| A.18.2 信息安全评审 | ||
| 目标:确保依据组织策略和规程来实现和运行信息安全。 | ||
| A.18.2.1 | 信息安全的独立评审 | 控制 应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现(如信息安全的控制目标、控制、策略、过程和规程)进行独立评审。 |
| A.18.2.2 | 符合安全策略和标准 | 控制 管理者应定期评审其责任范围内的信息处理和规程与适当的安全 策略、标准和任何其他安全要求的符合性。 |
| A.18.2.3 | 技术符合性评审 | 控制 应定期评审信息系统与组织的信息安全策略和标准的符合性。 |
控制解析:
- “A.18.2 信息安全评审”与正文“9.2 内部审核”所指的审核,是由区别的。“9.2 内部审核”一般指的是“体系审核”,“A.18.2 信息安全评审”所说的审核类似于质量管理的制程审核。
- “A.18.2.1”要求管理层应在计划的时间间隔,实施独立的评审,对信息安全风险控制措施(如控制目标、控制措施、控制策略、控制过程和规范等)进行评审,评价是否适宜,是否需要改进等。
- “A.18.2.2”要求,管理者应定期按照内部的信息安全策略和规范,对信息处理(如数据的存储、传输、访问等)进行审核,评价是否符合信息安全策略和规范。
- “A.18.2.3”要求,管理者应定期评价信息系统采取的安全技术控制是否符合信息安全策略和规范。
实施本控制应输出的文档:
- 《内部审核管理程序》。
- 信息安全内部审核计划、内部审核记录以及改进记录等。
本控制审核要点:
- 检查信息安全内部审核计划,包含体系审核、信息安全风险控制措施适宜和改进性评审(A.18.2.1)、策略和规范符合性审核(A.18.2.2)以及信息安全技术符合性评审(A.18.2.3)等
