6.1 評審過程

6.1 評審過程

當啟動一個獨立的信息安全評審時，信息安全控制措施評審審核員和與此評審相關的審核員通常先收集初步信息、評審工作計劃的范圍、聯絡組織相關部門的管理人員和其他聯系人、開展對評審風險的評估，以制定指導實際評審工作的文件。

為了有效地進行評審，指定的審核員需要做好控制措施方面和測試方面的準備（例如：適用工具的操作，測試的技術目標）。在此階段，各項評審工作可依據感知的風險來排列優先順序，也可按照特定的業務流程或系統來計劃，或者簡單地按順序來覆蓋評審范圍的所有領域。

初步信息收集的各種來源：

a） 該領域的書籍、互聯網搜索、技術手冊、標準和其他背景下研究的常見風險和控制措施，以及會議、研討會、培訓或論壇；

b） 以往的評審、測試和評估的結果，無論該評審、測試和評估是部分或完全符合本次評審范圍，還是是否由審核員進行的（例如由信息安全專業人員進行的預發布安全測試可提供針對主要應用系統安全性的豐富信息）；

c） 從IT服務臺、IT變更管理、IT事件管理流程和相類似的途徑所搜集到的，與信息安全事件、事態、請求支持的問題和變更相關的信息；

d） 審核員或專業領域的信息安全人員通用的評審檢查單和檢查內容。

根據初始信息評審已策劃的評審范圍可能是適當的，尤其是在幾個月之前就已經制定好的評審計劃范圍。例如，其它的評審活動未涉及值得深入探討的關注點，或者已增加了保障則允許目前的工作重點轉移到其他領域關注點。

在初期階段，一項重要的活動是與管理者和評審聯絡人保持聯系。因在評審結束時，他們需要了解評審發現，以便積極響應評審報告。彼此理解、相互尊重、充分解釋評審過程，可顯著改進評審結果的質量和影響。

每個審核員將其工作形成文件的方式有所不同，許多評審活動可利用工作文件模板來支持標準化的評審過程，如：評審檢查單、內部控制措施調查問卷、測試計劃、風險控制措施矩陣等。

評審檢查單（或類似的文檔）是一個關鍵文件，有以下幾個原因：

a） 列出了評審工作已計劃的范圍，可詳細到描述單個評審測試和預期/理想發現的程度；

b） 提供了評審工作的結構，有助于確保評審工作能充分地涵蓋所策劃的范圍；

c） 必要的分析最初編寫的檢查表可使審核員為后續的現場評審工作做好準備。隨著評審進展開始分析過程、逐步填寫檢查表、再根據分析過程生成評審報告；

d） 提供了記錄前期和現場評審結果的框架，例如，檢查表里可以引用和評價收集到的評審證據；

e） 審核管理人員或其他審核員可以評審檢查表，作為評審工作質量保障過程的一部分；

f） 檢查單一旦完成，連同評審證據作為產生的結果和發現構成一個評審工作合理的詳細歷史記錄，用于證實或支持評審報告，向管理層報告和/或幫助策劃以后的評審。

審核員宜謹慎避免簡單使用他人編寫的通用評審檢查單。這樣也許會節省時間，但可能會喪失上面提到的幾個好處。（對于明確的符合性評審或認證評審，因為需要滿足的要求通常很明確，簡單使用他人編寫的檢查表可能不會造成問題。）

大部分的現場評審工作是由審核員實施或其要求實施的一系列測試組成，以收集評審證據并對其評審，評審經常通過與相關符合性法規、標準或獲得廣泛認可的良好實踐的預期或期望結果進行對比來實現。例如，檢測惡意軟件控制措施的測試評審，可能檢查是否所有適用的計算機平臺安裝反病毒軟件。此類評審測試經常使用抽樣技術，因為很少會有足夠的評審資源以進行全面的測試。不同的審核員和實際情況會有不同抽樣實踐，可能包括隨機選擇、分層選擇和其他更復雜的統計抽樣技術（例如，為了證實控制措施不足的程度，在初始結果不令人滿意時采取額外的抽樣）。通常來說，以電子的方式收集和測試證據時可進行更全面的測試，例如使用SQL查詢語句從系統和資產管理數據庫中整理出評審證據數據庫。審核抽樣方法至少部分宜以被審核運行區域的風險為導向。

通常宜在評審工作文件中標注、引用或存儲評審過程中收集到的證據。在評審分析、發現、建議和報告的過程中，審核員需充分保護評審證據，特別是一些很可能是非常敏感和/或有價值的證據。例如，從生產數據庫中提取的用于評審的數據，宜通過訪問控制措施、加密等手段使其達到和生產數據庫相同程度的保護。自動評審工具、查詢、實用程序/數據提取程序等也宜嚴格控制。同樣，由審核員打印的或提供給審核員的打印資料，一般宜通過加鎖等措施保護其物理安全，以防止未經授權的泄露或修改。對于特別敏感的評審，宜在評審的早期階段識別風險和必要的信息安全控制措施并做好準備。

隨著評審檢查的完成、一系列評審測試??、評審證據地充分收集，審核員宜對評審證據進行檢查，確定信息安全風險被處置的程度，并評審所有殘余風險的潛在影響。在這個階段，審核員可以起草某種形式的評審報告，對評審工作的質量進行評審，以及與管理層討論，特別是對直接被評審的業務單位、職能部門或團隊的討論，也可能涉及組織的其他部門。

審核管理人員宜公正地對評審證據進行檢查：

a） 有充分的評審證據來提供事實依據支持所有評審發現；

b） 所有評審發現及建議宜與評審范圍相關，無關事項排除在外。

如果對評審發現需要策劃進一步的評審工作，宜在報告中注明。

與評審計劃一樣，分析過程本質上是基于風險的，在評審工作中收集的證據能為分析過程提供有用的信息。簡單的符合性評審通常可以產生一系列相對簡單的具有明確意見的符合/不符合的結果。信息安全評審通常會帶來一些需要管理層在決定采用何種適當的行動（如果有）之前需考慮和討論的事項。在有些情況下，管理層可能有選擇性地接受一定的信息安全評審確定的風險；另外一些情況下，管理層有權決定不采納評審的建議，但是這需要承擔相應的責任。從這個意義上說，盡管審核員擁有重大影響力并且有豐富的評審實踐和事實證據做支撐，但他們只是作為建議而非執行的角色。

審核員宜通過合理的評審來證實組織的信息安全活動（并非單指管理體系）達到了既定目標。評審宜提供實際情況與準則之間的差距說明。當一個內部策略作為準則的時候，宜明確該策略足以作為準則。為確保這一點，可參考附錄B所列的準則。審核員宜在評審范圍內考慮內部策略和規程。未考慮的相關準則仍可能被非正式地應用于組織內。已識別的關鍵準則未被應用可能會導致潛在的不符合。