在了解ISMS的文件化要求之後,接下來要談的就是在管理制度中不可或缺的重要工作,也就是在ISO 27001本文第六章所要求的ISMS內部稽核,在整個稽核過程中,從擬定稽核計畫開始直到稽核結束,事實上,同樣也可以運用PDCA原則來進行。
好不容易在企業或組織中獲得高階主管的支持,組成跨部門的資安小組,並依據ISO 27001標準的要求,擬定出資安政策與各項作業規範,建立了文件化的資訊安全管理制度,並要求同仁們配合遵照實施。耗費了這麼多人力物力,突然有一天老闆詢問到底資安有沒有做好時,該如何去展現或證明資訊安全管理制度已經被有效地運作與維持呢?
正所謂「口說無憑」,因此IT人員勢必得拿出些「證據」才行。在資訊安全管理制度中,如果想要判定組織內的資安控制目標、資安控制措施以及實施的過程,是否符合ISO 27001標準的要求,並且如預期般地持續運作與有效維持,那麼定期地執行ISMS內部稽核,並留下相關的稽核報告和記錄,將會是最好的證明方法。
擬定稽核計畫
如果想要順利完成ISMS內部稽核,以展現出這些日子來資安管理的成效,其實可以秉持之前所提到的PDCA模式來進行。
PDCA是指「計畫→執行→檢核→行動」的過程,因此在一開始的稽核計畫階段,首先要確認稽核準則和稽核範圍,也就是先去了解稽核的依據是什麼,還有稽核範圍到底適不適合。
舉例來說,若是實施ISO 27001標準的資安稽核,那稽核的依據就是ISO 27001本文和附錄A5~A15控制措施,如果接受驗證的範圍是資訊部門與其負責的機房維運流程,那麼其他和此一維運流程無關的單位,既使發現了不符合標準要求的事項,也不應將它列為此次稽核發現的缺失。
在稽核計畫階段,負責的主導稽核員還需要準備稽核行程表和檢查清單,也要召開稽核前的工作會議,向稽核團隊說明查核的標準、當天的行程以及稽核方法。
稽核行程表說明了當天的實施流程,因此必須事先傳送給受稽單位並請其確認,而檢查清單則是供稽核小組確認稽核計畫是否有遺漏的地方,通常在檢查清單中的項目至少會包括:
●受稽單位連絡人的姓名、電話
● 稽核當天所需的引導人員數量
● 稽核當天可作為稽核小組使用的會議室
● 受稽單位是否對於稽核人員有健康或特別要求
● 稽核時是否需要穿著或配掛特殊裝備
● 稽核時需要遵守的現場安全規定
● 稽核人員需要簽署的保密切結書
至於內部稽核的實施頻率,一般而言一年執行兩次是適當的,組織也可依照本身業務形態的重要性,來決定是否需要增加稽核的次數,但要注意的是實施頻率若過於頻繁,可能會造成相關業務人員作業的負擔與困擾,因此這點也要審慎加以評估。
建立稽核團隊
實施稽核同樣需要耗費一些人力、物力資源,其中挑選出適當的稽核團隊是成功的必要條件。在挑選人員時應該事先了解其具有的專業技能,例如應選擇具有網路規劃和防火牆專長的人員去稽查網路的存取安全控制,或是派出熟悉環境安控的人員去稽核實體安全的防護。換句話說,如果稽核人員本身不了解受稽單位的作業事項,很可能無法察覺潛在的一些不符合標準要求的項目。
此外,有一種狀況是務必要避免的,那就是稽核人員不應當稽核和其本身有關的工作,像是負責網路防火牆管理的人員去負責稽查網路存取安全,那麼這種「球員兼裁判」的行為,將無法達到所設定的稽核目標,同時也使稽核工作失去意義。
所以,一旦建立了稽核團隊之後,在稽核計畫階段就需要收集受稽單位的相關資訊以了解其作業型態,因此和受稽單位保持密切的溝通,提早確認執行稽核的時間,並告知需要準備的事項,也是稽核團隊應盡的責任,這樣才可以確保稽核過程能夠順暢進行。
