北京ISMS信息安全认证涉及到哪些安全问题？

    近年来，信息安全管理体系（ISMS）认证在我国得到了迅速发展，这一方面推动了组织的信息安全保障工作，另一方面也把ISMS认证本身的安全问题摆在了组织、认证机构、认可机构和监管部门面前。

    的安全问题主要来自两个方面：

    1.组织的安全内情暴露

    在ISMS审核中，审核员需要对组织的风险评估、适用性声明、风险处置计划等进行评价，因此可以了解到组织信息安全的薄弱环节和防护措施的详细情况。而且随着审核档案材料的流转，这些情况可能进一步被认证机构的其他人员和认可机构的相关人员接触到。这些情况一旦泄露出去，就有可能造成不良人员或组织通过利用薄弱环节或破解防护来攻击、侵入、破坏或窃取组织的信息资产，或使这些变得更容易。

    例如，ISMS审核的重点之一就是对组织的信息安全风险评估和风险处置进行审查。这时组织所识别的脆弱性完全暴露在审核员面前，特别是风险接受准则、组织固有的脆弱性、目前仍然存在的残余风险和风险处置所采取的方法等。

    又比如，随着组织对信息化的依赖程度不断提高，与组织的信息化相关的信息，例如网络拓扑图、主机系统信息、应用支撑平台信息、IP地址分配信息、配置管理信息、安全防护架构信息和安全防护设备等已成为组织需要保护的信息。而在认证过程中，认证人员会接触到很多这些信息。

    2.组织的保密/敏感信息暴露

    在现场审核中，审核员需要进入组织的场所、查阅文件记录或与组织的人员面谈等，有可能获知组织的保密信息（国家秘密、工作秘密或商业秘密）或者敏感信息（如个人隐私信息、受到版权或专利保护的信息等），或者通过对相关情况的分析、组合或推导间接获知这些信息。这样，就存在这些保密或敏感信息被审核人员无意中或故意泄露出去的风险。此外这些信息还可能通过审核记录、审核报告等被泄露出去。

    例如，某金融机构研发了一个网络金融诈骗防范控制流程，但由于其特殊性，并未申请专利保护。在认证过程中，如果没有对该流程给予特殊保护，一旦泄露，不仅会损害该金融机构的知识产权，更严重的是可能被不法人员利用，造成严重的经济损失甚至社会影响。