安全审计建议

ISO认证

委员会要求远程赌博经营者首次进行完整的ISO认证，通过电子邮件securityaudit@gamblingcommission.go.uk确认以下内容

• 认证过程的开始日期
• 认证过程中的当前阶段
• 评估是否符合ISO标准的认可机构
• 正式颁发日期证书

现有的ISA和全面的ISO认证之间不应该有任何差距。委员会将调整所有提醒，以反映您的认证周期。

安全审计报告内容

总之，一份“良好”的标准安全审计报告必须包括以下内容：

• 接线员姓名
• 审计师的姓名和背景
• 审计的日期
• 经营者的简要背景，其业务模式和赌博活动提供或第三方使用
• 审核员访问的地点
• 审核所依据的标准，即BS ISO/IEC 27001:2022
• 执行摘要-执行摘要必须包括对所承担的工作和运行的控制环境的高层次概述。报告还应包括任何关键问题或发现
• 除了详细说明每项电讯系统保安要素的评估结果的报告外，核数师还必须在报告中记录持牌人对电讯系统所述范围的整体保安控制环境是否有效的意见
• 测试的范围，包括所检讨的资讯科技系统
• 审计方法——基于询问的问题、观察、证据、采访的关键人员（这有助于确定是否有适当的人员参与了安全审计）
• 在审核过程中为证实审核结果而获得的证据。这将包括审查的文档，包括版本和日期、采访的员工、执行的演练的详细信息、审查以验证合规性的示例等等。
• 审核结果（完全符合、观察、轻微不符合和严重不符合的部分）
• 管理计划解决已确定的问题
• 其他相关因素。

其他相关因素包括操作人员或系统是否符合要求，或是否根据其他要求进行了审核。例如，支付卡行业数据安全标准（PCIDSS）。

安全审核员经验

作为安全审计的一部分，委员会将要求审计员的姓名和背景。必须提供足够的信息，使我们确信审计师是独立的，并具有适当的资格。

这应包括：

• 审计公司的名称，以及他们是否有资格测试BS ISO/IEC 27001:2022 （ISO 27001）的符合性
• 谁完成了审核，他们的经验和资格。以下认证可以证明适合完成审核：
• ISO 27001首席审核员
• 注册资讯系统审核员（CISA）
• 认证资讯安全经理（CISM）
• 认证资讯系统保安专业人员（CISSP）
• 他们独立于许可证持有人。

合适的审核员可能已经完成了其他组织的外部安全审计。

测试范围

审计必须涵盖测试策略的第三方年度安全审计部分，该部分声明如下。

委员会要求审计员详细说明如何确定关键系统，以及审计是否包括以下领域：

• 应用程序（赌博系统）
• 网络-例如，Windows
• 数据库—例如Oracle
• 操作系统—例如Linux。

审计的范围必须涵盖所有RTS安全元素。然而，我们认识到，使用基于风险的方法是常见的审计实践，如果一个领域以前最近有足够的外部审计工作或风险较低，则可能没有必要每年在该领域重新执行审计工作。例如，如果一个独立的外部审计或对备份能力的审查在六个月前在一个组织中进行了测试，并且发现是合规的，那么审计不需要这么快再次审查，只要审计师可以审查和依赖以前进行的工作。

如果任何方面没有作为本次审计的一部分进行审查，报告必须详细说明原因，并包括审计师所依赖的任何相关的先前外部审计的参考资料。以前的审核只有在符合ISO/IEC 27001（或同等）标准的情况下才能依赖。

审计方法

委员会必须了解审计是如何进行的。它没有考虑到良好的审计可以仅基于文档远程进行。

它应该包括以下所有三种方法：

1. 提出问题（基于询问的方法）
2. 收集证据（基于证据的方法）
3. 在现场与员工交谈或使用远程检查技术（基于观察的方法）。

信息安全审计使用一系列评估方法，包括收集证据、审查程序、访问办公室和员工（包括非技术人员）。

例如:

• HR进行培训记录——“人员控制6.3信息安全意识、教育和培训”；
• 各经理通过面谈和证据收集确保定期进行用户访问审查——组织控制5.18。访问权限的
• 在工作站上验证屏幕锁定在x分钟后发生。

如果运营商在世界各地的许多地点都有卫星业务，那么委员会将要求运营商和审计员在规划期间确定哪些地点是最重要的访问地点，以便评估委员会许可活动的信息安全方面。

在可能不适合访问多个地点的情况下，在某些地区，远程电话和电子邮件收集信息就足够了。必须作出充分知情的专业判断，以确保进行适当有力的审计。完全通过远程手段进行审计，仅仅通过与工作人员交谈和通过电子邮件审查信息是不够的。

