ISO27001认证审核需关注信息安全产品采购及信息系统的运行维护
在组织实施信息安全管理体系中,信息安全产品与制造业产品最大不同是前者“看不见”。大至信息系统,小至杀毒光盘等往往是组织向相关单位定制或通过购买而获取的,且其极大部分均是组织委托外包方提供后续运行维护服务。故若组织未明确采购及信息系统运行维护要求,则可能直接导致信息安全产品不能满足规定使用要求或已知预期用途要求,对组织整个业务运作过程带来威胁。
ISO27001:2005、GB/T22080-2008《信息管理体系要求》虽未对信息资产产品采购或由委托外包方提供运行维护服务作出明确要求,但在审核过程中,可参照(GB/T19001-2008《质量管理体系 要求》标准的要求。
1、信息安全产品采购
(1)产品与服务提供准入要求。
ISO27001的认证审核员首先应熟知政府、行政主管机关最新发布的信息安全产品法律、法规以及相关产品标准要求,特别是资质、许可和涉密等方面的市场准入要求。其次,应把组织正在使用的信息安全产品与主管机构发布的最新测评注册公告进行对比,包括涉密资质、等级,以及产品测评、系统评估、服务资质测评和人员注册等。此外,还应关注其图形界面与文档资料是否均为中文,且具备自主知识产权、专利等。
(2)采购信息。
信息安全产品覆盖面广、类型多、门类广,主要有入侵检测系统、防火墙、VPN、入侵防御、信息过滤、网络通讯安全审计、网站恢复产品、文件加密产品、访问控制产品检验、远程主机监测产品、非授权外联监测、反垃圾邮件、数据库扫描、主机安全漏洞扫描、曰志分析、安全管理平台、WEB过滤防护、数据库安全审计、网际恶意代码控制、反垃圾邮件客户端产品、本地数据备份与恢复、主机文件监测和自适应网络主动防御等。审核时,应关注上述信息安全产品采购合同和相关技术文件中,对于采购信息充分性与适宜性证据的收集。
(3)验证信息安全产品是否满足釆购要求。
熟知采购准入要求,收集充分采购信息,其目的是有效验证信息安全产品能否满足采购要求。由于信息安全产品技术含量高、版本更新快,且涉及知识产权、专利等,故审核时,不妨采取多种形式,验证重要信息安全采购产品是否满足规定的采购要求。
2、关注信息安全产品运行维护
信息安全产品安装、调试及投入使用后,需要进行动态运行维护。审核时,应对防止业务
活动中断,以及对保护关键业务过程免受信息系统重大失误或灾难影响的保障能力作出评价。
尤其需关注外包方应提供如下内容,包括:设备原厂服务承诺;设备原厂服务授权;所选定的运行维护服务模式;定期对组织网络进行安全巡检,同时有巡检方案及记录;系统检测报告及详尽的分析报告;技术升级和支持方案;现场原厂产品技术培训和根据需要动态再培训的证据等。
