随着评审检查的完成、一系列评审测试、评审证据地充分收集，审核员宜对评审证据进行检查，确定 信息安全风险被处置的程度，并评审所有残余风险的潜在影响。在这个阶段，审核员可以起草某种形式 的评审报告，对评审工作的质量进行评审，以及与管理层讨论，特别是对直接被评审的业务单位、职能部 门或团队的讨论，也可能涉及组织的其他部门。 审核管理人员宜公正地对评审证据进行检查： a）有充分的评审证据来提供事实依据支持所有评审发现； b）所有评审发现及建议宜与评审范围相关，无关事项排除在外。 如果对评审发现需要策划进一步的评审工作，宜在报告中注明。 与评审计划一样，分析过程本质上是基于风险的，在评审工作中收集的证据能为分析过程提供有用 的信息。简单的符合性评审通常可以产生一系列相对简单的具有明确意见的符合/不符合的结果。信 息安全评审通常会带来一些需要管理层在决定采用何种适当的行动（如果有）之前需考虑和讨论的事 项。在有些情况下，管理层可能有选择性地接受一定的信息安全评审确定的风险；另外一些情况下，管 理层有权决定不采纳评审的建议，但是这需要承担相应的责任。从这个意义上说，尽管审核员拥有重大 影响力并且有丰富的评审实践和事实证据做支撑，但他们只是作为建议而非执行的角色。 审核员宜通过合理的评审来证实组织的信息安全活动（并非单指管理体系）达到了既定目标。评审 宜提供实际情况与准则之间的差距说明。当一个内部策略作为准则的时候，宜明确该策略足以作为准 则。为确保这一点，可参考附录B所列的准则。审核员宜在评审范围内考虑内部策略和规程。未考虑 的相关准则仍可能被非正式地应用于组织内。 已识别的关键准则未被应用可能会导致潜在的不符合。

评审控制措施典型的基本概念包括：评审规程、评审报告和评审跟踪。评审规程的设计和内容包

括：评审目的和评审方法。 审核员在信息安全控制措施评审过程中可以采用以下三种评审方法： a）检查； b）访谈； c）测试。 下面相应章节采用一组属性和属性值来定义每种评审方法。对于深度属性，属性值“重点的”包括 属性值“一般的”所定义的评审严格度和详细度，并建立在其上；属性值“详尽的”包括属性值“重点的”所 定义的评审严格性和详细度，并建立在其上。对于广度属性公路工程，属性值“特定的”包括属性值“典型的”所定 义的评审对象数量和类型，并建立在其上；属性值“全面的”包括属性值“特定的”所定义的评审对象数量 和类型，并建立在其上。 “检查”和“测试”方法可以使用被广泛认可的自动化工具来支持。审核员宜同时评审这种工具的运 行对评审对象正常运行的影响。当评审的某部分依赖于这种工具时，审核员宜证明或者提供证据来说 明这种工具提供可靠结果

核查、检验、评审、观察、研究或者分析一个或多个评审对象以便理解、澄清或获取证据的过程及其 果，以用来确定评审区间内存在的控制措施，及其功能性、正确性、完备性和潜在改进的可能性。 评审对象通常包括： a）规范（例如，策略、计划、规程、系统需求、设计）； b）机理（例如，在硬件、软件和固件中执行的功能）； C 过程（例如，系统的操作、监管、管理、演练）。 典型的审核员的评审活动可能包括： a 评审信息安全策略、计划和规程； b 分析系统设计文档和接口规范； C) 观察系统备份操作和评审应急预案演练的结果； d） 观察事件响应过程； e) 研究技术手册和用户/管理员指南； ) 核查、研究或观察信息技术机制在信息系统的硬件/软件中的运行； 核查、研究和观察信息系统的变更管理和活动日志； h) 核查、研究或观察与信息系统操作有关的物理安全措施

7.2.2.1一般检查

一般性检查通常包含对评审对象的通盘审视、核查、观察和检验。这种类型的检查只使用有限 或文档（例如，机理功能级别的描述；过程中高级过程的描述；实际规格说明书）。一般性检查为 不要的控制措施是否实现和无明显错误提供了一定程度的了解。