审核还应包括在实施控制的地点验证适用的控制。可以使用远程检查技术来见证或观察控制。

对第三方提供的方面进行审计

运营商必须满足他们所使用的第三方的信息安全充分性。社会责任守则第1.1.2条概述了被许可人对第三方的责任。除了本准则之外，还有一些在审核范围内的要求，具体涉及第三方的管理，即ISO/IEC 27001:2022控制5.19供应商关系中的信息安全。

作为审核计划的一部分，审核员必须与作业者一起确定是否存在第三方，以及他们是否应构成审核范围的一部分。

这里需要考虑的重要因素包括第三方的功能，以及他们是否有权访问对持牌人的赌博规定至关重要的信息或系统。在某些情况下，如果注册会计师对第三方开展的其他审计工作的充分性和范围感到满意，注册会计师可以依赖第三方开展的其他审计工作。

一个常见的例子可能是托管赌博服务器的第三方数据中心。审核员可能依赖于数据中心已通过ISO27001认证或已就其RTS职责的主要领域（即物理安全方面）进行过先前审查的事实。

另一个例子是在赌博条款中使用b2b。例如，管理在线老虎机或扑克网络。在这种情况下，B2B本身很可能被许可为远程赌博运营商，因此将受到自己的安全审计的约束。这一事实本身并不能免除B2C在这一领域的责任，我们希望B2C能够像前面概述的那样从获得许可的B2B获得保证。例如，合同条款、服务水平协议和保证声明，如ISAE 3402声明。

采访的人

审计报告应包括被采访人员的姓名和职务。

委员会期望负责建立资讯安全框架及应用该框架的主要持份者接受面谈，例如：

• 全面负责远程赌博的人员
• 合规官
• 资讯保安主任
• 操作人员（样本）
• 软件开发人员。

审查文件和证据措施

审计报告必须包括所审查的政策、程序和文件。

我们希望审核的政策、程序和文件包括：

• 资讯科技保安政策
• 用户访问
• 开发和测试程序
• 服务水平协议
• 使用网络服务的政策
• 检测、预防和恢复控制以防止恶意代码
• 数据备份策略
• 有适当的程序，使介质被安全处置
• 处理及储存资料的程序（防止资料在未经授权的情况下被披露或误用）
• 改变管理方针
• 监测信息处理设施使用情况的程序
• 远程办公活动的政策、操作计划和程序
• 使用密码控制的策略
• 网络图。

操作人员可以列出不同的文档名称，但这仍然必须包含适用的策略/过程。如果报告中没有明确说明，委员会可能会要求运营商提供更多信息。

收集证据的审计领域包括：

• 适当的安全设置（包括网络、数据库、操作系统和赌博应用程序）
• 用户访问控制（员工和玩家访问）
• 软件更改
• 审查外部执行的渗透测试和漏洞评估
• 物理访问
• 审核日志审核
• 信息处理控制
• 备份记录
• 员工访谈和演练，并为选定的流程记录证据
• 培训记录。

审计报告样本

委员会期望收到一份使用完成安全审计的标准化方法的审计报告。以下是委员会期望在安全审计中看到的一些可接受的条款和报告布局的一个例子。

定义

这个示例报告使用以下定义对每个被评估的领域进行遵从性评估。

兼容的

所查看的政策和证据被认为完全符合BS ISO/IEC 27001:2022指南。

观察

一项政策已经到位，但它要么不完全符合BS ISO/IEC 27001:2022指南，要么支持证据（或缺乏证据）引起了潜在的担忧。此状态并不表示失败，而是表示流程可以改进。

轻微不合格

没有解决控制问题或不符合BS ISO/IEC 27001:2022指南。补救这一问题的行动方针应该有一个适当的时间表。

主要不合格

审核员发现了一个影响几个控制的根本错误，这意味着整个信息安全管理政策不能得到遵守。在解决之前，这样的问题通常意味着该组织不符合ISO/IEC 27001:2022。

安全审计和管理对已识别问题的响应示例

委员会认识到，《废物转运条例》第4条所列的所有规定未必适用于某些营办商。如有任何要求不适用，必须在该审计报告内提供充分的证据。

没有提供充分和明确证据的审计报告可能不符合委员会的要求，并可能被拒绝。

评估

委员会期望看到的内容和风格的例子。

部分不合格和不合格

明确界定的调查结果有助于持牌人的管理层和委员会了解采取纠正措施的必要性。

一般而言，调查结果的格式应为：

• 发现——观察到的东西；
• 客观证据-支持发现和描述存在情况的证据（发现）
• 后果-现有情况的影响或潜在影响（发现）
• 纠正措施-为解决现有不符合并进行改进而采取的步骤。他们解决存在的问题，应该基于计划，执行，检查，行动模式。
• 管理层回应-概述管理层对调查结果的回应，包括决议日期和责任人。