如何对ISO 27000标准中的“安全审计”实施有效审核

卡狄亚上海

随着我国互联网技术的不断普及和快速发展， 互联网已彻底改变了人们的生活方式和思维方式，互联网发展给人们带来便利的同时，也产生了一定的新型网络安全风险。针对互联网犯罪，我国采取了很多互联网环境的治理措施。2020年1月17日，中央政法工作会议决定：2020年将以防控新型网络安全风险为牵引，提升网络社会综合治理能力，要把防控新型网络安全风险摆在突出位置来抓，不断健全网络社会综合防控体系。

为了配合以后可能发生的司法取证工作，在信息系统设计开发阶段要重视“安全审计”功能的实现。审核员要审核与认证范围相关的信息系统的“安全审计”功能是否满足该信息系统的业务风险等级要求。

本文根据《ISO/IEC 27002：2013信息技术 安全技术 信息安全控制实践指南》（以下简称《ISO/IEC 27002：2013》）的英文版，对《GB/T 22081-2016/ ISO/IEC 27002：2013信息技术 安全技术 信息安全控制实践指南》标准（以下简称《GB/T 22081-2016》）部分条款的描述进行了优化，方便读者对标准的理解，优化内容体现在对条款的解析上。

下文对“安全审计”相关条款在《ISO/IEC 27002：2013》中的要求及解析进行具体阐述。

“12.4.1 事态日志”条款

该条款中“控制”的描述是：“宜产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志”。其中，这里的“产生、保持”是软件设计开发岗工作内容，“保持并定期评审”是运行维护服务岗的工作内容，分别介绍如下：

1. 软件设计开发岗（对应条款：全部条款）

条款解析：在进行安全审计的设计开发工作时，事态日志内容宜包含相关的a）-n）内容，如下：

a）用户ID；

b）系统活动；

c）关键事态的日期，时间和详细信息，例如登录和退出（见“9.4.2 安全登录规程”的f）、h））；

d）设备标识或位置（如果可能），以及系统标识符；

e）成功的和被拒绝的对系统访问尝试的记录（见“9.4.2 安全登录规程”的f））；

f）成功的和被拒绝的对数据以及其他资源访问尝试的记录；

g）更改系统配置；

h）特权的使用；

i）系统实用程序和应用程序的使用；

j）被访问的文件和访问类型；

k）网络地址和协议；

l）由访问控制系统发出的告警（见“9.4.2 安全登录规程”的g））；

m）启动和停用保护系统，例如防病毒系统和入侵检测系统；

n）用户在应用程序中执行的交易记录。

当开发人员要对自动监视系统进行设计开发时，要做好事态日志记录的保密性、完整性、可用性、真实性、可核查性等工作，因为事态日志记录是自动监视系统的基础。开发人员设计开发出来的自动监视系统要能够生成关于系统安全性的综合报告和警报。

“其他信息”解析：在进行安全审计的设计开发工作时，因为事态日志可能包含敏感数据和个人可识别信息，所以要采取适当的隐私保护措施（见18.1.4）。

可能时，安全审计程序设计要具有“系统管理员不能删除或停用其自身活动日志的权限”的功能（见12.4.3）。

3 y0 u7 e0 \# e5 E' w9 ^

2. 运行维护服务岗、项目实施岗（对应条款：其他信息）

在进行运维服务、项目实施时，要做好以下工作：

（1）对事态日志进行保持、监视、定期评审，并对发现的用户异常活动、错误和信息安全事态及时进行响应。

（2）对接触到的“敏感数据和个人可识别信息”进行保密和保护。

（3）不删除或停用自身活动日志（见12.4.3）。

“12.4.2 日志信息的保护”条款

本条款对各岗位的要求如下：

1. 软件设计开发岗（对应条款：全部条款）

在对安全审计程序设计开发中，要防止日志信息的未授权更改和保证日志设施的正常运行。

a）、b）条款解析：在对安全审计程序设计开发中，要对“对记录的消息类型的更改”“日志文件被编辑或被删除”的活动具有审计功能。

c）条款解析：软件设计开发人员要对日志文件的容量进行估算，在其编写的《系统安装手册》中给予运维人员、项目实施人员以正确的环境部署容量指导，防止不能记录事态或覆盖过去记录事态的事件发生。

软件设计开发人员在对审计日志进行存档保留时，要考虑合同、国家法律法规的要求，进行收集和保留证据（即“司法取证”工作），这是记录保留策略的一部分内容（见16.1.7）。

“其他信息”解析：系统日志通常包含大量信息，其中许多与信息安全监视无关。为帮助识别出对信息安全监视目的有重要意义的事态，在对安全审计程序设计中宜考虑将相应的消息类型自动地拷贝到第二份日志，或编写适当的系统实用程序或审计工具来执行文件查询及规范化。

为了防止“系统日志中的数据被修改或删除，可能导致一个错误的安全判断”的事件发生，在对安全审计程序设计中可以将日志实时复制到系统管理员或操作员控制之外的系统来保护日志。

2.运行维护服务岗、项目实施岗（对应条款：全部条款）

在进行运维服务、项目实施时，要防止日志信息的未授权更改，并保证日志设施的正常运行，要做好以下工作：

a）、b）条款解析：不对记录的消息类型进行更改，不对日志文件进行编辑或删除操作。

c）条款解析：对日志文件存储介质的容量进行监视，发现存储满了，及时进行拷贝、删除工作，保证不发生“不能记录事态或覆盖过去记录事态”的事件。

考虑合同、国家法律法规的要求，对日志信息进行保护，便于收集和保留证据（见16.1.7）。

“其他信息”解析：系统日志通常包含大量信息，其中许多与信息安全监视无关。为帮助识别出对信息安全监视目的有重要意义的事态，运维人员宜考虑将相应的消息类型自动拷贝到第二份日志，或使用适当的系统实用程序或审计工具来执行文件查询及规范化。

