8.4 分析并報告結果

8.4 分析并報告結果

評審計劃提供了評審目的和如何進行評審的詳細引導。評審報告作為評審輸出和最終評審結果，記錄了基于已實現的信息安全控制措施的信息安全保障水平。報告內容包括審核員作出的判斷所使用控制措施有效性的必要信息以及基于其發現所作出的組織在實施所選擇和適當的控制措施時的整體有效性的信息。該報告是確定組織的業務運作（即，任務、職能）、組織資產、個人和組織其他信息安全風險等的一個重要因素。

評審結果宜按照組織策略規定的評審報告格式，以適宜的詳細程度來記錄。該報告的格式也宜與控制措施評審的類型相適應（如信息系統負責人的自我評估、獨立的驗證和確認、審核員實施的獨立控制措施評審等）。

信息系統的負責人依賴審核員的信息安全專業知識和技術判斷對安全控制措施進行評審，并就如何糾正控制措施的弱點和缺陷以及減少或消除已識別的脆弱性提出具體的建議。

在安全評審報告初稿中，審核員將把評審有關的信息（既滿意或者不滿意的評審發現/關于部分未產生令人滿意的安全控制措施的鑒定/對危及信息資產的潛在危害的描述）提供給管理層。在評審報告定稿前，如果有機會糾正控制措施的脆弱性、或者糾正/澄清對評審結果的誤解和解釋，信息資產負責人可以依據審核員的建議采取相應措施。審核員宜在評審報告定稿前把在此過程中被修改過的、增強的或者新增的控制措施重新評審一遍。將最終報告提交給管理層意味著信息安全控制措施評審的正式結束。

因為評審結果最終影響信息安全控制措施的內容、行動計劃和里程碑，信息資產負責人要核對審核員的發現，并與管理層共同確定改正評審中已確定的脆弱性的適當步驟。通過使用滿意和不滿意的標記，報告評審發現的形式為管理層提供了關于特定弱點和信息安全缺陷信息，有助于按照信息安全風險管理的規程采取制度化和結構化的方法來降低風險。例如，信息資產負責人經與管理層協商可決定某些標記為不滿足的評審發現是不重要的，并不會給組織帶來重大的風險。反之，信息資產負責人和管理者可能決定某些標記為不滿足的評審發現是重要的，需要立即采取補救措施。總之，組織核對審核員發現的不滿足證據，并就評審發現的嚴重程度和重要性（即，對組織的業務、資產、個人或其他組織的潛在不利影響）進行判斷，并判定該評審發現是否值得進一步調查或需要采取補救措施。高級管理層參與降低風險的過程可能是必要的，以確保組織資產按照組織優先級來分配，將資源首先分配給組織中支持最多關鍵業務的信息資產，或者分配給糾正導致最大風險缺陷的信息資產。最后根據評審發現，由信息資產負責人與組織指定的負責人協商發起的降低風險的措施，使得信息安全風險管理過程和信息安全控制措施得以更新。于是，管理人員更新用于判定信息資產安全狀態的關鍵文件以反映新的評審結果。

在預先確定的里程碑或評審后的固定周期，例如最終報告完成后的三個月，通常會進行一次跟蹤評審，重點關注那些待解決的或“沒有定論”的問題。包括驗證以往評審發現實施方案的有效性。組織也可選擇在下次評審時執行跟蹤評審，特別是針對那些非關鍵或不緊急的問題。