7.2.2.2重点检查

重点性检查通常包含对评审对 检验和更深人的研究/分析。这种类型的 检查需要大量的证据或文件（例如，机理的功能说明、适用及可用时其概要设计信息；过程的概要信息及

查同样为该控制措施被正确的实现且按预期运行

7.2.2.3详尽检查

详尽检查通常包含对评审对象的通盘审视、核查、观察、检验和更深入、详尽、彻底地研究/分析。实 现这类检查使用广泛的证据或文件（例如，机理的功能说明、适用及可用时其概要设计、详细设计及实现 信息；过程的概要信息及其详细的实现规程；规范及与其相关的文档）。详尽检查帮助审核员了解必须 的安全控制措施是否实现且无明显错误，同时为该控制措施被正确的实现且按预期持续、一致的运行提 供更多证明，且对控制措施的有效性提供持续改进的支持

7.2.2.4典型检查

典型检查使用达到必要覆盖率的评审对象的抽样样本（类型和数量），以确定其相关的控制措施 实现且无明显错误

7.2.2.5特定检查

特定检查使用评审对象的抽样样本（类型和数量）和其他对达到评审目的起重要作用的特定评审 特定检查也提供必要的覆盖率，以确定其相关的控制措施是否实现且无明显错误、是否能进一步 空制措施正确实现且按预期运行，

7.2.2.6全面检查

全面检查使用充足的评审对象样本 自的起重要作用的特定评审对 象。全面检查提供必要的覆盖率，以确定其相关的控制措施是否实现且无明显错误、是否能进一步证明 控制措施正确实现且按预期持续一致的运行，且对控制措施的有效性提供持续改进的支持。

访谈是指与组织内的个人或者小组进行讨论，以便于理解、澄清或者找到证据出处的过程。访谈结 用于支持确定信息安全控制措施的存在、功能性、正确性、完备性以及潜在的持续改进。 评审对象通常包括个人或小组。 典型的审核活动可能包括与以下人员访谈： 管理者； b) 信息资产和任务的负责人； c) 信息安全主管； d) 信息安全管理员； e) 人事主管； f 人力资源管理员； g） 设施管理员； h) 培训主管； i) 信息系统操作员； j） 网络和系统管理员； 站点管理员； 1） 物理安全主管； m）用户。

访谈是指与组织内的个人或者小组进行讨论， 用于支持确定信息安全控制措施的存在、功能性 评审对象通常包括个人或小组。 典型的审核活动可能包括与以下人员访谈： a) 管理者； b) 信息资产和任务的负责人； c) 信息安全主管： d) 信息安全管理员； e) 人事主管； f) 人力资源管理员； g) 设施管理员； h) 培训主管； i) 信息系统操作员； j) 网络和系统管理员； 站点管理员； 1) 物理安全主管； m）用户。

7.3.2.1一般访谈

GB/Z32916—2016/ISO/IECTR27008.2011

通用的、高层次的同题来完成。一般访 谈帮助审核员了解必须的安全控制措 明显错误

7.3.2.2重点访谈

重点访谈除了一般访谈的要求以外，还包括与个人或小组进行的某个特定领域的深人讨论。这种 类型的访谈是在有迹象表明需要更深人调查的特定领域里额外地询问更深人的问题。重点访谈帮助审 核员了解必须的安全控制措施是否实现且无明显错误、是否能进一步证明控制措施正确实现且按预期 运行

7.3.2.3详尽访谈

详细访谈除了重点访谈的要求以外，还包括在有迹象表明需要更深人调查的或评审规程有要 定领域里询问更深入、更具探究性的问题。详细访谈帮助审核员了解必须的安全控制措施是否 无明显错误、是否能进一步证明控制措施正确实现且按预期运行，且对控制措施的有效性提供持 #的支持。

厂度属性指的定访谈过性的 谈的人员类别（按其相关的组织角色利 分），被访谈的人的数量（按类别分 访谈的人

7.3.3.1典型访谈

典型访谈指的是与组织的关键角色有代表性的个人进行的访谈，达到必要的覆盖率，以确定其 的控制措施是否实现且无明显错误

7.3.3.2特定访谈

特定访谈指的是与组织的关键角色、有 用的特定人 员进行的访谈。特定访谈提供必要的覆盖率，以确定其相关的控制措施是否实现且无明显错误、是否能 进一步证明控制措施正确实现且按预期的运行。

