一、ISO27001標準簡介

    該標準分為三個部分，分別為引言、正文和附錄。

    引言介紹了建立信息安全管理體系(簡稱ISMS)的意義和原則；描述了體系建設過程中使用的過程方法和PDCA模型}說明了ISMS與其他管理體系的兼容性。

    正文的前三章介紹了標準的基本情況和涉及的術語和定義，從第四章開始，正式提出了ISMS的要求。標準也指出：“組織聲稱符合本標準時，對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。”

    標準有3個附錄，其中附錄A是規范性附錄，根據標準要求，依據附錄A的控制目標和控制措施的選擇和實施是標準正文的一部分。

    ISO27001的審核依據主要集中在標準的第4到第8章和附錄A。

二、ISMS審核內容

    標準的正文采用了PDCA模型，并將該模型應用于ISMS的所《認證技術》9011·05有過程中。

    ISMS的提出是源于最佳實踐，在附錄A中給出的39個控制目標和133條控制措施，涉及信息安全的11個方面。得到了世界上絕大多數國家的認同。控制措施的選擇和實施是ISMS建設很重要的一部分。標準利用PDCA模型，通過風險管理等方法將附錄A中的133條控制措施串聯起來，形成一個有機的整體。

    在實際審核過程中，通常會采用系統的方式對組織建立的ISMS進行審查，不同的審核人員采用的審核方法都可能存在著一定差別，在這里僅介紹一下“方法論”的審核方式。

三、“方法論”審核的方式

    哲學上的方法論是指人們認識世界、改造世界的一般方法，是指人們用什么樣的方式、方法來觀察事物和處理問題。簡單地說就是發現問題，分解問題，解決問題，檢查問題，改進問題。

    所謂方法論”審核方式是指對整個ISMS的實施情況按照方法論的步驟進行審核。其實ISO27001正是提出了一個信息安全管理的方法論：發現問題(建立信息安全方針、目標和范圍)，分解問題(風險評估)，解決問題(風險處理、控制措施選擇實施)，檢查問題(監視、測量和評審)，改進問題(保持和改進)。將這些過程串起來，再加上證據維護(文件管理)和資源保障(管理職責)即構成完整的ISMS體系建立和管理過程。

    在上述審核過程中，每個環節各有側重點。

1．發現問題

    任何組織的信息安全方針、目標和范圍的建立都是以組織的業務目標和業務風險為基礎的，業務是組織賴以生存的核心活動，因此任何管理體系的建設都是以業務為導向的。

2．分解問題

    將復雜的問題分解為小問題是解決問題的有效方式，采用風險評估是一個很有效的方法。大多數風險評估方法大同小異，標準也對風險評估的步驟和關鍵點給出了要求，關鍵是以下幾個方面：資產的統計是否充分，分類是否合理；威脅和脆弱點的識別是否遵照慣例，補充的威脅和脆弱點是否體現了組織的業務特點；風險評估的結果是否符合常識和業務風險特點。

3．解決問題

    通過風險評估，問題分解為多個簡單的問題。這些問題是否需要解決，如何解決取決于組織的業務特點和法律法規的要求。本階段審核的重點包含以下幾個方面。

    (1)風險接受是否合理；

    (2)適用性聲明中對附錄A的刪減是否合理；

    (3)選擇的控制目標是否有適宜、充分和有效的控制措施；

    (4)人力和物力保障是否到位。

    對第三條內容的審核過程非常重要，將涉及到組織范圍內選擇實施的一百多條控制措施。在這些控制措施中，雖然不同的組織側重點也有所不同，但附錄A中包含的11個安全域對組織都很重要，對任何內容的刪減都必須有充足的理由。

    在標準的正文中至少有五個地方提到了ISMS的建設是基于業務風險，因此，在ISMS的審核過程中，要充分了解和理解組織的業務，包括對控制措施的審核也要充分考慮組織的業務特點。

    控制措施分為兩類：預防類控制措施和糾正類控制措施。附錄A的133條控制措施中大多數為預防類控制措施，例如：人力資源安全、物理和環境安全通信和操作安全等。這些控制措施的充分性、適宜性和有效性是保障組織內部信息安全的基礎，是審核的關注點。還有一些是糾正類的控制措施，例如：信息安全事件管理和業務連續性管理。

    其中信息安全事件管理是組織內信息安全的重點，對于使用中的信息沒有絕對的安全，對安全事件的有效處理，可以將事件的影響降到最低。