IATF16949    ISO9001   ISO14001

ISO27001认证咨询

ISO27001认证审核中关于“适用性声明”的合理性的探讨

2022-07-17 11:04:59 admin 87

ISO27001认证审核中关于“适用性声明”的合理性的探讨

 

“适用性声明”是组织描述应用于ISO27001信息安全管理体系(ISMS)的控制目标和控制措施。在ISO27001:2005、GB/T22080-2008《信息技术 安全技术 信息安全管理体系 要求》标准3.16条款指出:与组织信息安全管理体系相关并适用于组织信息安全管理体系(ISMS)的控制目标和控制措施的文件化的陈述。控制目标和控制措施是基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同业务和组织对信息安全业务要求。

 

由此可见,重视组织信息安全管理体系ISMS策划结果,是现场审核评价所选用适用性声明是否合理的基础,应尽可能在不影响组织正常运作前提下,设定异常、紧急极限条件,善于运用“顺向追踪”和“逆向追溯”相结合的灵活多样的审核方式,让组织信息安全风险得以充分释放;让不易察觉或容易被忽视的风险在现场审核得以充分显现。

 

1、需逐条确认组织“选用”与“不选用”适用性声明的合理性

 

适用性声明共有133条控制目标与控制措施。组织通常会采纳其中的绝大部分,但对于A.10.9 “电子商务服务”这3条,许多组织都将其删减。

 

一些组织在实施ISO27001信息安全管理体系时认为,若用Internet网等进行交易,才属于电子商务服务,其实不然。笔者认为:只要交易活动与后台物流及相关服务集成在一个IT系统中完成,就构成电子商务服务。如某银行通过“线下型”电话推销等形式向客户进行理财产品服务,并把服务予以外包。试想,作为银行如何保证外包方在向客户提供服务过程中’其所获得信息是被银行充分授权且不会产生非授权使用?外包方在提供服务过程中如何对客户身份进行甄别?确保信息传递中不发生“张冠李戴"或由此带来的信息泄露。很显然,若组织存在上述活动,不选用“电子商务服务”控制目标与控制措施是不合理的。

 

随着非网络交易形式日益增多,如存在推销活动的证券、保险、电信和委托房屋买卖等,虽可能不存在“在线交易”,但却同样可能造成个人隐私乃至组织商业利益被泄露、窃听、冒充、算改或抵赖等,甚至它还有可能引起组织信息系统瘫痪,故不能删减A.10.9.1“电子商务”与A.10.9.3“公共可用信息”等控制措施。

 

2、需对使用最普通、最频繁的信息资产和使用过程中所产生衍生物的风险予以评估,制定、实施有效的控制措施

 

每天使用的手机,台式、便携式电脑,U盘,存储设备和光盘等,已成为最普通、最频繁的使用物品,并已成为开展工作不可或缺的信息交换工具。随着信息技术曰新月异,这些产品的功能不断增加、升级换代周期大为缩短,如手机具有信息存储等功能之外,还可进行电子商务活动等。在现场审核时,要关注使用这些信息资产及由此产生如电磁波辐射以及商业间谍等衍生物风险,特别需高度关注组织对这些风险管理的有效性。


***********************************************************************************************************************************************

深圳市安信达咨询公司——26年老品牌国家首批ISO认证咨询备案、中国百强咨询机构、十大影响力品牌、广东省甲级咨询单位、广东省中小企业管理咨询服务示范单位、深圳市中小企业管理咨询服务示范单位、深圳市卓越绩效促进会会员单位、深圳市“市长质量奖”指定辅导单位!

在当下急功近利、鱼龙混杂的市场环境,安信达咨询公司不忘初衷、始终如一坚持公司的经营理念:“提升管理,为客户创造价值”,真真切切关注客户的需求,一切以客户的需求出发、以客户的需求为导向,关注咨询给客户带来的价值。安信达ISO认证咨询公司是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌ISO咨询机构!

 因此,与安信达合作,企业自身一定要明确需求,显性的结果虽然相同(都有ISO质量体系文件、都能通过认证、都能获取证书),但不同的目的、需求其辅导过程、深入程度、咨询师安排及工作量不同,企业的收益也不同,当然企业的投资也不同。有的只是获得了一张证书,有的通过体系的有效建立、推行从而规范企业的管理、提升企业管理水平,有效预防不良,降低企业不良成本,提升效益,让企业在竞争激励的市场环境中赢得更多机会。

公司技术力量雄厚,拥有一批优秀、稳定的专职咨询团队。咨询师队伍中大多供职10年以上,归属感强、责任心强。70%的团队成员具有大型外资、港资、台资品质管理、生产运营管理出身,实战管理经验丰富,对企业存在的问题能够一阵见血并提供可靠的解决方案。

公司有规范、完善的内部管理系统:

业内首家实行:

1) 《咨询师注册制度》:此注册制度高于国家注册咨询师要求,更加注重理论与实战的结合。

2) 《咨询师咨询过程质量监控制度》:监控来自三个方面:a、业务经理;b、专业客服;c、咨询总监(抽查的方式)

3) 《咨询师绩效考核制度既咨询师激励制度》:主要考核专业的能力和态度(责任心)两方面,态度方面的考核权重占65%,考核结果直接与薪酬与在职培训挂钩,推动与拉动双核驱动,激励咨询师更好的服务客户。

目前开展的ISO系列认证有:ISO9001认证、ISO14001认证、IATF16949认证、ISO13485认证、OHSAS18001认证、QC080000认证、AS9100认证、HACCP认证、ISO22000认证、ISO27001认证、ISO20000认证、FSSC22000认证、SA8000认证、ISO26000认证、ISO17025认证、QS认证咨询、英国BRC认证、美国AIB认证、TAPA认证、ICTI认证、ISO14604认证、ISO50001认证等。点击标准查看详细信息


首页
产品
新闻
联系