私のクライアントの1人はISO 27001自由に監査を行っており、監査を受けています。その間、彼らは私たちの会社からカスタムセキュリティサービスを利用しています-成果物の1つにSecure Network Architectural Review。提供されるサービスを選択している間、彼らは、タスクを実行するための特定のセキュリティドキュメント、ポリシー、およびフレームワークが整っていないことを事前に通知していません。
私の見解では、SNAまたはセキュアネットワークアーキテクチャレビュープロセスを実行するには、次の要件があります。
情報セキュリティポリシー
ネットワークセキュリティポリシー
アプリケーションセキュリティポリシー
情報資産の登録と分類はCIAに準拠しています
パスワード基準
アクセス制御
災害復旧ポリシー(DRP)
私たちは彼らに情報セキュリティリスク保証を提供しようとしており、彼らにはこれらの欠落したギャップがあるので、私の主な質問はここにいくつかの結論に落ちます:
私はIT監査/ ITセキュリティの専門家としてしばらく働いていますが、私の専門的な経験からお答えします。
これらのドキュメント、ポリシー、DRP、BCPなどを最初から作成して、セキュリティを強化し、手元のタスクを実行する必要がありますか?
リストで指定したポリシーは、正常に機能するITセキュリティプログラムに対する基本的な必要性です。次の質問を自問してください。
重大なリスク保証を提供する場合、これらのドキュメント、ポリシーを作成するための別のサービスを提供する必要がありますか、それともSNAとともにカバーする必要がありますか?
絶対にありません。これは利益相反であり、非倫理的と見なされます。このサービスを提供する場合、専門家の判断は障害であり、このクライアントに提供するその後の保証は本質的に信頼できません。保証機能の専門的な独立性に関する追加のガイダンスについては、ISACAのこのドキュメントを参照してください。
http://www.isaca.org/Knowledge-Center/Standards/Documents/1003-Professional-Independence.pdf