有人问我为什么我们信任通过 ISO 27001 认证的组织?他们从哪里获得能够认证 ISO 27001 的权威和认可?
例如,我可以开展认证业务并证明一家公司符合 ISO 27001 标准。但是,我不承认这样做,所以我的“签名文件”将毫无用处。但是,如果 BSi 认证它,它也不是没用的。因此,为什么 BSI 认证值得但我的不值得?
为什么我们信任通过 ISO 27001 认证的组织?
信息安全
遵守
企业政策
iso27001
2021-08-16 07:19:25
4个回答
SGS、TÜV Rheinland或BSI 等认证公司已获得认证实体的认可,可颁发 ISO 27001 证书。例如,SGS 和 BSI 获得UKAS认证,TÜV Rheinland 获得DAR认证。
认可实体对其认可的认证公司进行审核,以确保它们符合其认可要求,这些要求用于包括 ISO 19011 等标准。如果它们不符合,其认可可能会被取消。
谁对认证公司进行认证?就像其他人所说的那样,最终存在信任认证实体及其开发的系统的约定。
您相信 ISO/IEC 27001 吗?您是否接受正在实施和维护基于 ISO/IEC 27001 的管理体系的公司将拥有有效的信息安全管理流程?
如果您不这样做,那么担心我们如何信任认证机构(如 BSI)就毫无意义。很多人一开始并不理解标准——认为这完全是关于 IT 的,或者如果发生重大安全事件,那么标准或认证机构就会以某种方式失败。
事实上,在我看来,最大的问题在于实施和 ISMS 范围不恰当——最常见的是它以牺牲其他所有所谓的“实际业务”为代价来包含 IT 部门!浪费时间和金钱的真正秘诀,我希望随着 2013 版标准的发布,这种做法会减少。
换句话说,拥有 ISO/IEC 27001 认证并不意味着您拥有良好的信息安全性,因为这取决于许多因素。它的意思是组织已经建立了 ISMS,正在实施和维护 ISMS,并且 ISMS 得到持续审查和改进。审核员的职责主要是 1) 检查是否符合要求,以及 2) 评估 ISMS 的有效性——即它是否始终如一地实现其政策目标。
在认证中,您相信代表认证机构进行审核的各个审核员的能力。如果两个不同且称职的审计师计划并执行相同的审计,两者都会出现不同的结果。为了对这个过程有信心,您还必须了解它的工作原理、价值和弱点。
如前所述,像 UKAS 这样的国家认可机构通过审核认证机构(主要代表我们)来帮助我们增强信心,如果认证机构不满足自己的管理体系要求和遵守 ISO 等标准,则取消认证/IEC 17021(合格评定要求)——例如,要求认证机构及其审核员独立进行审核。您看到有多少认证公司也提供咨询服务?咨询和审计是两个完全对立的东西,会导致审计结果出现偏差。BSI 等获得认可的公司不得提供咨询服务。
另一个重要要求是,认证机构必须有一个有效的流程来选择和培训审核员,以确保必要的能力——正如我所提到的,这非常重要,因为我们是由人来审核的,而且都是不同的。好的认证机构将尽可能确保一致性,并达到高标准。
因此,为了回答这个问题,我们信任“认可”的认证机构,因为我们了解它们受到有能力的独立第三方的监督,并且必须保持某些标准才能保持认可。
认证机构有好有坏?有好有坏的审计师吗?对两者都是!它是灰色的,正如另一张海报前面提到的,它是一种信任的约定。归根结底,我认为我们正在寻求这种信任的是认证机构的声誉,这也是为什么原始发帖人 (op) 的证书被认为与已知认证机构的证书相比一文不值的主要原因。
关于这一点的另一个说明,标准中没有认证的“要求”。这是一家公司做出的选择,主要是为了从外表上建立他们致力于流程的信心——为什么我一开始就问,你相信这个流程吗?
同样,任何人(我、您和操作人员)都可以进行并证明公司符合 ISO/IEC 27001 标准——这没有错,这取决于组织正在寻找的好处。当然,来自运营商的“未经认可”的证书在社区看来不会有太大的影响,但请记住,这一切都归结为审核员,没有理由让运营商或其他任何人不能胜任在执行 ISO/IEC 27001 审核方面经验丰富,能够通过提供独立意见为审核客户提供巨大价值。
为什么我们信任通过 ISO/IEC 27001 认证的组织?也许出于同样的原因,我们信任 SSL 证书颁发机构 - 声誉。
只是一个意见。。
最终还是要靠信任。谁信任您根据 ISO27001 进行审核?
就 BSi 而言,他们已将自己确立为流程的一部分(实际上,BS7799 是 BSi 开发的标准,早于 ISO27001,IIRC 在首次创建时有效地转变为 ISO27001)。
因此,作为创建标准的一部分,您必须创建和管理审核流程来处理认证,因此英国政府等团体信任他们这样做。
从理论上讲,任何人都可以根据 ISO27001 提出自己的安全合规标准,但问题是,“你为什么要信任他们?”
ISO27001 是对组织进行审核的标准。它不是笔测试或代码审查,它主要关注管理、政策等。它是第三方为公司的运营有效性、控制等提供合理保证。例如,如果一个组织已经过认证,您仍然会有法律协议、合同等来管理风险。信任不等于保证。
想要获得认证的组织也会选择谁来审核它们。他们可以雇佣某人的无名创业公司,但通常他们会雇佣一些在市场上对任何有价值的东西都信任和尊重的品牌。审计和认证公司享有盛誉。如果您要求您的供应商获得认证,您可以告诉他们您使用经过批准的供应商列表,或者可以说我们不会关心您的证书,因为我们没有理由对第三方有信心或信任做了审查。还可以检查进行认证的第三方的证书,例如ISO/IEC 27001 首席审核员。
任何类型的第三方审核(SOC1/SSAE16、SOC2、ISO27001 等)的目的都是以更低的成本获得一些合理的保证,然后自行进行全面审核。组织可以由受信任的第三方使用通用标准进行一次审查 - 否则每个客户都必须独立审核或审查公司:这会浪费公司的时间,并且可能对客户来说更昂贵。有没有要求要信任别人的ISO27001认证。如果这很重要,您可以随时协商以使用您自己的标准执行您自己的独立审查。
其它你可能感兴趣的问题