GB/Z 32916-2016 信息技術 安全技術 信息安全控制措施審核員指南6.2 資源配備
6.2 資源配備
信息安全控制措施的評審需要客觀分析和專業報告的技能。針對技術符合性檢查,還需要額外的專業技能,他們需具備了解信息安全策略如何在軟件、硬件、通信鏈路及其相關技術過程中執行的具體技術知識。審核員宜具備:
a) 基于對信息系統框架概念的理解,對信息系統風險和安全結構的評價能力;
b) 良好的信息安全實踐的知識,例如由GB/T 22081-2008和其他安全標準給出的信息安全控制措施;
c) 深入檢查復雜技術信息的能力,以識別任何重大的風險和改進的機會;
d) 評價評審信息安全和信息技術局限性的實用方法。
強烈建議任何沒有審核經驗的人在分派去執行信息安全控制措施審核前,需正式的掌握審核專業基礎知識,具備職業道德、獨立性、客觀性、保密性、責任心和判斷力;了解訪問記錄授權的權限來源、職能、資產、人員和信息;具有處理與保護所獲得的信息、評審發現與建議以及隨之而來的后續過程等的責任。
為實現評審目的,評審小組可由擁有各相關專業能力的審核員組成。當 要求范圍內實施評審的相關專業技術和能力尚未具備時,宜安排專家和資源(無論內部還是外部的)并考慮風險和利益。
審核員還宜確認組織及其負責信息安全的人員能夠參與,并且具備足夠的信息安全知識、具體任務和必要的資源。
作為組織反欺詐工作的一部分,審核員可能需要在每個審核策劃、審核實現和審核評審階段中與財務審計師進行密切合作。
推薦文章: