“下周客戶要來審計(jì)信息安全，我們連審計(jì)清單都看不懂?！?br />   這是很多IT外包企業(yè)在接到大客戶審計(jì)通知時(shí)的真實(shí)反應(yīng)。尤其是*次服務(wù)金融、醫(yī)療或上市公司的IT團(tuán)隊(duì)，面對(duì)客戶發(fā)來的幾十頁安全審計(jì)問卷，往往不知所措。
  其實(shí)，有一套現(xiàn)成的“答案庫”可以幫你從容應(yīng)對(duì)——ISO 27001信息安全管理體系。

  一、客戶審計(jì)到底在查什么？

  IT外包行業(yè)的客戶審計(jì)，通常圍繞以下幾個(gè)維度展開：
  
  訪問控制： 誰能接觸客戶數(shù)據(jù)？權(quán)限怎么批的？離職員工還能不能進(jìn)系統(tǒng)？
  數(shù)據(jù)安全： 數(shù)據(jù)存在哪？傳輸加密嗎？測(cè)試環(huán)境用沒用真實(shí)數(shù)據(jù)？
  漏洞管理 ：系統(tǒng)多久掃一次漏洞？發(fā)現(xiàn)漏洞多久修？
  事件響應(yīng) ：出了安全問題找誰？多久能響應(yīng)？有沒有演練過？
  供應(yīng)商管理 ：你用了哪些第三方服務(wù)？他們的安全怎么管？
  物理安全： 辦公區(qū)、機(jī)房、服務(wù)器誰有權(quán)進(jìn)入？有沒有門禁和監(jiān)控？

  這些問題的答案，恰好就是ISO 27001標(biāo)準(zhǔn)要求的內(nèi)容。

  二、為什么ISO 27001能幫你“一次過”？

  標(biāo)準(zhǔn)答案已經(jīng)寫好

  ISO 27001要求企業(yè)建立一系列管理程序，包括《訪問控制程序》《數(shù)據(jù)安全管理程序》《漏洞管理程序》《事件響應(yīng)程序》等。這些文件本身就是客戶審計(jì)問卷的標(biāo)準(zhǔn)答案。
  客戶問“你們?cè)趺垂軝?quán)限”，你拿出《賬號(hào)權(quán)限管理制度》——白紙黑字寫清楚了申請(qǐng)、審批、開通、回收的流程，還有表單記錄佐證。

  運(yùn)行記錄就是證據(jù)

  審計(jì)不看你說什么，看你做了什么。ISO 27001體系運(yùn)行會(huì)自然產(chǎn)生大量記錄：權(quán)限審批單、系統(tǒng)登錄日志、漏洞掃描報(bào)告、安全培訓(xùn)簽到表、員工離職權(quán)限回收確認(rèn)單……
  客戶要什么，你就能拿出什么。不需要臨時(shí)“造材料”。

  第三方背書加分

  證書本身就是加分項(xiàng)。當(dāng)你的競(jìng)爭對(duì)手還在手工填表時(shí)，你直接出示ISO 27001證書和全套體系文件，客戶審計(jì)人員的信任感明顯不同。

  三、審計(jì)前要做哪些準(zhǔn)備？

  1. 確認(rèn)認(rèn)證范圍

  確保ISO 27001認(rèn)證范圍覆蓋客戶所采購的服務(wù)內(nèi)容。如果客戶買的是“駐場(chǎng)運(yùn)維服務(wù)”，認(rèn)證范圍應(yīng)包含“駐場(chǎng)運(yùn)維”，而非籠統(tǒng)的“軟件開發(fā)”。

  2. 提前自查

  對(duì)照客戶審計(jì)清單，用體系文件做一次預(yù)演。發(fā)現(xiàn)材料不齊的，及時(shí)補(bǔ)充；發(fā)現(xiàn)記錄缺失的，追溯補(bǔ)錄（但要符合時(shí)間邏輯）。

  3. zhi定對(duì)接人

  安排熟悉體系的人員（如信息安全專員或管代）全程陪同審計(jì)，能夠快速響應(yīng)客戶的各種材料調(diào)閱需求。

  客戶審計(jì)不是“找茬”，而是大客戶篩選供應(yīng)商的標(biāo)準(zhǔn)動(dòng)作。把ISO 27001體系建好、運(yùn)行好、記錄留好，審計(jì)就不是壓力，而是展示你專業(yè)能力的機(jī)會(huì)。
  一次從容的審計(jì)通過，往往意味著長期合作關(guān)系的開始。而ISO 27001，就是你手里那張zui穩(wěn)的底牌。