對已實現的 GB/T 22080-2016 附錄A的控制的評審指南

D.1 目的

在初次認證審核的第二階段以及監督或再認證活動[見9.3.1.2.2g)]中，需要評審客戶確定其ISMS所需的控制(根據適用性聲明) 的實現情況。

認證機構所收集的審核證據，需足以得出控制是否有效的結論。例如，在客戶的規程或策略中，可以對期望如何實施一項控制做出規定。

D.1.1 審核證據

通過審核員的觀察(例如，要求上鎖的門已經鎖了、人員確實簽署了保密協議、有資產登記且資產登記包含所看到的資產、系統設置是適當的等)，可以收集到最好的審核證據。從觀察控制的實施結果[例如，由恰當的授權人員為指定人員簽署的訪問權文件、處理事件的記錄、由恰當的授權人員簽署的處理權限文件、管理(或其他)會議的紀要等等]，可以收集到證據。證據可以是審核員對控制進行直接測試(或重新實施)的結果，例如：嘗試執行被控制所禁止的任務、確定機器上是否安裝了反惡意代碼的軟件且其是否是最新的、確定已授予的訪問權(在檢查完授權之后)等等。通過與在組織控制下工作的人員和(或)合同方就過程和控制進行面談，確定其所說的是否真實正確，可以收集審核證據。

D.2 如何使用表D.1

D.2.1 總則

表D.1為在初次認證審核和后續審核中評審GB/T22080-2016附錄A所列出的控制的實現，以及收集與控制的績效相關的審核證據提供了指南。表D.1沒有為評審GB/T22080—2016附錄A之外的控制提供指南。

D.2.2 “組織類控制”列與“技術類控制”列

各列中的“×”表示對應的控制是組織類控制或技術類控制。如果某些控制既是組織類的又是技術類的，則兩列中均予以標識。

組織類控制的績效證據，可以通過核查控制的實施記錄、訪談、觀察和物理檢查來收集。技術類控制的績效證據，可以通過系統測試(見下面)，或者通過使用專門的審核/報告工具來收集。

D.2.3 “系統測試”列

“系統測試”是指對信息系統的直接評審(例如，評審系統的設置或配置)。對于審核員的提問，可以在系統控制臺回答，也可以通過評價測試工具的結果來回答。如果客戶使用了一個審核員熟悉的、基于計算機的工具，那么可以使用該工具來支持審核，或者評審由客戶(或其分包方)所實施的評價的結果。

表D.1包含了兩類對技術類控制的評審：

●“可能的”：系統測試對于評價控制的實現來說是可能的， 但在IS MS審核中不一定是必需的。

●“推薦的”：在IS MS審核中， 系統測試通常是必需的。

注：在本附錄中，除非另有所指，“系統”是指“信息系統”。

D.2.4 “目視檢驗”列

“目視檢驗”是指通常需要通過在現場進行目視檢驗來評價控制的有效性。這意味著，通過評審相應的書面文件或訪談來評價控制的有效性是不夠充分的；審核員宜在實現控制的現場對控制進行驗證。

D.2.5“審核的評審指南”列

作為對審核員的進一步指南，“審核的評審指南”列為評價控制提供了可能的關注點。