全国认证认可信息服务平台最新数据显示,截至2022年3月,我国有效的信息安全管理体系认证证书数达28314张,可以看到,27001认证自2005年诞生以来,已经从少数信息安全先行者的高端认证演变为了广为社会认可的基础认证。近日,ISO/IEC 27001标准第三个版本——2022版已正式发布。
虽然获得27001认证的组织越来越多,但很多组织发现,初次获证时,组织能够获得显而易见的内控提升,而在后续的维护过程中却难以实现持续改进。出现这种状况的原因是什么?最主要的原因是“重附录而轻正文”。
ISO/IEC 27001标准与其它ISO标准的一个显著区别在于它有一个“规范性附录”——附录A。附录A中包含了在信息安全管理领域相对全面的具体控制措施,在标准出现之初,一度被各路大神评价为极具指导性的标准,便于实施。但随着安全技术的日新月异,标准中的部分控制措施逐步变为鸡肋一样的存在;另一方面,不同组织对于信息安全的关注点并不相同,当然也不可能借助同样一套控制措施实现卓越管理。
纵观本次27001标准升版,一方面是同步近年来ISO管理体系标准的高阶结构(HLS)的一些调整;另一方面是同步ISO/IEC 27002:2022的内容更新附录A;还有一方面内容是不可忽视的,新版标准在一些措辞上进一步明晰,例如条款6.1.3 c) 注解:
原描述 附录A包含了控制目标和控制的综合列表
现描述 附录A包含可能的信息安全控制列表
对标准附录A的选择会形成SOA(适用性声明),反映到27001的认证证书上,此次标准换版的描述变化进一步明确了27001附录A的定位是一个可供参考的“可能的”信息安全控制集。这个思想在2013版的标准中已经有所体现,但在标准的实际应用中并没有获得广泛的理解,此次修订是更进一步的澄清。
在组织的信息安全管理中,依据业务类型的不同,控制措施可以来源于27001标准族的其它标准。例如:专注电信行业有《ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实践指南》;专注云服务有《ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制措施实践指南》;专注能源行业有《ISO/IEC 27019 能源行业的信息安全控制》等等。
控制措施还可以来源于其它信息安全相关标准,甚至是组织自定义的。这些控制与组织信息安全管理的耦合来源于风险评估(标准正文最核心的管理逻辑),来源于对业务的理解。ISO也推荐在27001的认证证书中可以描述SOA中的控制项来源于某一个具体的信息安全标准。
在信息安全管理体系已经成为基础认证的今天,随着标准换版在即,我们看27001的认证证书时,也应该关注到,27001的认证证书本身只是一个入门级安全基线。
组织SOA中实际采用了哪些控制,有没有引入行业标准,有没有自定义的控制,才是组织对自身业务理解的展现,才是组织有能力实现信息安全管理绩效的展现。