7.3 評審方法：訪談

7.3 評審方法：訪談

7.3.1　概要

訪談是指與組織內的個人或者小組進行討論，以便于理解、澄清或者找到證據出處的過程。訪談結果用于支持確定信息安全控制措施的存在、功能性、正確性、完備性以及潛在的持續改進。
評審對象通常包括個人或小組。
典型的審核活動可能包括與以下人員訪談：
a） 管理者；
b） 信息資產和任務的負責人；
c） 信息安全主管；
d） 信息安全管理員；
e） 人事主管；
f） 人力資源管理員；
g） 設施管理員；
h） 培訓主管；
i） 信息系統操作員；
j） 網絡和系統管理員；
k） 站點管理員；
l） 物理安全主管；

7.3.2　深度屬性

7.3.2.1　一般訪談

與個人或小組進行的廣泛的、通盤討論。這種訪談通過一組通用的、高層次的問題來完成。一般訪談幫助審核員了解必須的安全控制措施是否實現且無明顯錯誤。

7.3.2.2　重點訪談

重點訪談除了一般訪談的要求以外，還包括與個人或小組進行的某個特定領域的深入討論。這種類型的訪談是在有跡象表明需要更深入調查的特定領域里額外地詢問更深入的問題。重點訪談幫助審核員了解必須的安全控制措施是否實現且無明顯錯誤、是否能進一步證明控制措施正確實現且按預期運行。

7.3.2.3　詳盡訪談

詳細訪談除了重點訪談的要求以外，還包括在有跡象表明需要更深入調查的或評審規程有要求的特定領域里詢問更深入、更具探究性的問題。詳細訪談幫助審核員了解必須的安全控制措施是否實現且無明顯錯誤、是否能進一步證明控制措施正確實現且按預期運行，且對控制措施的有效性提供持續改進的支持。

7.3.3　廣度屬性

廣度屬性指的是訪談過程的范圍或者廣度，它包括被訪談的人員類別（按其相關的組織角色和責任來分），被訪談的人的數量（按類別分），以及某些特定的被訪談的人。

7.3.3.1　典型訪談

典型訪談指的是與組織的關鍵角色有代表性的個人進行的訪談，達到必要的覆蓋率，以確定其相關的控制措施是否實現且無明顯錯誤。

7.3.3.2　特定訪談

特定訪談指的是與組織的關鍵角色、有代表性的個人，和其他對達到評審目標起重要作用的特定人員進行的訪談。特定訪談提供必要的覆蓋率，以確定其相關的控制措施是否實現且無明顯錯誤、是否能進一步證明控制措施正確實現且按預期的運行。

7.3.3.3　全面訪談

全面訪談指的是與組織足夠數量的關鍵角色的人員，和其他對達到評審目標起重要作用的特定人員進行的訪談。全面訪談提供必要的覆蓋率，以確定其相關的控制措施是否實現且無明顯錯誤、是否能進一步證明控制措施正確實現且按預期持續一致的運行，且對控制措施的有效性提供持續改進的支持。