7.3.3.3全面访谈

全面访谈指的是与组织足够数量的关键角色的人员，和其他对达到评审目标起重要作用的特定人 员进行的访谈。全面访谈提供必要的覆盖率，以确定其相关的控制措施是否实现且无明显错误、是否能 进一步证明控制措施正确实现且按预期持续一致的运行，且对控制措施的有效性提供持续改进的支持

测试是指在规定条件下对一 程。其结果用来支持确定信息安全控制措施的存在、功能性、正确性、完备性以及潜在的持续 试应由有能力的专家来执行，且需谨慎，测试对组织的运行可能造成的影响应在测试开始前得到 经过管理层的批准。并且需要考虑选择在非运行窗口或低负荷的环境，甚至在复制的测试环境

行测试。测试造成的系统故障或不可用可能会给组织的正常业务运行造成重大影响，可能会造成经济 损失或影响组织的声誉。因此，在测试策划以及签约时（包括考虑法律方面的事宜)需要特别注意。 在做出任何推断之前，审核员应仔细调查测试结果中存在的误报和漏报。 典型的评审对象包括机理（如硬件、软件、固件）和过程（如系统的操作、实现、管理以及演练）。 审核员的典型活动可包括： 测试访问控制、身份鉴别、授权以及审查机制； b） 测试安全配置设置； c 测试物理访问控制措施设备； d 执行关键信息系统组件的渗透测试； e） 测试信息系统的备份操作； f) 测试事件响应能力； g） 演练应急策划能力； h) 测试安全系统人侵检测、报警和响应的能力； i） 测试加密机制和哈希算法； ） 测试用户ID和特权管理机制； K） 测试授权机制； 1） 验证安全措施的级联恢复能力。 注：测试不适用于属性。

[7.4.2.1盲测(黑盒测试)

盲测（黑盒测试）是指审核员事先未掌握评审对象除公开信息以外的任何其他特性的情况下进行 ，盲测（黑盒测试）的评审对象已经为评审做好准备，并且提前知道评审的详细细节。盲测（黑盒 主要测试审核员的技能。盲测（黑盒测试)的广度和深度也只是体现了审核员知识的广度和工作 这种测试在安全评审中的作用是有限的，应该避免使用。该方法通常也被称为红客测试。

7.4.2.2 双盲测试

双盲测试是指审核员事先未掌握评审对象除公开信息以外的任何其他特性的情况下进行的测试。 双盲的评审对象在评审前也不知道评审的范围以及将使用的测试向量。双盲评审测试了评审对象对未 知扰动变量的准备程度

7.4.2.3灰盒测试

的情况下进行的测试。评审对象已经为评审做好准备，并且提前知道评审的详细细节。灰盒评审测试 了审核员的技能。这种测试的本质是效率。测试的广度和深度取决于测试前提供给审核员的信息的质 量，以及审核员的适用知识。这种测试在安全评审中的作用是有限的，宜避免使用。这种类型的测试经 常称作脆弱性测试，通常由自我评估活动的对象发起，

7.4.2.4双灰盒测试

双灰盒测试是指审核员对审查对象的防御能力和资产有限的了解，但是对可用的测试向量完全 为情况下进行的测试。评审对象对评审的范围以及评审的时间框架已经了解，但测试向量是未知白 天盒评审测试了评审对象对未知扰动变量的准备程度。测试的广度和深度取决于测试前提供给审

员的信息的质量，以及审核员的适用的知识。

7.4.2.5透明盒测试（白盒测试）

GB/Z32916—2016/ISO/IECTR27008:2011

透明盒测试（白盒测试）是指审核员和评审对象都已经为评审做好了准备，并都提前知道了评审的 细节。透明盒测试（白盒测试）评审了对目标的保护和控制情况，但它不能测试未知扰动变量目标的准 备程度。当审核员对所有的测试以及响应有全面的评审，这种测试的本质是全面的。测试的广度和深 度取决于测试前提供给审核员的信息的质量，以及审核员的适用知识。这种测试常用于内部评审，审核 员往往在全部安全过程中起到积极的作用

