ISO / IEC27001認証の必然的な採用の5つの段階。可決

変化に対する感情的な反応の最終段階は受容です。

私たちに起こっていることの本質を完全に受け入れたのは、ISO 27001に準拠した認証監査に合格し、切望された証明書を取得することでした。今日、私たちは一連の記事を完成させています。資料の最後に、以前の記事へのリンクがあります。







監査の準備をするときは、まず、監査人のオフィス訪問の正式な詳細に注意してください。これは、プロセスを可能な限り効果的かつ無痛にするために必要です。

• 監査日に認証機関に同意する

通常、監査の月は、認証機関との契約の合意時に事前に話し合われます。監査の日付に近づくと、認証機関が訪問間隔の選択肢を提供する可能性が高く、監査に関与する主要な担当者のスケジュールに合わせる必要があります。異なる都市の複数のサイトを認証する場合は、ロジスティクスを慎重に検討し、監査チームと調整してください。

• 非自明な点-監査チームの構成と背景を明確にする

このアイテムは、ビジネスセキュリティの観点から役立ちます。もちろん、監査チームの独立性を管理することは、まず第一に、認証機関の仕事です。ただし、間違いはすべての人に発生するため、少なくともLinkedInで潜在的な監査人の経歴を確認することは不必要ではありません。



たとえば、監査人の1人が直接の競合他社のアクティブな従業員であることがわかりました。幸いなことに、これは監査の開始前に発見され、彼がチームから除外されたため、すべてがうまくいきました。しかし、この状況での潜在的なビジネスリスクは重大です。

• 監査計画について監査チームに同意する

これは、どの従業員と部門が監査に関与し、監査の何日に行われるかを理解するために必要です。



通常、計画では、監査の各日のスケジュールを時間単位で指定し、情報セキュリティ管理システムのどの部分とどのサービスを一度に監査するかを示します。

• 監査に参加する同僚の時間を予約する

監査チームの訪問のおおよそのスケジュールがわかれば、同僚の時間を計画できます。通常、監査人は、会社のトップマネジメント、情報セキュリティ部門（明らかに）、および認定される領域の運用を担当する人とのミーティングを開催したいと考えています。



たとえば、私たちの認証分野では、5つの主要なサービスが宣言され、監査人はこれらのサービスの提供を担当する各部門の責任者にインタビューしました。面接（病気、出張、休暇などの場合）のために部門長の代わりを提供することが重要です。

• すべての従業員に対してトレーニングと知識管理を実施する

要点は複雑に見えますが、実際はそれほど悪くはありません。すべての従業員は、情報セキュリティ管理システムに何らかの形で関与し、ポリシーによって確立されたルールを遵守する必要があります。ただし、情報セキュリティに対する従業員の責任のレベルは、作業の位置と詳細によって異なります。これは次のように実装されています。すべての従業員は、職位に応じて、情報セキュリティの分野で1つ以上の役割を持つことができます。各役割には従業員に対する独自の要件がありますが、会社のすべての従業員には基本的な役割「ユーザー」があります。知識の訓練とさらなる管理は、この役割に焦点を合わせるべきです。



テストを使用して、従業員の知識を管理します。この種のシステムは数多く市場に出回っていますが、企業ポータルに組み込まれている機能を使用しました。私たちの経験では、監査人はテスト結果をチェックし、従業員にテストからの制御質問をすることができます。

• 監査に参加する同僚のために個別のトレーニングを実施する

この時点で、すべての従業員に対して一般的なトレーニングがすでに実施されているはずです（会社のプロセスに変更が行われている理由と理由を従業員が理解できるようにするため）。ただし、監査に直接関与する同僚には特別な注意を払う必要があります。監査中は犯罪者は発生しないことを警告する価値があります。彼らは監査チームに日常業務について伝え、必要に応じて特定の質問に答えるだけです。

• 監査チームに必要なすべてのパスと許可を処理します

監査は、認証機関チームが会議室に入る前でも開始されることに注意してください。ビジネスセンターへの入り口は、最初の「防衛線」です。ここで、監査人は、オフィスの物理的なセキュリティがどれほど真剣に確保されているかを評価します。オフィススペースを借りている場合、監査人はおそらく地主との契約を調べて、物理的なセキュリティに対する当事者の責任の詳細を判断することをお勧めします。また、契約書に記載されている内容と現実が異なる場合、問題が発生する可能性があります。場合によっては、ビジネスセンターのセキュリティサービスとは別に作業する必要があります。



たとえば、監査人は、ビジネスセンターとの契約に、すべての訪問者にパスを発行するという条項があることに気づきましたが、ビジネスセンターの入り口ではパスが与えられていませんでした。契約には「手持ち」のパスの発行については言及されていないと回答しました。したがって、パスは発行されましたが、発行されていません:)