如果其中的数据被修改或删除，可能导致一个错误的安全判断。为了保护系统日志的需要，项目实施人员在项目实施时，可以将日志实时复制到运维人员（系统管理员）或操作员控制之外的系统来保护日志。

2 R$ r( ~( ^2 B2 B7 r1 l

“12.4.3 管理员和操作员日志”条款

本条款的控制：“系统管理员和系统操作员活动宜记入日志，并对日志进行保护和定期评审”，其中“记入日志并对日志进行保护”是软件设计开发岗的工作内容，“对日志进行保护和定期评审”是运行维护服务岗、项目实施岗的工作内容，如下：

1. 软件设计开发岗（对应条款：全部条款）

在对安全审计程序设计中，要具有对“操作信息处理设施上的日志”活动的审计功能，以便于对特权用户进行追责。

可以建议用户使用不受系统和网络管理员控制的入侵检测系统，该入侵检测系统可用于监视系统和网络管理活动的合规性。

2. 运行维护服务岗、项目实施岗（对应条款：全部条款）

在进行运维服务、项目实施时，要做好以下工作：对其直接控制下操作信息处理设施上的系统管理员、系统操作员的操作日志进行必要保护，并评审日志，便于进行追责；可以建议用户使用不受系统和网络管理员控制的入侵检测系统，该入侵检测系统可用于监视系统和网络管理活动的合规性。

, |6 P$ v* n# ^0 Z% c! }! \

“12.4.4 时钟同步”条款

本条款对各岗位的要求如下：

1. 软件设计开发岗（对应条款：全部条款）

在软件设计开发时，要根据法律、法规、合同、符合的标准或内部监控的要求，考虑内部和外部的时间显示、同步和准确性的要求，考虑系统时间的取值工作，要使用标准基准时间。当需要从外部源获得基准时间时，要科学考虑时间获取的途径以及如何同步内部时钟。

在软件设计开发工作中，正确设置计算机时钟对确保审计记录的准确性是重要的，因为审计日志可用于调查或作为法律、纪律处理的证据。不准确的审计日志可能妨碍调查，并损害这种证据的可信性。可使用链接到源于国家原子钟的无线电广播时间，作为日志生成系统的主时钟。可使用网络时间协议来保持所有服务器与主时钟完全同步。

视频监控系统就是用于法律证据的信息系统，该信息系统的软硬件厂家对监控设备的时钟同步有相应的模块进行控制。这是满足本条款要求的一个案例。

2. 运行维护服务岗、项目实施岗（对应条款：全部条款）

项目实施岗在进行系统初次安装时，要对系统时间进行正确设置。如果安装实施的软件系统还有其他的时间设置要求，要按照厂家的安装说明进行好相应的配置工作。如对视频监控系统的每个智能摄像头的时钟同步配置工作。

运行维护服务人员要按照本条款的要求，对被运维系统的时间进行监视、维护。当发现部署在内网的服务器的时间和国家标准时间不同时，要根据业务的实际情况，决定是否进行校准。如果需要校准，要做好校准的策划工作，尽量在非工作时间进行校准，校准前做好数据备份工作，当内网服务器时间在国家标准时间之前，直接修改内网服务器的时间即可。但如果内网服务器时间在国家标准时间之后，则需要等过了这二者的时间差这段时间后，再修改内网服务器的时间，否则会引起数据库数据的时间混乱。同时，要对时间校准工作过程形成相应的记录，以备后期的核查。

运维服务人员、项目实施人员正确设置计算机时钟对确保审计记录的准确性很重要，因为审计日志可用于调查或作为法律、纪律处理的证据。

对于视频监控系统的审核，ISMS体系审核员如果发现在同一时间、不同摄像头监控画面上显示的时间不一样，审核员应对该审核发现判该条款的不符合。

《ISO/IEC 27001：2013》的“A.14.1.2  公共网络上应用服务的安全保护”条款对在互联网上开展服务进行了要求，“A.14.1.3 应用服务事务的保护”条款对在互联网上进行应用服务交易活动进行了要求。这2个条款的服务活动是在互联网上开展，业务风险大，服务所用的信息系统的身份鉴别、安全审计这2项安全技术要格外注意加强。

《GB/T 18336.2-2008 /ISO/IEC 15408-2：2005信息技术 安全技术 信息技术安全评估准则 第2部分：安全功能要求》对软件开发的安全技术要求进行了详细的描述，包括对“身份鉴别”“安全审计”“通信”“密码支持”“用户数据保护”“标识和鉴别”“安全管理”“隐私”等安全功能要求。该标准的“7   FAU 类：安全审计”“附录C （规范性附录） FAU 类：安全审计”对“安全审计”设计开发进行了详细的描述，该标准的每个组件都有对审计的要求。因此，该标准也是将信息系统安全功能设计工作彻底掌握的必选标准。

在国家加强对网络社会综合治理工作的大环境下，审核员在开展审核工作时，要重视与认证范围有关的信息系统的安全功能满足其业务风险情况的审核取证工作，尤其要重视“安全审计”的审核取证工作，为以后可能发生的司法取证工作做好准备，为净化互联网生态环境贡献自己的力量。

' ~# X) K  U3 B