7.4.2.6逆向测试

逆向测试是指审核员完全了解评审对象的过程和安全操作，但是评审对象不知道审核员将测试什 么、如何测试以及何时测试。这种测试真正的本质是评审目标对未知扰动变量和向量的准备程度。测 试的广度和深度取决于测试前提供给审核员的信息的质量，以及审核员的适用知识和创造力。这常被 称为红队演练。

7.4.3扩展的评审规程

计用于和评审规程一起使用并补充该规程，以便为控制措施有效性提供证明。 扩展的评审规程和相关的评审目的也与信息系统的风险级别密切相关。

从组织的角度看，评审准备包括以下关键活动： a）确保具备覆盖评审的适当的策略，并且被组织所有的成员所理解； b 确保为实现控制措施所策划的所有步骤在评审之前已经成功完成，并接受适当的管理评审（仅 适用于被标记为“全面运行”的控制措施，而不是筹备/实现阶段的控制措施）； ） 确保所选择的控制措施已分配给适当的组织实体进行开发和实现； d）建立评审的目的和范围（即评审的目的和内容）； e）通知组织主要的管理者即将进行的评审并分配实现评审所需的必要资源； f）在与评审有关的组织管理者中建立适当的沟通渠道； g）为有效地管理评审，建立组织所需要的评审时间框架和关键决策点； h）识别和选择一个胜任的审核员或审核小组负责实现评审，并考虑审核员的独立性； 收集组织文件（例如，包括组织结构图、策略、规程、计划、规范、设计、记录、管理员/操作员手 册、信息系统文档、互联协议、以往评审结果等信息安全控制文件）并提供给审核员； 1 在组织和审核员之间建立一种机制，最小化评审期间发现的控制措施实现或控制措施弱点/缺 陷的歧义或误解。 除了组织为评审准备所实现的策划活动之外，审核员宜从以下方面为评审做准备： a）理解组织的总体运作（包括任务、职能和业务流程）和评审范围内的信息资产如何支持这些组 织运作； b）了解信息资产结构（即系统架构）； ） 充分了解所有被评审的控制措施； d） 研究这些控制措施中所引用的相关出版物； 识别负责开发和实现评审范围内支持信息安全控制措施的组织实体； f 建立实现评审所需的适当的组织联络点； 获得评审所需组织文件（例如策略、规程、计划、规范、设计、记录、管理员/操作员手册、信息系 统的文档、互联协议）； ） 获得以往的可适当再次用于评审的评审结论（例如报告、评审、漏洞扫描、物理安全检查、开发 测试和评估）； i）与组织中相关的管理者会面，确保对评审目的、建议的评审严格度和范围达成一致； j）制定评审计划。 为信息安全控制措施评审做准备时，宜收集必要的背景信息供审核员使用。为支持特定评审组织 别组织中相关的个人或小组，并安排对其的访问。这些个人或小组负责开发、编制、分发、评审、运 保持、更新所有的安全控制措施、安全策略和有关实现符合性策略控制措施的规程。审核员也需要 信息系统的安全策略和相关的实现规程、与控制措施实现和运行及评审对象相关的材料（例如安全 、记录、日程安排、评审报告、改进后报告、协议和认可包）。 必需文件的可用性、关键组织人员与被评审信息系统的可访问性对一个成功的信息安全控制措施 来说是非常重要的。

制定评审控制措施计划的审核员宜确定控制措施评审的类型（例如，完整评审或部分评审），以及 平审的范围和目的确定评审中将包含哪些控制措施/控制措施增强。审核员宜评估和降低评审活 且织正常运营的风险和影响（可能时），并基于评审中所涉及的控制措施和控制措施增强以及它们 深度和覆盖范围，选择合适的评审规程

GB/Z329162016/ISO/IECTR27008.201

审核员宜根据信息系统风险水平和组织的实际运行环境来对所选择的评审规程进行裁剪。必要 时，审核员还宜针对本技术规范中未覆盖的安全控制措施、控制措施增强和额外保障需求制定附加的评 审规程。 计划中宜设计一个阶段来确定背景、生成所确定背景下的期望行为的基线以及测试/评价规范和对 评价中的发现进行确认的方法。计划宜包括制定应用扩展评审规程的策略，必要时优化评审规程以减 少重复工作，并提供有成本效益的评审方案。审核员宜最终确定评审计划，并获得执行计划的必要 批准