認証境界にデータセンターが含まれている場合は、事前に監査人向けの特別パスを発行してください。さらに、今後の訪問についてデータセンターの担当者と話し合い、データセンターの物理的なセキュリティに関する監査人の質問にどの従業員が回答するかを明確にすることをお勧めします。

技術研修

監査のための技術的な準備は、最も重要で難しい点の1つです。最初の監査の前に、私たちのITチームは一生懸命働かなければなりませんでした。物理的なセキュリティから始めましょう。



もちろん、物理的なセキュリティのほとんどは、ビジネスセンターのセキュリティサービスに割り当てられます。これは、建物へのアクセス、セキュリティと火災のアラーム、ビデオ監視などです。さて、私たちの側からは、オフィスの物理的なセキュリティを確保するための対策の「監査」を実施する必要がありました。

1. 複数のオフィスでアクセス制御システム（ACS）を交換または追加します。
2. 金庫の信頼性と設置の品質（床にボルトで固定されているかどうか）を確認します。
3. ファイリングキャビネットの監査を実行します（ロック、マーキングはありますか）。
4. , , .
5. . , .. . , , ( , , Wi-Fi ..).

次に、標準化について説明しましょう。これは、迅速な近代化とさらなるメンテナンスの容易さに向けた最も重要なステップの1つです。このアプローチにより、準備時間を大幅に節約できました。たとえば、ユーザーの作業用コンピューターのOS（オペレーティングシステム）をアップグレードしました。プロセスのコストにもかかわらず、この更新は、コンピューターディスクを暗号化し、特定のOSのサービス、ハードウェア、およびポリシーを最適化するために必要でした。



もちろん、暗号化に関しては、いくつかの落とし穴がありました。ワークステーションに従来のHDD（SSDやM2ではない）がある場合、そのようなコンピューターでの作業は苦痛になります。そのため、オフィスのハードウェアの一部もアップグレードする必要がありました。 2番目の問題は、コンピューターのハードドライブの「ライブ」が大幅に低下していることです。さて、そして3番目のニュアンス-ロード時にビットロッカーのパスワードを入力する必要がありました。当時、ネットワークのロック解除を設定する時間はまだなく、TPMはどこにでもあるわけではなく、ネットワークのロック解除なしでTPMを使用できるようにすることは、情報セキュリティの観点からは意味がありません。



前述のように、メインサーバーの容量を専用のデータセンターに移動しました。設備の整った小さなサーバールームがありましたが、ほとんどの場合、「私たちの」サーバールームは、専門サイトへの物理的なセキュリティの観点から失われます。



コロケーション用のデータセンターの選択肢は非常に多いことに注意してください。さらに、ISO 27001に従って認定されたデータセンターが市場に出回っています。この場合、ISO27001またはTIER IIIに従って正式に認定されていないデータセンターが選択されましたが、同時に必要なすべての技術的ソリューションと有能なスペシャリスト。メインデータセンターに関連するリスクの一部は、バックアップデータセンターによってカバーされていました。その結果、2つの「より単純な」データセンターは、すべての証明書を備えたデータセンターよりもコストが低くなります。



サーバーハードウェアの操作は、認定エピックの別の章になりました。サーバー上のOSを真剣に更新する必要があり、チームから多くの時間を要しました。多くのサービスはオープンソースです。はい、Microsoftサービスも使用していますが、認定により、可能なすべてのサービスをオープンソースソフトウェアに転送する必要がありました。そのため、コードアプローチとしてインフラストラクチャを積極的に実装し始めました。私たちが経験した重要な利点の1つは、多くのサービスのバックアップに失敗したことによるスペースの節約です。



監査におけるあらゆるものの主な証拠は、最も広い意味での記録です。技術的な観点から、これらはさまざまなログです。監査の準備として、ELKログ記録システムを使用してログを処理することに多くの時間を費やしました。このシステムは一種の「魔法の杖」になり、ログを手動で収集する必要がなくなりました。ELKのおかげで、ITスタッフはインシデントの調査にかかる時間を大幅に節約できます。さらに、システムのおかげで、ログバックアップの問題が解決されました。



これらは、技術トレーニングの観点からの主な仕事にすぎません。ただし、X日目（会社のISMSの監査）に進みましょう 。

監査はどうですか

審査官が認証監査の枠組みの中で研究する主な文書は、適用性声明、以下、SoAです。ISO 27001規格からの114の統制、それらの会社への適用可能性/非適用可能性、およびこれらの統制を実装する手段を示す必要があります。実際、このドキュメントは、この標準の実装に関する何ヶ月にもわたる作業を反映しています。



原則として、SoAの各ポイントの反対側には、会社がこれまたはその制御をどのように実装するかを説明するドキュメント（ポリシー）へのリンクが必要です。監査人は、SoAに記述されているすべてが真実であることを確認します。



これを行うために、彼は見えます：

• ISMSポリシー/ドキュメントがISO27001にどの程度準拠しているか。
• , .

