二、 9.2 內部稽核
內部稽核主要目標為監控及確認組織本身有關ISMS的要求以及ISO 27001標準的要求,並監控所採取措施的實施和有效性。因此,必須訂定稽核方案並實施稽核計劃,計畫應包含頻率、程序、角色和職責、相關要求及可追溯性和報告等方面。另外,必須定義一種處理矯正和預防措施的方法(直接從稽核中得出的措施),並且必須確定誰將追蹤以確保矯正措施得到實施,下圖是稽核方案的管理循環:
稽核方案是一個循環過程,包括計劃、定義、執行、監控以及審核程序本身的過程,必須在稽核計劃和特定稽核活動是基於風險的考量,稽核計劃中需要考慮受影響流程(核心流程、損害影響、業務重要性)和IT系統以及先前審核結果的重要性。通用稽核標準必須在稽核方案中定義。根據組織的規模,執行稽核的數量、各個稽核的具體範圍、以及稽核過程中所需的詳細程度,也可以在此處直接定義。必須記錄已完成的稽核,並且提供相關資訊(例如稽核報告)作為已實施稽核計劃的證據,稽核方案管理報告必須定期產生有關稽核計劃的績效、稽核活動及其結果的資訊。
ISO 19011管理系統稽核指引以ISO 27007資訊安全管理系統稽核指引及ISO 27008控制措施稽核指引提供稽核規劃、執行及檢討等相關的規範。對內部稽核的要求,可能沒有必要做得像驗證公司一樣完整,但是基本的規範還有標準內的要求還是要做到。先來談談內部稽核的作用,稽核是管理系統內連結執行及改善的重要環節,在實作資訊安全管理系統的時候,有些問題可能潛藏在組織內部而難以被發現,此時就要借助稽核來幫助管理系統發現問題。所以內部稽核主要的目標是在協助組織發現問題,找出所規範的流程內有沒有不順暢、窒礙難行、浪費資源或是效能不彰的地方,讓整個管理系統能更加精進,達到持續改善的目標。
(一) 建立稽核方案
首先要為每一場稽核確立目標及範圍,稽核方案是規劃如何進行稽核的基礎,如果沒有明確的目標與範圍,會造成稽核時的困擾,例如:會計部門不在稽核範圍中,影響客戶付款資訊流程的稽核。
(二) 遴選稽核人員
結合條文7.2人員能力,所以必須挑選具備稽核能力的人員執行內部稽核作業,當然這通常是組織覺得比較困擾的地方。雖然稽核技巧、方式及手法可以經過訓練培養獲得,但是專業知識技能卻很難訓練,例如:防火牆政策設定、路由器設定檢查等,這些事項具有一定的專業性,組織內部只有少數人具備能力(或僅有一人),這樣如何安排稽核人員稽核他們不熟悉的事物,變成挑選稽核人員時的困難點,所以在挑選稽核人員時可以參考下列事項:
• 定義所需要稽核員的能力
• 遴選符合能力的稽核人員(內部或外部)
• 設置監控稽核團隊效能之程序
• 執行人員或稽核團隊都必須具備特定領域的專業知識或技能。
• 稽核人員獨立性、公正性及適切性
(三) 執行稽核作業
稽核是一個尋找證據的過程,證據可以經由訪談人員、觀察現場活動或是審查文件資料獲得,內部稽核著重在組織本身內部流程的稽核,確認內部作業是否依照設定的規範進行,並檢查現有流程及措施效能,整體是否符合ISO 27001標準的要求。典型稽核作業流程如下:
(四) 稽核結論
稽核的目標是確認作業流程是否符合標準,如有發現不符合事項應向高階管理人員報告,並由稽核團隊決定後續追蹤及確認消除不符合事項的方式,對於不符合事項在後面的章節還會提到,此處先確認不符合事項應由稽核人員確認是否改善完畢,因為不符合事項是稽核人員所發現,事實的判定或依據應由稽核員進行確認。
(五) 稽核監控審查
稽核作業也是資訊安全管理系統的一環,也必須對本項作業監控審查,確認稽核的有效性,而不是虛應故事,如此並無法發現組織既存的問題。所以針對稽核方案及計畫的適切性、範圍及目標、稽核所需資源、稽核員能力、稽核證據及稽核文件化資訊都必須適當審查及確認。