7.2 評審方法：檢查

7.2 評審方法：檢查

7.2.1　概要

核查、檢驗、評審、觀察、研究或者分析一個或多個評審對象以便理解、澄清或獲取證據的過程及其結果，以用來確定評審區間內存在的控制措施，及其功能性、正確性、完備性和潛在改進的可能性。
評審對象通常包括：
a） 規范（例如：策略、計劃、規程、系統需求、設計）；
b） 機理（例如：在硬件、軟件和固件中執行的功能）；
c） 過程（例如：系統的操作、監管、管理、演練）。
典型的審核員的評審活動可能包括：
a） 評審信息安全策略、計劃和規程；
b） 分析系統設計文檔和接口規范；
c） 觀察系統備份操作和評審應急預案演練的結果；
d） 觀察事件響應過程；
e） 研究技術手冊和用戶/管理員指南；
f） 核查、研究或觀察信息技術機制在信息系統的硬件/軟件中的運行；
g） 核查、研究和觀察信息系統的變更管理和活動日志；

7.2.2　屬性

7.2.2.1　一般檢查

一般性檢查通常包含對評審對象的通盤審視、核查、觀察和檢驗。這種類型的檢查只使用有限的證據或文檔（例如，機理功能級別的描述；過程中高級過程的描述；實際規格說明書）。一般性檢查為確定必要的控制措施是否實現和無明顯錯誤提供了一定程度的了解。

7.2.2.2　重點檢查

重點性檢查通常包含對評審對象的通盤審視、核查、觀察、檢驗和更深入的研究/分析。這種類型的檢查需要大量的證據或文件（例如，機理的功能說明、適用及可用時其概要設計信息；過程的概要信息及其實現規程；規范及與其相關的文檔）。重點檢查幫助審核員了解必須的安全控制措施是否實現且無明顯錯誤。檢查同樣為該控制措施被正確的實現且按預期運行提供更多的證明。

7.2.2.3　詳盡檢查

詳盡檢查通常包含對評審對象的通盤審視、核查、觀察、檢驗和更深入、詳盡、徹底的研究/分析。實現這類檢查使用廣泛的證據或文件（例如，機理的功能說明、適用及可用時其概要設計、詳細設計及實現信息；過程的概要信息及其詳細的實現規程；規范及與其相關的文檔）。詳盡檢查幫助審核員了解必須的安全控制措施是否實現且無明顯錯誤，同時為該控制措施被正確的實現且按預期持續、一致的運行提供更多證明，且對控制措施的有效性提供持續改進的支持。

7.2.2.4　典型檢查

典型檢查使用達到必要覆蓋率的評審對象的抽樣樣本（類型和數量），以確定其相關的控制措施是否實現且無明顯錯誤。

7.2.2.5　特定檢查

特定檢查使用評審對象的抽樣樣本（類型和數量）和其他對達到評審目的起重要作用的特定評審對象。特定檢查也提供必要的覆蓋率，以確定其相關的控制措施是否實現且無明顯錯誤、是否能進一步證明控制措施正確實現且按預期運行。

7.2.2.6　全面檢查

全面檢查使用充足的評審對象樣本（類型和數量）和其他對達到評審目的起重要作用的特定評審對象。全面檢查提供必要的覆蓋率，以確定其相關的控制措施是否實現且無明顯錯誤、是否能進一步證明控制措施正確實現且按預期持續一致的運行，且對控制措施的有效性提供持續改進的支持。