web-dev-qa-db-ja.com

安全なネットワークアーキテクチャレビューを実行するために、セキュリティドキュメント、ポリシー、DRPおよびBCPを用意する必要がありますか?

私のクライアントの1人はISO 27001自由に監査を行っており、監査を受けています。その間、彼らは私たちの会社からカスタムセキュリティサービスを利用しています-成果物の1つにSecure Network Architectural Review。提供されるサービスを選択している間、彼らは、タスクを実行するための特定のセキュリティドキュメント、ポリシー、およびフレームワークが整っていないことを事前に通知していません。

私の見解では、SNAまたはセキュアネットワークアーキテクチャレビュープロセスを実行するには、次の要件があります。

  1. 情報セキュリティポリシー

  2. ネットワークセキュリティポリシー

    アプリケーションセキュリティポリシー

    情報資産の登録と分類はCIAに準拠しています

    パスワード基準

    アクセス制御

  3. 災害復旧ポリシー(DRP)

  4. 変更管理ポリシー
  5. 事業継続計画(BCP)

私たちは彼らに情報セキュリティリスク保証を提供しようとしており、彼らにはこれらの欠落したギャップがあるので、私の主な質問はここにいくつかの結論に落ちます:

  1. これらのドキュメント、ポリシー、DRP、BCPなどを最初から作成して、セキュリティを強化し、手元のタスクを実行する必要がありますか?
  2. ISO 27001では、これらすべてが以前に存在している必要がありますか?はいの場合、そもそもどのように監査されていたのに、不足している文書やポリシーなどのギャップを推進した経営者はいなかったのでしょうか。
  3. 重大なリスク保証を提供する場合、これらのドキュメント、ポリシーを作成するための別のサービスを提供する必要がありますか、それともSNAとともにカバーする必要がありますか? (私はこれが経営者の視点であることを知っていますが、それでも全体的な意見が必要です)
2

私はIT監査/ ITセキュリティの専門家としてしばらく働いていますが、私の専門的な経験からお答えします。

これらのドキュメント、ポリシー、DRP、BCPなどを最初から作成して、セキュリティを強化し、手元のタスクを実行する必要がありますか?

リストで指定したポリシーは、正常に機能するITセキュリティプログラムに対する基本的な必要性です。次の質問を自問してください。

  1. 有形の文書がない場合、どのようにして情報技術を管理する一貫性のある信頼できる方法を確保しますか?
  2. プログラムでの目的、ポリシー、および役割がわからない場合、どのように期待しますか従業員がITセキュリティミッションに協力する
  3. ある時点で、企業のIT資産に障害が発生することはほぼ当然のことです。 機能し、十分にテストされた、BCP/DRPがない場合、ビジネスに対する継続性の脅威をどのように軽減しますか?

重大なリスク保証を提供する場合、これらのドキュメント、ポリシーを作成するための別のサービスを提供する必要がありますか、それともSNAとともにカバーする必要がありますか?

絶対にありません。これは利益相反であり、非倫理的と見なされます。このサービスを提供する場合、専門家の判断は障害であり、このクライアントに提供するその後の保証は本質的に信頼できません。保証機能の専門的な独立性に関する追加のガイダンスについては、ISACAのこのドキュメントを参照してください。

http://www.isaca.org/Knowledge-Center/Standards/Documents/1003-Professional-Independence.pdf

1
Anthony