最近在業務上碰到一個很有趣的問題:
「我們公司目前使用IDC機房,請問ASF會需要到現場去看(稽核)嗎?」
我們的答覆很簡單,ISO27001:2013也有一個條款說明的非常清楚
A.15.2.1供應商服務之監視及審查:要求組織應定期監視、審查及稽核供應者服務交付。
只要在客戶稽核現場,我們找得到滿足此項目的稽核證據,就不須再臨時追加稽核場區。
而通常,再我們經驗當中,一個正規的IDC機房服務供應商,在提供服務合約時都會把資安規格說明清楚,有的會強調自己機房本身持續通過ISO、有的直接將服務中斷賠償條款納入。
在客戶端很多也會安裝Zabbix、PRTG、Nagios這類的監控設備,防火牆的日誌也都能叫出來。
這幾點其實都能充分滿足國際標準要求。
如果我們要橫向展開這個議題,其實雲端供應商也是,如果客戶使用GCP、AWS機房在美國,客戶內部稽核時難到要飛去美國嗎? 我們稽核小組難到要飛去美國執行稽核嗎?
ISO國際標準存在的目的是幫助大家完善管理系統,ISO27001旨在加強大家的資安制度,在處理每個執行上的問題時,我們都不能遺忘這點。
Comentarios