執行實地稽核
至於稽核的方法,通常包括了「文件審查」與「實地訪談」。在文件審查階段,主要是了解組織的ISMS相關文件,是否符合ISO 27001標準的文件化要求,並確認管理制度的運作過程中是否留下各項記錄,以證明ISMS被有效的實施與進行。而實地訪談的目的,則是確認相關作業人員,已清楚了解組織的資訊安全政策與目標,並按照所要求的作業規範來執行。
對稽核人員來說,稽核的過程就是要能夠取得「客觀性證據」,也就是依據稽核準則,透過實地訪談觀察到相關的人、事、時、地、物,透過多方面的證據收集,以支持其稽核的發現。
因此,對稽核人員而言,稽核技巧的鍛鍊非常重要,除了本身需要具備客觀性,避免僅從單一事項主觀地去判定問題之外,稽核人員詢問問題的方式也會決定其所收集到證據的完整。以下是稽核人員可運用的實務技巧:
詢問開放性問題
所謂的開放性問題是指讓受稽人員可明確回答和人、事、時、地、物有關的資訊,例如詢問資訊人員對於使用者的通行碼的安全控制措施有哪些?使用者的存取權限要如何進行申請?多久會進行一次審查?也就是說,稽核人員在訪談時應避免詢問「Yes or No」的問題,像是詢問「是否針對使用者的通行碼進行控管?」「有沒有針對使用者存取權限進行審查?」若是皆採用以上封閉性的問法,所得到的答案往往無法進一步提供更多資訊,也會使稽核人員落入難以判定的情況。
自行決定抽查樣本
稽核人員在審查相關文件記錄的時候,要堅持獨立性原則,例如在審查機房人員進出記錄時,應自行決定要抽查的日期,而不是僅參考受稽人員所主動提供的記錄,更不應受到言語左右而忽略應審查的項目,務必要按照事前所擬定的稽核計畫確實地執行。
多方收集客觀證據
稽核人員應避免排斥或否定受稽人員的答案,應該多方抽樣或觀察以收集更多的證據。一般而言,受稽單位所提供的相關記錄應至少要有3個月,稽核人員可從不同的時間點或是透過不同的受訪者,來獲得可供判斷的有效資訊。
發展出稽核軌跡
稽核人員在執行稽核的過程中,所獲得的各項證據都必須留下記錄,也就是在稽核工作底稿中,需要記載所審查的文件名稱、版本,同時包括訪談對象的職稱、回答的內容等,以作為前後比對與確認證據的關聯性之用,此一記錄更可作為稽查不同項目時,發現潛在因果關係的參考。
良好的時間管理
稽核的時間是事先排定的,也就是在執行稽核的當天必須按照既定行程來進行,如果時間沒有妥善掌握好的話,將會影響到接下來的稽核項目,很可能就會遺漏應稽查的事項而損及稽核報告的有效性。萬一發生時間延誤的情況,應盡快向稽核團隊尋求支援,以避免引發負面的連鎖效應。
追蹤確認改善
前文一開始便提到,內部稽核可秉持之前所提到的PDCA模式來進行,顯而易見地,稽核計畫階段是P、實地執行稽核是D,那麼C和A呢?兩者當然也不能遺漏掉,在這裡的C是指在稽核結束之後,當天會連同受稽單位舉行稽核結束會議,在會議中主導稽核員必須報告當天的稽核發現,並說明是否有未達標準要求的不符合事項,同時請受稽單位進行確認,如果對於不符合事項有任何意見,受稽單位也可當場提出討論,會後的決議結果將會作成正式的稽核報告。
所以,稽核工作到此就順利完成了嗎?當然不是,如果在稽核過程中發現了不符合事項,依據ISO 27001標準的要求,還必須進行follow-up活動,也就是受稽單位必須採行改善措施,以使造成不符合事項的原因消失。內部稽核的A即是指最後還要進行追蹤確認的改善行動,這樣才可讓組織的資訊安全管理制度更臻至完善。那麼到底該由誰來負起整個改善行動之責?且聽下回分解。