7.1 概述

評審控制措施典型的基本概念包括：評審規程、評審報告和評審跟蹤。評審規程的設計和內容包括：評審目的和評審方法。

審核員在信息安全控制措施評審過程中可以采用以下三種評審方法：

a） 檢查；

b） 訪談；

c） 測試。

下面相應章節采用一組屬性和屬性值來定義每種評審方法。對于深度屬性，屬性值“重點的”包括屬性值“一般的”所定義的評審嚴格度和詳細度，并建立在其上；屬性值“詳盡的”包括屬性值“重點的”所定義的評審嚴格性和詳細度，并建立在其上。對于廣度屬性，屬性值“特定的”包括屬性值“典型的”所定義的評審對象數量和類型，并建立在其上；屬性值“全面的”包括屬性值“特定的”所定義的評審對象數量和類型，并建立在其上。

“檢查”和“測試”方法可以使用被廣泛認可的自動化工具來支持。審核員宜同時評審這種工具的運行對評審對象正常運行的影響。當評審的某部分依賴于這種工具時，審核員宜證明或者提供證據來說明這種工具提供可靠結果。