8.2 制定計劃

8.2 制定計劃

8.2.1　概述

制定評審控制措施計劃的審核員宜確定控制措施評審的類型（例如，完整評審或部分評審），以及基于評審的范圍和目的確定評審中將包含哪些控制措施/控制措施增強。審核員宜評估和降低評審活動對組織正常運營的風險和影響（可能時），并基于評審中所涉及的控制措施和控制措施增強以及它們關聯的深度和覆蓋范圍，選擇合適的評審規程。
審核員宜根據信息系統風險水平和組織的實際運行環境來對所選擇的評審規程進行裁剪。必要時，審核員還宜針對本技術規范中未覆蓋的安全控制措施、控制措施增強和額外保障需求制定附加的評審規程。

8.2.2　范圍

文件宜提供信息資產安全需求的概述，并描述為滿足這些安全需求現有的或計劃的控制措施。審核員以信息安全文檔中所描述的控制措施為起點并考慮評審目的。評審可以是對組織內所有信息安全控制措施的完整評審或對信息資產保護措施的部分評審（例如：在連續監視期間，持續評審信息資產控制措施的子集）。對于部分評審，信息資產負責人宜與評審相關的組織管理者共同確定需要評審哪些控制措施。控制措施的選擇依賴于所建立的連續監測計劃、活動計劃中的項目和適當的里程碑。宜對不穩定的控制措施實施更頻繁的評審。

8.2.3　評審規程

評審規程包含一組評審目的，每個評審規程都可能有一組關聯的評審方法和評審對象。評審目的的明確性陳述與控制措施內容（即控制措施功能）緊密關聯。這確保了評審結果可追溯至基本控制措施要求。評審規程應用于某一控制措施后產生評審發現。這些評審發現隨后將有助于確定控制措施的整體有效性。評審對象識別了要評審的特定項，包括了規范的說明、機制、過程和人員。
附錄A提供了技術符合性檢查和控制措施增強評審規程的示例。附錄A中的實踐指南用于收集證據，這些證據將用來確定控制措施是否正確實現、按預期運行，并產生與滿足信息資產安全需求相關的預期輸出。對于評審中所包括的每一個控制措施和控制措施增強，審核員可參照附錄A制定相應的評審規程。在不同的評審中，根據當時的評審目的選擇不同評審規程（例如控制措施年度評審，連續監測）。附錄A提供了一個基于特定的評審關注點選擇適宜的評審規程的工作表。
可以通過下列方式裁剪評審規程：
a） 選擇能夠最有效做出適當判定并滿足評審目的所需的評審方法和評審對象；
b） 根據被評審的控制措施的特征和需做出的具體判定來選擇評審方法的深度和覆蓋范圍的特征值，以滿足評審期望；
c） 如果某些控制措施已被其他評審過程充分評審，則可刪除相應的評審規程；
d） 修訂適用于特定的信息系統/平臺和特定組織的評審規程，以便成功地實施評審；
e） 在評審結論中引用以往合適的評審結果；
f） 如需從外部供應商獲得必要的評審證據，則適當調整評審規程；

8.2.4　與對象有關的考慮

組織可以通過多種方式來描述、記錄和配置他們的信息資產，因此現有評審證據的內容和適用性會有所不同。這可能會需要對不同的評審對象應用不同的評審方法，以形成用于確定控制措施在應用中是否有效的評審證據。因此，每個評審規程所提供的評審方法和評審對象的列表，可能為特定的評審選擇最合適的方法和對象。選用的評審方法和對象是為產生評審證據所必須的。評審規程中的潛在方法和對象是作為一種資源協助選擇適當的方法和對象，而不是為了限制選擇。因此，在從潛在的評審方法中選擇評審方法以及從已選方法相關的評審對象清單中選擇評審對象時，審核員宜有自己的判斷。

8.2.5　以往的發現

8.2.5.1　概述

審核員宜利用現有的控制措施評審信息以促進更有效地評審。
宜將先前已接受或批準的信息系統評審結論的重用作為確定所有控制有效性證據的一部分。
當考慮再次使用以往的評審結論和這些結論對當前評審的價值時，審核員宜確定：
a） 證據的可信性；
b） 以往分析的合理性；
c） 證據對當前信息資產狀況的適用性。
當考慮再次使用以往的評審結果時，在某些情況下可能有必要通過附加的評審活動對其進行補充，以完全滿足評審目的。例如，如果一個信息技術產品的獨立第三方評價沒有測試某信息系統中組織所采用的某特定配置的設置，那么審核員可能需要通過附加的測試來覆蓋這種配置的設置，以補充原有的測試結果。

