政策合規性和資訊安全管理系統獨立審查控制措施的實務步驟 A.5.35 – A.5.37

A.5.35 資訊安全獨立審查

其目的是確保資訊安全按照組織政策和程序進行實施和運作。

基本上，貴組織的資訊安全管理方法及其實施應按計劃定期或發生重大變更時進行獨立審查。資訊安全管理系統 (ISMS) 的實施將包括資訊安全控制目標、控制措施、政策、流程和程序。

還應進行技術合規性驗證和審查，以確保符合組織的資訊安全政策和標準。這可以透過內部審計或認證審計來完成。審計結果和報告應在管理評審中向管理階層報告。

另一個經常被忽略的考慮因素是，當資訊發生重大變化時，也應該進行資訊安全審查。重大變更可能包括：

• 影響該組織的法律法規
• 重大事件
• 組織的業務發生了變化，並開展了新的業務，推出了新的產品或服務。

A.5.36 遵守資訊安全政策、規則和標準

其目的是確保資訊安全按照組織政策和程序進行實施和運作。

您的管理人員需要定期審查其職責範圍內資訊處理和程序是否符合相應的安全策略、標準和任何其他安全要求。

在確定如何衡量合規性時，您應該認真考慮使用自動化工具來報告和衡量結果，以便最有效地審查合規性。

務必確保所有審查工作均有記錄，並妥善保存這些記錄。如上所述，這些記錄可作為證據提交給獨立審查和審計機構。

管理人員應調查任何違規行為，以：

• 找出原因。
• 評估需要採取的任何糾正措施。
• 採取適當的糾正措施。
• 審查糾正措施，以驗證其有效性。

A.5.37 文件化的操作規程

這項控制措施的涵義顯而易見。它的目標是確保您的資訊處理設施運作正確且安全。

您應該考慮制定書面流程，其中：

• 多人以相同方式進行這項活動。
• 很少進行的活動，而且進行這些活動的操作說明很容易被遺忘。
• 如果操作不當，某項活動會帶來風險。

有些流程不需要文檔，例如自動化流程，其中技術流程本身就具有自文檔化功能，可以引導使用者完成整個流程，而無需外部正式文檔。

重點總結

這些控制措施的實施順序幾乎與標準中規定的順序相反。以下是一些關鍵要點：

• 記錄貴組織執行資訊安全操作的操作規程。
• 審查組織內部這些程序以及其他政策、規則和標準的執行情況，以確保它們得到遵守。
• 定期請獨立於該流程的人員對您的整個資訊安全管理系統進行獨立評估。
• 當您的組織發生重大變化時，也應考慮進行獨立審查。

• 查看本系列的前一篇： ISO 27001 控制措施中的法律、智慧財產權和個人識別資訊要求指南 A.5.31 - A.5.34 。
• 請參閱本系列的下一篇文章：人員管控：從招募到離職，實施關鍵資訊安全實踐