文件宜提供信息资产安全需求的概述，并描述为满足这些安全需求现有的或计划的控制措施。审 核员以信息安全文档中所描述的控制措施为起点并考虑评审目的。评审可以是对组织内所有信息安全 控制措施的完整评审或对信息资产保护措施的部分评审（例如，在连续监视期间，持续评审信息资产控 制措施的子集）。对于部分评审，信息资产负责人宜与评审相关的组织管理者共同确定需要评审哪些控 制措施。控制措施的选择依赖于所建立的连续监测计划、活动计划中的项目和适当的里程碑。宜对不 稳定的控制措施实施更频警的评审

8.2.4与对象有关的考虑

组织可以通过多种方式来描述、记录和配置他们的信息资产，因此现有评审证据的内容和适用性会 有所不同。这可能会需要对不同的评审对象应用不同的评审方法，以形成用于确定控制措施在应用中 是否有效地评审证据。因此，每个评审规程所提供的评审方法和评审对象的列表，可能为特定的评审选 择最合适的方法和对象。选用的评审方法和对象是为产生评审证据所必须的。评审规程中的潜在方法 和对象是作为一种资源协助选择适当的方法和对象，而不是为了限制选择。因此，在从潜在的评审方法 中选择评审方法以及从已选方法相关的评审对象清单中选择评审对象时，审核员宜有自已的判断。

量是基于所提供的选择评审方法和对象理由的合理性，而不是所采用的特定的方法和对象本身。 多数情况下，没有必要为了达到理想的评审结果而对每一个评审对象使用各种评审方法。而对于 平审和全面评审，使用目前未列入的潜在方法或者不采用已列人的方法都可能是适宜的。

审核员宜利用现有的控制措施评审信息以促进更有效地评审。 宜将先前已接受或批准的信息系统评审结论的重用作为确定所有控制有效性证据的一部分。 当考虑再次使用以往的评审结论和这些结论对当前评审的价值时，审核员宜确定： a）证据的可信性； b）以往分析的合理性； c）证据对当前信息资产状况的适用性。 当考虑再次使用以往的评审结果时，在某些情况下可能有必要通过附加的评审活动对其进行补充， 以完全满足评审目的。例如，如果一个信息技术产品的独立第三方评价没有测试某信息系统中组织所 采用的某特定配置的设置，那么审核员可能需要通过附加的测试来覆盖这种配置的设置，以补充原有的 测试结果。 在确认以往的评审结果能否在当前评审中再次使用时，宜考虑以下章节，

8.2.5.2环境变化

无效，因此之前被认为是可以接受的评审结论可能不再提供可信的证据来确定控制措施的有效性，故需 要一次新的评审。将之前的评审结论应用于当前的评审，需要识别自上次评审以来发生的任何变更和 这些变更对以往评审结果的影响。例如，如果确定已识别的策略、规程和风险环境没有显著变化，就可 重用之前的评审结果检查组织的安全策略和规程。

8.2.5.3重用评审结果的可接受性

在控制措施评审中使用以往的评审结果是否可接受（在控制措施评审时是否可使用以往的评审结 果），宜与评审结论的使用者协调并获得其批准。在确定使用之前的评审结果时，信息资产所有者有必 要与相应的组织管理者（例如，首席信息官、首席信息安全官、任务/信息所有者）配合。决定重新使用评 审结果的决定宜记录在评审计划和最终报告中。 只要符合以下条件，安全评审可以包括以往的安全评审发现： a）审核计划中明确允许； 6） 审核员有很好的理由相信审核发现仍然有效； C） 当前评审对这些运用于控制措施和过程中的任何技术或者规程上的审核发现的改变给予了充 分的安全考虑 审核报告中明确表述了使用以往的审核发现和使用这些审核发现对风险管理潜在的影响

的时间间隔增加，以往评审结果的可信性/可用性就会下 是因为信息资产或者信息资产运行的环境更可能随着时间的推移而改变，可能会使之前评审依 原始条件或者设想失效。

GB/Z32916—2016/ISO/IECTR27008.2011

审核员的独立性在某些类型的评审中是关键因素，尤其是对中等和高风险的信息资产。每次评审 需要的独立性程度宜保持一致。例如，在当前更高独立性的评审中，不适合重新使用以往未要求审核员 自我评估独立性的结论

