8.1 準備

8.1 準備

為獲得可接受的結論，在評審前、評審中和評審后建立并保持一組適當的期望很重要。這意味著為管理層提供信息，使其能夠針對如何最佳地實現和運行信息系統做出合理的、基于風險的決策。組織和審核員的充分準備是進行有效評審的重要環節。準備活動宜關注一系列與成本、進度、專業知識的可用性和評審績效等相關的問題。

從組織的角度看，評審準備包括以下關鍵活動：

a） 確保具備覆蓋評審的適當的策略，并且被組織所有的成員所理解；

b） 確保為實現控制措施所策劃的所有步驟在評審之前已經成功完成，并接受適當的管理評審（僅適用于被標記為“全面運行”的控制措施，而不是籌備/實現階段的控制措施）；

c） 確保所選擇的控制措施已分配給適當的組織實體進行開發和實現；

d） 建立評審的目的和范圍（即評審的目的和內容）；

e） 通知組織主要的管理者即將進行的評審并分配實現評審所需的必要資源；

f） 在與評審有關的組織管理者中建立適當的溝通渠道；

g） 為有效地管理評審，建立組織所需要的評審時間框架和關鍵決策點；

h） 識別和選擇一個勝任的審核員或審核小組負責實現評審，并考慮審核員的獨立性；

i） 收集組織文件（例如，包括組織結構圖、策略、規程、計劃、規范、設計、記錄、管理員/操作員手冊、信息系統文檔、互聯協議、以往評審結果等信息安全控制文件）并提供給審核員；

j） 在組織和審核員之間建立一種機制，最小化評審期間發現的控制措施實現或控制措施弱點/缺陷的歧義或誤解。

除了組織為評審準備所實現的策劃活動之外，審核員宜從以下方面為評審做準備：

a） 理解組織的總體運作（包括任務、職能和業務流程）和評審范圍內的信息資產如何支持這些組織運作；

b） 了解信息資產結構（即系統架構）；

c） 充分了解所有被評審的控制措施；

d） 研究這些控制措施中所引用的相關出版物；

e） 識別負責開發和實現評審范圍內支持信息安全控制措施的組織實體；

f） 建立實現評審所需的適當的組織聯絡點；

g） 獲得評審所需組織文件（例如策略、規程、計劃、規范、設計、記錄、管理員/操作員手冊、信息系統的文檔、互聯協議）；

h） 獲得以往的可適當再次用于評審的評審結論（例如報告、評審、漏洞掃描、物理安全檢查、開發測試和評估）；

i） 與組織中相關的管理者會面，確保對評審目的、建議的評審嚴格度和范圍達成一致；

j） 制定評審計劃。

為信息安全控制措施評審做準備時，宜收集必要的背景信息供審核員使用。為支持特定評審組織宜識別組織中相關的個人或小組，并安排對其的訪問。這些個人或小組負責開發、編制、分發、評審、運行、保持、更新所有的安全控制措施、安全策略和有關實現符合性策略控制措施的規程。審核員也需要獲得信息系統的安全策略和相關的實現規程、與控制措施實現和運行及評審對象相關的材料（例如安全計劃、記錄、日程安排、評審報告、改進后報告、協議和認可包）。

必需文件的可用性、關鍵組織人員與被評審信息系統的可訪問性對一個成功的信息安全控制措施評審來說是非常重要的。