本博客涉及标准的最后一个主要条款--第 9 条和第 10 条,涉及系统的绩效评估和改进。如果您遵循的是 "计划-执行-检查-行动 "周期,则第 9 条代表 "检查 "阶段,第 10 条涵盖 "行动 "阶段。
第 9 条:绩效评估
第 9 条对于评估信息安全管理系统(ISMS)的绩效至关重要。它涉及提出关键问题,如 "我们是否取得进展?"、"我们是否在改进?"以及 "信息安全风险是否得到控制?"
监控、衡量、分析和评估
第 9.1 条强调了评估 ISMS 有效性的重要性。要做到这一点,你需要确定
- 测量什么?
- 由谁来衡量和分析、
- 以及如何确保结果有效。
首先要考虑利益相关者和有关方面的信息需求。确定最关键的需求并清楚地表达出来。例如,如果关键需求是您的在线托管产品必须在 100% 的时间内可用,那么您就应该监控和测量服务器的正常运行时间,以满足这一期望。
不过,要注意不要衡量太多属性。重点关注约五项高层次的衡量标准,以确保系统按预期运行且性能较高。
内部审核
第 9.2 条要求根据风险安排和开展内部审核。高风险程序应经常审核,可能每年一到两次,而低风险领域则可减少审核次数。
内部审核的主要原则包括
- 完整性
- 公正陈述
- 专业谨慎
- 保密性
- 独立性
- 以证据为基础的方法
内部审核应确定不符合项、风险和机遇。详细记录审核结果,突出不符合项、风险和机遇。
管理评审
第 9.3 条侧重于管理评审,以确保 ISMS 始终适宜、充分和有效。这包括
- 确保 ISMS 符合业务目标
- 验证流程和控制措施是否得到有效实施和嵌入
虽然正式评审会议不是强制性的,但它通常是全面评估系统的最佳方式。
第 9 条的主要启示
- 确定利益相关者的信息需求
- 制定验证这些需求是否得到满足的措施(如网站/产品正常运行时间)
- 根据风险安排内部审核
- 采用最佳实践进行审核
- 定期进行管理评审,以评估绩效并讨论任何异常情况
第 10 条:改进
第 10 条代表了 "计划-实施-检查-行动 "周期中的 "行动"阶段。在评估系统性能(第 9 条)后,第 10 条指导您根据评估结果采取行动。
执行该条款可为您的业务带来巨大价值。记录不符合项、实施纠正措施并持续改进流程,可以改变你的运营。
持续改进
条款 10.1 要求致力于持续改进。通过在会议和流程中定期讨论,将 ISMS 纳入日常运营,使改进成为一种核心思想。
此外,创建论坛,如全体员工管理评审会议,以交流 ISMS 的改进情况。这将促进领导力、沟通、参与和强大的安全文化。
不符合项和纠正措施
条款 10.2 概述了应在 ISMS 中记录的不符合项类型,包括
- 未能满足 ISMS 要求
- 不遵守法律或合同义务
- 未按程序采取适当行动
- 供应商问题
- 项目失败
- 无效控制
- 管理系统中的缺陷活动
- 未处理的安全事件
- 客户投诉
- 来自用户或供应商的警报
- 未达到监控和衡量标准
- 未实现的目标
起初,这可能会让人不知所措,但随着时间的推移,通过有效的纠正措施系统地解决不符合项将使这一过程变得更加容易。关键是要记录一切。
例如,跟踪贵国网络安全机构(如澳大利亚网络安全中心或新西兰的 CertNZ)报告的每一起信息安全事件。这包括恶意软件、诈骗、电子邮件漏洞、设备滥用和拒绝服务攻击的警报。与国家网络安全机构合作,记录并应对这些威胁。
处理不符合项的步骤:
- 确定不符合项的程度和影响
- 确定限制影响的纠正措施
- 向员工传达纠正措施
- 实施并监控纠正措施
- 必要时采取进一步行动
- 与相关利益方沟通
长期纠正措施:
- 评估采取纠正措施的必要性
- 审查类似的不符合项
- 进行根本原因分析
- 分析对 ISMS 的潜在影响
- 实施纠正根本原因的行动
- 优先处理复发可能性较高且后果严重的领域
- 评估纠正措施的有效性
按照标准要求保存不符合项和纠正措施的书面证据。
第 10 条的主要启示
- 培养积极的持续改进文化
- 鼓励主动报告不符合项
- 立即执行纠正措施
- 找出根本原因
- 采取有效行动,解决最关键的根本原因
- 持续改进 ISMS