在组织实旋信息安全管理体系中,信息安全产品与制造业产品最大不同是前者“看不见”。大至信息系统,小至杀毒光盘等往往是组织向相关单位定别或通过购买而获取的,且其极大部分均是组织委托外包方提供后续运行维护服务。故若组织未明确采购及信息系统运行维护要求,则可能直接导致信息安全产品不能满足规定使用要求或已知预期用途要求,对组织整个业务运作过程而来威助。
ISO27001《信息管理休系要求》虽未对信息资产产品采购或由委托外包方提供运行维护服务作出明确要求,但在审核过程中,可参照《质量管理体系要求》标准的要求。
1、信息安全产品采购
(1) 产品与服务提供准入要求。
ISO27001的认证审核员首先应然知政府、行政主管机关履新发布的信息安全产品法律、法规以及相关产品标准要求,特别是资质、许可和沙密等方面的市场准入要求,其次,应把组织正在使用的信息安全产品与主管机构发布的最新测评注册公告进行对比,包括沙密资质、等级,以及产品测评,系统评估、服务资质测评和人员注册等。此外,还应关注其图形界面与文档资料是否均为中文,且具备自主知识产权、专利等。
(2) 采购信息。
信息安全产品颐盖面广、类型多、门类广,主要有入侵检测系统、防火墙,VPN、入侵防例、信息过滤、网络通讯安全审计、网站恢复产品、文件加密产品、访问控制产品检验,远程主机当测产品、非授权外联监测、反垃圾邮件、数据库扫插,主机安全属洞扫描、日志分析、安全管理平台、WEB过沙防护、数强库安全审计、网际恶息代码控制、反垃圾邮件客户滤产品、本地数础备份与恢复。主机文件监测和自适应网络主动防细等。审核时,应关注上述信息安全产品采购合同和相关技术文件中,对于采购信息充分性与适宜性证运的收集。
(3) 验证信息安全产品是否满足采购要求。
熟知采购准入要求,收集充分采购信息,其目的是有效验证信息安全产品能否满足采购要求。由于信息安全产品技术含量高、版本更新快,且涉及知识产权、专利等,故审核时,不妨采取多种形式,验证重要信息安全采购产品是否满足规定的采购要求。
2、关注信息安全产品运行谁护
(1)信息安全产品安装、调试及投入使用后,需要进行动态运行维护。审核时,应对防止业务活动中断,以及对保护关键业务过程免受信息系统重大失误或灾避影响的保障能力作出评价。
(2)尤其需关注外包方应提供如下内容,包括:设备原厂服务承诺;设备原厂服务授权;所选定的运行维护服务模式: 定期对组织网络进行安全巡检,同时有巡检方案及记录;系统检测报告及详尽的分析报告;技术升级和支持
方案:现场原厂产品技术培训和根据需要动态再培训的证据等。