为适应外部信息系统的评审，需适当调整附录A中的评审方法和规程。因为组织并不能总是直接 控制外部信息系统中所使用的安全控制措施，或对这些控制措施的开发、实现和评审上并不总是充分的 了解，这可能需要裁剪附录A中描述的评审规程。信息系统所需要的保障或已协定的控制措施需被记 录在合同或服务级别协议中。审核员宜评审这些合同或协议，并在适当的情况下调整评审规程来评审 按这些协议提供的控制措施或控制措施评审结果。此外，对于运行外部信息系统对被评审的信息资产 进行保护的组织，审核员宜对组织已进行或正在进行的评审予以考虑。宜将评审中认为可信的可用信 息纳入报告中。

3.2.8信息资产和组织

评审规程可做调整以适应系统/平台特定的或组织特定的依赖关系。在技术性信息安全控制措施 （即访问控制、审核与责任追究、标识与鉴别、系统和通信保护）相关的评审规程中常有这种情况。如果 这些测试方法提供较透明度高（例如，测试了什么、伺 何时测试、如何测试），最近的测试结果也可能适用于 当前的评审。基干标准的测试协议

8.2.9扩展的评审规程

织可以基于具体控制、控制类型、具体系统甚至组织级别来满足要求。 考虑到这种灵活性，7.4.3中扩展的评审规程要基于逐个评审的基础加以应用，通常依照组织选择 如何对评审中信息资产实现保障的方式。应用的方法宜记录在评审计划中。此外，组织根据信息资产 风险水平为扩展的评审规程选择适当的评审目的。扩展的评审规程的应用是为了补充其他评审规程， 以增加对控制措施正确实现、按预期进行操作、对符合适用的信息安全需求产生所期望结果的信心。

审核员可以有一定程度的灵活性来组织所需的评审计划。因此，这就提供了一种在获取安全控制 昔施有效性必要证据的同时降低整体评审成本的机会。 审核员在设计一个满足组织需求的评审计划上有一定的灵活性。在评审期间，评审方法可多次应 用于信息安全控制措施特定区域内的各种评审对象。 为节省时间、降低评审成本、并最大限度地提高评审结果的可用性，审核员在可能或可行的情况下， 宜评审选定的控制措施领域的评审规程，和联合或整合程序（或规程的一部分）。 例如，审核员可能希望合并与组织内负责处理各种信息安全相关主题的关键管理者的访谈。审核 员可通过同时检查所有适用的安全策略和规程，或组织相关策路和规程组（可作为一个统一实体进行检 查），获得重大合并和节约成本的机会。获取并检查相关信息系统内相似的硬件和软件组件的配置设置 是另一个可明显提高评审效率的示例。 优化评审过程中，另外需要考的一个问题是评审安全控制措施的顺序。 先对一些控制措施评审可能会提供一些有利于了解和评审其他控制措施的信息。例如，控制措施 领域可能会对信息资产进行一般性描述。在评审过程的早期对这些安全控制措施进行的评审可提供对

规程中提供有用信息的相关控制措施。换句话说，评审实施的顺序可能有助于将一个控制措施的评审 信息在评审其他相关控制措施中再利用

选择评审规程（包括并发不包含在本文中的必要规程）后，根据信息特定资产和组织特定的条件调 整规程，使规程在效率上最优化，在必要时应用扩展的评审规程，并解决可能影响评审的意外事件，评审 计划的完成和进度表的建立包含评审过程的关键里程碑。 一且完成评审计划，相应的组织管理者要评审和认可该计划以确保计划是完整的、符合组织的安全 目的和组织的风险评审，以及为评审而分配的资源的成本效益。如果评审可能干扰组织的正常运作[例 如由于渗透测试阻碍了关键人员通信或可能的（临时）系统故障]，评审计划需要突出显示这些干扰的程 和时间范围，