«» – , , - .. – , , , .

内部ポリシーでサードパーティの標準を参照または言及する場合は、ポリシーに添付する必要があります（つまり、公式のコピーを購入する必要があります）。したがって、最初の段階では、監査人はドキュメントを操作し、2番目の段階では「フィールドに移動」します。



第二段階は、私たちには、最も陰湿であると同時に、最も興味深いもののようです。逆説的に、監査の準備をしていた内部チームは多くの前向きな感情を残しました。これの理由は何ですか？これはおそらく別の記事のトピックです。



第2段階では、オフィスとデータセンターの「物理的」チェックが行われます（認証境界に記載されているすべてのもの）。



監査人によるデータセンターへの訪問の準備をするときは、最初に、監査人と面会する人の割り当てについてデータセンターに同意する必要があります。さらに、そのような従業員は、データセンターの作業に関する高度なトレーニングと知識を持っている必要があります。監査人は、空調システム、通信チャネル、電源システム、発電機、物理的アクセスなど、データセンターのセキュリティに包括的に関心を持っています。



すべてのサイトでの監査の一環として、監査人は通常、レポートに次の情報を記録します。

• 適合性の証拠

これは、監査人が監査中に見つけた規格への準拠の証拠です。

• 重大な不適合

これは、会社があらゆる方法で回避する必要があるものです。これは、ISMS全体の有効性を危うくするミスマッチです。このような不一致については、常に修正措置を講じる必要があります。重大な違反が解消されるまで、証明書を発行することはできません。したがって、この不適合の解消を確認するために、監査人の別の訪問が必要になります。原則として、会社はこれに対して90日を与えられます。監査人の追加訪問は別途請求されることも覚えておく必要があります。

• 軽微な不適合（軽微な不適合）

わずかな不一致は会社に大きな問題を引き起こしません-監査の結果に基づいて、不一致を解消するために計画されている方法と時間枠を説明するフォームに記入するだけで十分です。それらの存在は、証明書の発行に影響を与えません。ただし、次の監査までに排除されない場合、それらは重大な不適合になります。

• 懸念事項（注意が必要な分野）

これらは、企業が近い将来に規格の要件を満たすことを妨げる可能性のある管理システムの要素です（通常はそのパフォーマンスに影響を与えます）。矛盾はありませんが、会社の注意が必要です。可能な限りそれらを排除することが最善です。

• 改善の機会

これらは、監査人が監査中に特定できた会社のISMSを開発する機会です。これらは、「システムをさらに改善する方法」シリーズのヒントです。

• 強み（強み）

ここで、監査人は、「ベストプラクティス」である、特に効果的なISMSの要素に注目します。これはあなたが本当にうまくやったことに対する公然の賞賛であると言うことができます。



監査の結果に基づいて、特定された上記のすべてのポイントを詳述したレポートを受け取ります。これは、次の監査の準備に使用する必要があります。

生きるには？

待望の証明書をついに受け取ったら、リラックスしないでください。毎年、会社の基準に準拠していることを確認する必要があります。今後、監査は会社の予算の通常の項目になります。

認定企業の主な任務は、情報セキュリティ管理システムを正常に機能させることと、適用可能性のステートメントからコントロールの機能を確認する記録を蓄積することです。

しかし、良いニュースがあります。完全な監査は3年ごとに行われます。認証監査から2年以内に、重要性の低いチェック、つまり検査監査が実行されます。検証の範囲が異なります。検査監査中に、適用性アプリケーションからの制御が選択的にチェックされ、監査人がすべてのサイトを訪問するわけではありません。つまり、これらの訪問は通常、より速く、より簡単です。

結論

ISO 27001認定は、ビジネス自体の機能と顧客の満足の両方に役立つ手段です。時間と費用が莫大に見えるという事実にもかかわらず、これらは情報セキュリティの観点から困難な時期に報われる投資です。私たちの一連の記事が、証明書を取得するというエキサイティングな道を歩み始めたすべての人に役立つことを願っています。

サイクルから前の資料を読んでください：

ISO / IEC27001認証の必然的な採用の5つの段階。



ISO / IEC27001認証の必然性 の5段階の否定。



ISO / IEC27001認証の必然的な採用の 怒り5段階。ISO / IEC27001認証の採用の必然性の5段階を交渉し



ます。うつ病