18.2信息安全評審

18.2信息安全評審

18.2.1信息安全的獨立評審

控制
宜按計劃的時間間隔或在重大變化發生時，對組織的信息安全管理方法及其實現（如信息安全的控制目標、控制、策略、過程和規程）進行獨立評審。
實現指南
管理者宜啟動獨立評審。對于確保一個組織管理信息安全的方法持續適宜、充分有效，這種獨立評審是必要的。評審宜包括評估安全方法改進的機會和變更的需要，包括策略和控制目標。
這樣的評審宜由獨立于被評審范圍的人員執行，例如內部審核部門、獨立的管理人員或專門進行這種評審的第三方組織。從事這些評審的人員宜具備適當的技能和經驗。
獨立評審的結果宜被記錄并報告給啟動評審的管理者。這些記錄宜加以維護。
如果獨立評審識別出組織管理信息安全的方法和實現不充分，例如，不符合信息安全策略文件（見5.1.1）中聲明的信息安全的方向，管理者宜考慮糾正措施。
其他信息

18.2.2符合安全策略和標準

控制
管理者宜定期評審其責任范圍內的信息處理和規程與適當的安全策略、標準和任何其他安全要求的符合性。
實現指南
管理人員宜識別如何評審策略、標準和其他適用的法律法規規定的信息安全要求得到滿足。為了高效的定期評審，宜考慮采用自動測量和報告工具。
如果評審結果發現任何不符合，管理人員宜：
a) 識別不符合的原因；
b) 評價達到符合性的措施需要；
c) 實現適當的糾正措施；
d) 評審所采取的糾正措施，驗證其有效性，明確其缺陷或弱點。
宜記錄并維護管理人員進行評審和采取糾正措施的結果。當在管理人員的責任范圍內進行獨立評審時，管理人員宜將結果報告給執行獨立評審的人員（見18.2.1）。
其他信息

18.2.3技術符合性評審

控制
宜定期評審信息系統與組織的信息安全策略和標準的符合性。
實現指南
技術符合性宜更適合在自動化工具輔助下實現評審，來產生供技術專家進行后續解釋的技術報告。或者，由有經驗的系統工程師進行人工評審（必要時，在適當的軟件工具支持下）
如果使用滲透測試或脆弱性評估，則宜格外小心，因為這些活動可能導致系統安全的損害。這樣的測試宜預先計劃，形成文件，且可重復執行。
任何技術符合性評審宜僅由有能力的、已授權的人員來完成，或在他們的監督下完成。
其他信息
技術符合性評審包括運行系統的檢查，以確保硬件和軟件控制被正確實現。這種類型的符合性評審需要專業技術知識。
符合性評審還包括，例如滲透測試和脆弱性評估，該項工作可以由針對此目的而專門簽約的獨立專家來完成。符合性評審有助于發現系統的脆弱性，并有助于檢查控制是否能有效預防由于這些脆弱性導致的未授權訪問。
滲透測試和脆弱性評估提供系統在特定時間特定狀態的快照。該快照僅限于滲透攻擊期間實際被測試的系統部分。滲透測試和脆弱性評估不能代替風險評估。