理人员进行评审和采取纠正措施的结果。当在管理人员的责任范围内进行独立评审时,管理人员宜将结果报告给执行独立评审的人员(见 A.18.2.1信息安全独立评审)。
系统使用的运行监视见 A.12.4 日志和监视。
 
【标准条款】
A.18.2.3 技术符合性评审
应定期评审信息系统与组织的信息安全策略和标准的符合性。
【理解与应用】
技术符合性宜更适合在自动化工具辅助下实现评审,来产生供技术专家进行后续解释的技术报告。或者,由有经验的系统工程师进行人工评审(必要时,在适当的软件工具支持下)。
如果使用渗透测试或脆弱性评估,则宜格外小心,因为这些活动可能导致系统安全的损害。这样的测试宜预先计划,形成文件,且可重复执行。
任何技术符合性评审宜仅由有能力的、已授权的人员来完成,或在他们的监督下完成。
技术符合性评审包括运行系统的检查,以确保硬件和软件控制被正确实现。这种类型的符合性评审需要专业技术知识。
符合性评审还包括,例如渗透测试和脆弱性评估,该项工作可以由针对此目的而专门签约的独立专家来完成。符合性评审有助于发现系统的脆弱性,并有助于检查控制是否能有效预防由于这些脆弱性导致的未授权访问。
渗透测试和脆弱性评估提供系统在特定时间特定状态的快照。该快照仅限于渗透攻击期间实际被测试的系统部分。渗透测试和脆弱性评估不能代替风险评估。
ISO/IEC TR 27008提供了技术符合性评审的专门指南。
您可能还想看
网站首页    |    ISO20000认证    |    ISO27001认证    |    ISO27000认证    |    行业知识    |    查询下载    |    认证证书    |    关于我们    |    联系方式