8.2.5.2　環境變化

在以往的評審中被視為有效的控制措施可能由于與信息資產或者周圍環境相關的條件改變而變得無效，因此之前被認為是可以接受的評審結論可能不再提供可信的證據來確定控制措施的有效性，故需要一次新的評審。將之前的評審結論應用于當前的評審，需要識別自上次評審以來發生的任何變更和這些變更對以往評審結果的影響。例如，如果確定已識別的策略、規程和風險環境沒有顯著變化，就可重用之前的評審結果檢查組織的安全策略和規程。

8.2.5.3　重用評審結果的可接受性

在控制措施評審中使用以往的評審結果是否可接受（在控制措施評審時是否可使用以往的評審結果），宜與評審結論的使用者協調并獲得其批準。在確定使用之前的評審結果時，信息資產所有者有必要與相應的組織管理者（例如，首席信息官、首席信息安全官、任務/信息所有者）配合。決定重新使用評審結果的決定宜記錄在評審計劃和最終報告中。
只要符合以下條件，安全評審可以包括以往的安全評審發現：
a） 審核計劃中明確允許；
b） 審核員有很好的理由相信審核發現仍然有效；
c） 當前評審對這些運用于控制措施和過程中的任何技術或者規程上的審核發現的改變給予了充分的安全考慮；

8.2.5.4　時效

一般情況下，隨著當前和以往評審之間的時間間隔增加，以往評審結果的可信性/可用性就會下降。主要是因為信息資產或者信息資產運行的環境更可能隨著時間的推移而改變，可能會使之前評審依據的原始條件或者設想失效。

8.2.6　工作分配

審核員的獨立性在某些類型的評審中是關鍵因素，尤其是對中等和高風險的信息資產。每次評審需要的獨立性程度宜保持一致。例如，在當前更高獨立性的評審中，不適合重新使用以往未要求審核員自我評估獨立性的結論。

8.2.7　外部系統

為適應外部信息系統的評審，需適當調整附錄A中的評審方法和規程。因為組織并不能總是直接控制外部信息系統中所使用的安全控制措施，或對這些控制措施的開發、實現和評審上并不總是充分的了解，這可能需要裁剪附錄A中描述的評審規程。信息系統所需要的保障或已協定的控制措施需被記錄在合同或服務級別協議中。審核員宜評審這些合同或協議，并在適當的情況下調整評審規程來評審按這些協議提供的控制措施或控制措施評審結果。此外，對于運行外部信息系統對被評審的信息資產進行保護的組織，審核員宜對組織已進行或正在進行的評審予以考慮。宜將評審中認為可信的可用信息納入報告中。

8.2.8　信息資產和組織

評審規程可做調整以適應系統/平臺特定的或組織特定的依賴關系。在技術性信息安全控制措施（即訪問控制、審核與責任追究、標識與鑒別、系統和通信保護）相關的評審規程中常有這種情況。如果這些測試方法提供較透明度高（例如，測試了什么、何時測試、如何測試），最近的測試結果也可能適用于當前的評審。基于標準的測試協議可為組織如何幫助達到這種程度的透明提供范例。

8.2.9　擴展的評審規程

在達到信息安全控制措施的保障要求時組織有很大的靈活性。例如，保障缺陷及時處理的要求，組織可以基于具體控制、控制類型、具體系統甚至組織級別來滿足要求。

8.2.10　優化

審核員可以有一定程度的靈活性來組織所需的評審計劃。因此，這就提供了一種在獲取安全控制措施有效性必要證據的同時降低整體評審成本的機會。
審核員在設計一個滿足組織需求的評審計劃上有一定的靈活性。在評審期間，評審方法可多次應用于信息安全控制措施特定區域內的各種評審對象。
為節省時間、降低評審成本、并最大限度地提高評審結果的可用性，審核員在可能或可行的情況下，宜評審選定的控制措施領域的評審規程，和聯合或整合程序（或規程的一部分）。
例如，審核員可能希望合并與組織內負責處理各種信息安全相關主題的關鍵管理者的訪談。審核員可通過同時檢查所有適用的安全策略和規程，或組織相關策略和規程組（可作為一個統一實體進行檢查），獲得重大合并和節約成本的機會。獲取并檢查相關信息系統內相似的硬件和軟件組件的配置設置是另一個可明顯提高評審效率的示例。
優化評審過程中，另外需要考慮的一個問題是評審安全控制措施的順序。

8.2.11　定稿

選擇評審規程（包括開發不包含在本文中的必要規程）后，根據信息特定資產和組織特定的條件調整規程，使規程在效率上最優化，在必要時應用擴展的評審規程，并解決可能影響評審的意外事件，評審計劃的完成和進度表的建立包含評審過程的關鍵里程碑。