唉....這就是最大的問題了....

OK, 原來謎底在 *討論* 裡面......

小弟正好是英國標準協會認證的 BS-7799 主任稽核員 (Leader Auditor), BS-7799 是 ISO-27001 的前身, 事實上, ISO-27001 的內容等於就是 BS-7799 Part-2 (ISMS requirements, 2005 年定案). 雖然名稱不太一樣, 不過實質的內容也很接近, 因此, 這裡應該要稍微討論一下 ISO-27001 的需求.

想先請樓主了解以下幾件事情:

1. 樓主朋友目前導入到甚麼階段? 是已經申請驗證了? 還是在輔導?

如果是在輔導期的話, 其實那個人不叫 *稽核員*, 頂多只能稱為 *輔導顧問*. 顧問的職責, 是協助業主通過驗證, 但這不代表顧問的話就需要百分之百遵從, 關鍵在於, 業主必須與顧問討論出一個: *在本企業內可被執行的安全政策*, 而不是只聽顧問的話辦事. 因為顧問並不了解業主的難處與環境, 不可能完全依照業主的條件來制定合用的政策.

通常顧問必須保證業主可以通過驗證拿到認證, 否則他可能會拿不到錢.

基於以上的前提, 顧問往往會提出 *過當* 的措施或政策, 以確保可以通過驗證, 例如, 原本只要 80 分就可以通過驗證, 但顧問卻要求業主做到 150 分, 因為這樣可以確保顧問公司第一次驗證就通過, 馬上可以請款.

其次, 顧問公司如果還有其他業務項目的話, 也可能藉此機會出難題給業主. 以本案來說, 如果業主無法滿足顧問所提的要求, 顧問可能會以: *這是通過驗證的必要條件* 來威脅業主,

接下來開始說服業主依他們的建議來進行, 例如: 放棄原有的軟體商, 重新購買一套符合驗證規範的軟體. 當然, 這套軟體也是由顧問公司所建議. 這個費用, 當然有很大的油水可以中飽.....(重買一套 ERP 要多少錢? 數百萬到數千萬都有可能)

2. 如果是已經申請驗證, 樓主的問題是由外部驗證的主任稽核員所提出.

這樣的話, 責任大部分在輔導的顧問公司. 跟驗證機構關係比較好的顧問公司, 會想辦法把缺點*搓*到最少, 讓業主很快就能改善. 經驗豐富的顧問公司, 應該在主任稽核員提出缺失改善單的時候, 就知道應該如何改善了, 而不是把問題丟回給業主自己處理.

他們好像是預評(還是初評)就有一堆缺失, 這些問題是預評的那個人(我也不知這個人算顧問還是稽核員)提的, 其他問題都解決的差不多了, 就剩這一個.
因為他們四月要正評, 所以找我幫忙, 我也被他們搞得很沒力...
就我的認知, 我認為稽核的重點是流程, 所以有資安問題的部分, 都必須有對應的流程來稽核, 資訊系統只是流程的一部分.
但是我朋友一直認為資安問題就是電腦有問題, 一定要從電腦上找出解決方案, 這是我個人認為目前最大的問題.

回到樓主的問題, 不管這個問題, 是由輔導顧問還是主任稽核員所提出, 業主要思考的關鍵點, 並不在於: 程式碼要如何驗證? 因為就如其他網友所說的, 難道公司買所有的套裝軟體, 都必須要求原始碼來驗證嗎? 這是不可能的事情.

所以, 要回到這個要求的本質來問:
要改善的, 是哪一種風險?
要動用 ISO-27001 裡面的哪一個控制項 (Control Objective)?

可否了解, 他們申請的第三方驗證機構是哪一家?
SGS? BSi? TUV NORD? AFNOR? TAF?....

如果已經到了外部機構來驗證的階段, 通常稽核員不會直接告訴你關鍵點, 他所提出的缺失只是一個現象, 你們要從這個現象, 去 Review 既有的安全政策, 找出漏洞.

我剛剛查了一下 ISO-27001, 跟此事件有關的 Control 好像是 A.6.2 的 External parties, 底下的:
A.6.2.1 Identification of risks related to external parties
A.6.2.3 Addressing security in third party agreements
這兩個, 可否請教, 業主他們自訂的 Security Policy 裡面, 對這兩個 Control 是如何實施的?

如果業主沒有制定的話, 那顯然就是稽核員所挑剔的重點, 應該請顧問公司提供一個可行的執行制度給業主參考, 而不是叫業主自己想辦法.

shunyuan大好久沒見，近來可好否？

+1

去哪邊把妹？？很想你的～～～