记录所有即时消息的详细信息是ISO27001的要求吗？

Question

我们的组织目前正致力于ISO27001认证，我们使用Skype。我们想知道，记录和保存所有发送和接收的即时消息是否是一项明确的要求？

Answer 1

通常，ISO27k不需要实现特定的方法。但是，它需要具体的文件(例如国际政策的周界和政策、风险分析方法的说明、适用性说明、.)。您将永远不会读到“您必须为即时消息实现日志的完全保留”。

ISO27002定义了一些实现ISO27001的最佳实践，您可能会在这里发现这种类型的控件是建议的。但也不是强制性的。

使这成为一项要求的情况(通常)是：

• 你在你的文件里说你这么做了
• 您在您的文档中声明，您必须遵守X法规，这要求保存这些日志。

ISO27k是一个框架，它规定安全管理应该如何进行，而不是如何实现安全性。然而，它将要求写你正在做的事情的描述，审计将验证你是否做你说你正在做的事情。

Answer 2

ISO 27001是一种管理标准，并不直接告诉您如何确保安全。

相反，它告诉您如何制作一个名为信息安全管理系统( ISMS )的工具；然后使用这些ISMS来确定您需要做什么。

因此，你的问题“我们是否应该记录Skype”的答案是“语言告诉我们做什么？”

(P.S.不是刻薄，但这是非常基本的。如果您不了解这个核心概念，那么您根本就不了解27001，您需要首先修复它，然后再担心控件的细节。)

Answer 3

ISO/IEC 27001:20134.2表示，您应该定义相关各方的需求和期望，其中可能包括相关的法律/法规要求和合同义务。在6.1.2中，您建立了一个信息安全风险评估流程，该流程根据您的信息安全管理系统的范围来识别/分析/评估/优先考虑组织的信息安全风险，然后在6.1.3中定义/应用/记录您的风险处理过程。

就实际情况而言，假设您进行了(所需的)风险评估，并确定使用公共IM可能会使您的组织面临隐私、安全和法律责任风险，因为您能够泄漏个人信息和下载病毒/版权信息。如果确定的风险水平超过了您通过6.1.2定义的风险接受标准，则需要定义/应用/记录解决风险的风险处理计划。风险处理计划可能涉及认证、加密、审计、记录和监视IM通信量。

可能需要日志记录的某些区域，包括IM日志记录：

• A.12.4.1 -事件日志-包括记录用户活动
• A.13.2.1 .信息转移政策和程序.包括电文在内的商业信函的保留和处理准则
• A.18.1.1 -确定适用的立法和合同要求-你可能在法律上有义务记录通信，如通信是公开记录，或遵守合同义务。