新版ISO27001:2022认证管理中职责分离的审核关注点
发布时间: 2023-08-25 15:05 点击:
新版ISO27001:2022认证管理中职责分离的审核关注点
审核员在审核管理中心的职责分离时,应确保认证组织完成了图1所示的相关活动。其中,图1步骤①~③是对职责和权限的识别,也是认证组织实现职责分离时最困难的部分。审核员在审核中宜着重关注以下方面,来判断认证组织实现相关步骤的情况:
(一)认证组织是否完整识别了所有职责和其所必需的权限
能完整地识别职责和权限是将它们分离的基础。认证组织实现精细化的管理,需要具有详尽感知和梳理其业务过程的能力。这往往不能一蹴而就,需要员工在日常活动中观察和总结,根据其工作实际需要不断修改和完善。
(二)认证组织是否正确地识别了互斥权限
互斥权限的识别水平决定了组织是否能实现职责分离的预期结果。未能识别的互斥权限往往意味着潜在的内部员工风险。可能互斥的权限总体上可以分为5类:授权权限、执行权限、记录权限、资产管理权限和监察审计权限。这5类权限两两互斥,同时授予员工两种以上的权限会显著增加权限滥用的风险,最终偏离信息安全管理体系的预期结果。例如,如果同时授予一名员工监察审计权限和执行权限,监察审计活动的输出结果就丧失了可信性。如果最高管理层采信此时的审计报告并做出决策,这种决策往往对管理不仅无益而且有害。
ISO/IEC 27002:2022 《信息安全、网络安全与隐私保护——信息安全控制》标准中给出了在进行信息安全相关的职责分离时,一些可能需要分离的活动示例:
发起、批准和执行变更;
请求、批准和实施访问的权限;
设计、实施和审查代码;
开发软件和管理生产系统;
使用和管理应用程序;
使用应用程序和管理数据库;
设计、审计和确保信息安全控制。
(三)单一职责中是否包含互斥权限
如果一个职责划分的范围过大,会出现这个职责本身就需要一组互斥权限来满足的情况,从而影响职责分离的预期效果。此时,需要对较大的职责进行拆分,将一个较大的职责细分为若干较小的职责。进行这种拆分时,可以考虑以下的拆分原则:
顺序拆分——将职责按照各过程的顺序拆分;
空间拆分——将职责按照活动场所拆分;
要素拆分——将职责按照成功履行的要素拆分;
权限拆分——将职责按照所需权限的不同拆分。
ISO认证咨询服务网 www.cnqr.org
1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
诚聘专兼职ISO审核员(全国/符合条件可免费定向培养)、专职认证管理人员、市场精英。