组织批准评审计划后，审核员根据商定的里程碑和日程执行计划。 针对已选择的评审对象应用设定的评审方法，并收集/形成与每个评审目的决策相关的必要信息 以此实现评审目的。审核员执行评审规程中作出的每一个判定陈述，宜为下列发现之一： ·满足（S）； ·部分满足（P）； ·不满足（O）。 满足的评审发现表明，对于由判定申明所涉及的部分控制措施，获得的评审信息（即评审证据）表明 控制措施的评审目的已经达到并产生完全可以接受的结果（S）。部分满足的评审发现表明在评审时， 针对其目的，部分控制措施并未完全达到，或控制措施的实现仍在进行中，且保证控制措施将达到一个 满意的结果（P）。不满足的发现表明，对于判定申明所涉及的部分安全控制措施，获得的评审信息表明 控制措施在操作或实现中有潜在的异常情况，可能需要组织解决相关问题（O）。不满足的发现也可能 表明在评审报告中说明的理由，审核员无法获得足够的信息来作出在判定申明中需要的特殊判定。 审核员宜根据控制措施评审中的发现形成公正的、基于事实的评审发现（即所做的判定）。对于每 个不满足的发现，审核员宣说明评审发现的情况影响了哪一部分的控制措施（即，那些被认为不满足的 或不能够进行评审的控制措施），并描述控制措施与计划和期得的状态有何不同。审核员也宜注意那些 不满足的发现记录对保密性、完备性和可用性的潜在影响。如果评审发现了可能会显著增加组织风险 的严重不符合项（即那些严重偏离计划的状况、“不满意”的调查发现），审核员宜立即通知负责人和管理 层，使其立即启动风险降低程序

评审计划提供了评审目的和如何进行评审的详细引导。评审报告作为评审输出和最终评审结果， 记录了基于已实现的信息安全控制措施的信息安全保障水平。报告内容包括审核员作出的判断所使用 控制措施有效性的必要信息以及基于其发现所作出的组织在实施所选择和适当的控制措施时的整体有 效性的信息。该报告是确定组织的业务运作（即任务、职能）、组织资产、个人和组织其他信息安全风险 等的一个重要因素。 评审结果宜按照组织策略规定的评审报告格式，以适宜的详细程度来记录。该报告的格式也宜与 控制措施评审的类型相适应（如信息系统负责人的自我评估、独立的验证和确认、审核员实施的独立控 制措施评审等）。 信息系统的负责人依赖审核员的信息安全专业知识和技术判断对安全控制措施进行评审，并就如

能源标准GB/Z32916—2016/ISO/IECTR27008:2011

附录A （资料性附录） 技术符合性检查实践指南 本附录使用GB/T22081一2008中描述的典型控制措施为技术符合性检查提供一套实践指南。 本附录中的每一种控制措施基本上按照以下陈述和指南的结构来组织。 “技术控制措施”（带“附加技术信息”） 1安全实现标准（带“安全实现标准技术注解”） 1.1实践指南、设想的证据、方法 1.2实践指南、设想的证据、方法 1.3 2安全实现标准（带“安全实现标准技术注解”） 2.1实践指南、设想的证据、方法 2.2实践指南、设想的证据、方法 2.3 每个技术控制措施都有附加的技术信息，以便为审核员提供更多的支持。它基本上由一系列“安全 实现标准”组成，这些标准宜由组织定期评审以证实适用的标准是否被适当地实现和运行。 每个“安全实现标准”有补充的“安全实现标准技术注解”，以便为评审过程提供更多的技术信息。 它还提供了一系列的“实践指南”“设想的证据”和“方法”。 “实践指南”为安全实现标准提供了符合性检查规程。“设想的证据”给出了一些系统、文件、文档或 其他项目的例子，可被作为符合性检查规程中的“证据”来接受。请注意组织中证据的名称可能会不同。 然而，本附录中使用的名称可被认为在技术符合性检查领域中普遍接受的。“方法”提供了一种与以上 实践指南一致的合适的技术符合性检查方法， 本附录不提供全部的技术符合性检查实践指南，但仍将尽最大可能帮助组织评审安全实现标准是 否被适当地实现、运行。

A.1防范恶意代码控制措施的技术性检查

验货标准GB/Z32916—2016/ISO/IECTR27008.2011

GB/Z32916—2016/ISO/IECTR27008:2011

GB/Z329162016/ISO/IECTR27008:2011