5 背景

組織信息安全控制措施的選擇宜基于風險評估的結果，并作為信息安全風險管理過程的組成部分，以將風險降低到可接受的水平。但對于決定不實施信息安全管理體系（ISMS）的組織，可通過其他方式選擇、實現和維護信息安全控制措施。

通常，例如當信息資產包括信息系統時，組織的部分信息安全管控通過技術性的信息安全控制措施實現。

宜依據技術性的信息安全標準定義、文件化、實現和維護組織的技術性安全控制措施。隨著時間的推移，信息安全控制措施的有效性可能會受到如下因素的負面影響，并最終影響組織的信息安全標準：

內部因素，諸如：信息系統改進、安全功能配置和信息系統環境的變化；

外部因素，諸如：攻擊技能的提高。

組織宜制訂嚴格的信息安全變更控制計劃。組織宜定期評審是否適當地實現和運行了信息安全實現標準。技術符合性檢查是GB/T 22081**—**2008中的控制措施之一，或手動或借助自動化工具的技術評審來執行。技術符合性檢查可由未參與控制措施執行的角色（例如系統所有者），或者具體控制措施的責任人，或者內部或外部的信息安全專家（包括IT審核員）來執行。

技術符合性評審檢查的輸出將說明與組織的信息安全實現標準實際的技術符合程度。當技術控制措施符合信息安全標準時，為實際技術符合程度提供保證，否則作為改進的依據。審核開始時宜明確地建立審核報告鏈，并保證報告過程的完備性。宜采取相應的步驟，以確保：

a） 相關責任方直接從信息安全控制措施評審審核員（以下簡稱審核員）處收到未改動的報告副本；

b） 不適宜或未經授權方無法獲得來自審核員的報告副本；

c） 審核員能夠不受妨礙地開展其工作。

信息安全控制措施評審，尤其是技術符合性檢查，可幫助組織：

a） 識別和理解組織在實現和運行信息安全控制措施、信息安全標準及相應的技術性信息安全控制措施方面潛在問題或不足的程度；

b） 識別和理解未充分消除的信息安全威脅和脆弱性對組織的潛在影響；

c） 確定降低信息安全風險活動的優先級；

d） 確認先前識別的或突發的信息安全弱點或不足已得到充分解決；和（或）

e） 支持與組織信息安全管理改進有關的投資過程中的預算決策和其他管理決策。

本指導性技術文件依據組織建立的信息安全實現標準關注信息安全控制措施評審，包括技術符合性檢查。本指導性技術文件無意為GB/T AAAAA（ISO/IEC 27004，IDT）規范的測量、GB/T BBBBB（ISO/IEC 27005，IDT）規范的風險評估和GB/T CCCCC（ISO/IEC 27007，IDT）規范的ISMS審核方面的符合性檢查提供具體指南。

作為制定信息安全控制措施評審規程的過程起點，本指導性技術文件可促進組織內信息安全具有更好的一致性。

使用本指導性技術文件為定制基于業務任務和目標、組織策略和要求、已知威脅和脆弱性信息、運行考慮、信息系統和平臺依賴性以及風險承受度的評審提供所需的靈活性。

注：ISO指南73將風險承受度定義為組織準備追蹤、保持和接受的風險大小和類型。