标准规范下载简介

GB／Z 32916-2016 信息技术 安全技术 信息安全控制措施审核员指南.pdf

特定访谈指的是与组织的关键角色、有 用的特定人 员进行的访谈。特定访谈提供必要的覆盖率，以确定其相关的控制措施是否实现且无明显错误、是否能 进一步证明控制措施正确实现且按预期的运行。

7.3.3.3全面访谈

全面访谈指的是与组织足够数量的关键角色的人员GB/T 42209-2022标准下载，和其他对达到评审目标起重要作用的特定人 员进行的访谈。全面访谈提供必要的覆盖率，以确定其相关的控制措施是否实现且无明显错误、是否能 进一步证明控制措施正确实现且按预期持续一致的运行，且对控制措施的有效性提供持续改进的支持

测试是指在规定条件下对一 程。其结果用来支持确定信息安全控制措施的存在、功能性、正确性、完备性以及潜在的持续 试应由有能力的专家来执行，且需谨慎，测试对组织的运行可能造成的影响应在测试开始前得到 经过管理层的批准。并且需要考虑选择在非运行窗口或低负荷的环境，甚至在复制的测试环境

[7.4.2.1盲测(黑盒测试)

盲测（黑盒测试）是指审核员事先未掌握评审对象除公开信息以外的任何其他特性的情况下进行 ，盲测（黑盒测试）的评审对象已经为评审做好准备，并且提前知道评审的详细细节。盲测（黑盒 主要测试审核员的技能。盲测（黑盒测试)的广度和深度也只是体现了审核员知识的广度和工作 这种测试在安全评审中的作用是有限的，应该避免使用。该方法通常也被称为红客测试。

7.4.2.2 双盲测试

双盲测试是指审核员事先未掌握评审对象除公开信息以外的任何其他特性的情况下进行的测试。 双盲的评审对象在评审前也不知道评审的范围以及将使用的测试向量。双盲评审测试了评审对象对未 知扰动变量的准备程度

7.4.2.3灰盒测试

的情况下进行的测试。评审对象已经为评审做好准备，并且提前知道评审的详细细节。灰盒评审测试 了审核员的技能。这种测试的本质是效率。测试的广度和深度取决于测试前提供给审核员的信息的质 量，以及审核员的适用知识。这种测试在安全评审中的作用是有限的，宜避免使用。这种类型的测试经 常称作脆弱性测试，通常由自我评估活动的对象发起，

7.4.2.4双灰盒测试

双灰盒测试是指审核员对审查对象的防御能力和资产有限的了解，但是对可用的测试向量完全 为情况下进行的测试。评审对象对评审的范围以及评审的时间框架已经了解，但测试向量是未知白 天盒评审测试了评审对象对未知扰动变量的准备程度。测试的广度和深度取决于测试前提供给审

员的信息的质量，以及审核员的适用的知识。

7.4.2.5透明盒测试（白盒测试）

GB/Z32916—2016/ISO/IECTR27008:2011

透明盒测试（白盒测试）是指审核员和评审对象都已经为评审做好了准备，并都提前知道了评审的 细节。透明盒测试（白盒测试）评审了对目标的保护和控制情况，但它不能测试未知扰动变量目标的准 备程度。当审核员对所有的测试以及响应有全面的评审，这种测试的本质是全面的。测试的广度和深 度取决于测试前提供给审核员的信息的质量，以及审核员的适用知识。这种测试常用于内部评审，审核 员往往在全部安全过程中起到积极的作用

7.4.2.6逆向测试

逆向测试是指审核员完全了解评审对象的过程和安全操作，但是评审对象不知道审核员将测试什 么、如何测试以及何时测试。这种测试真正的本质是评审目标对未知扰动变量和向量的准备程度。测 试的广度和深度取决于测试前提供给审核员的信息的质量，以及审核员的适用知识和创造力。这常被 称为红队演练。

7.4.3扩展的评审规程

计用于和评审规程一起使用并补充该规程，以便为控制措施有效性提供证明。 扩展的评审规程和相关的评审目的也与信息系统的风险级别密切相关。

从组织的角度看，评审准备包括以下关键活动： a）确保具备覆盖评审的适当的策略，并且被组织所有的成员所理解； b 确保为实现控制措施所策划的所有步骤在评审之前已经成功完成，并接受适当的管理评审（仅 适用于被标记为“全面运行”的控制措施，而不是筹备/实现阶段的控制措施）； ） 确保所选择的控制措施已分配给适当的组织实体进行开发和实现； d）建立评审的目的和范围（即评审的目的和内容）； e）通知组织主要的管理者即将进行的评审并分配实现评审所需的必要资源； f）在与评审有关的组织管理者中建立适当的沟通渠道； g）为有效地管理评审，建立组织所需要的评审时间框架和关键决策点； h）识别和选择一个胜任的审核员或审核小组负责实现评审，并考虑审核员的独立性； 收集组织文件（例如，包括组织结构图、策略、规程、计划、规范、设计、记录、管理员/操作员手 册、信息系统文档、互联协议、以往评审结果等信息安全控制文件）并提供给审核员； 1 在组织和审核员之间建立一种机制，最小化评审期间发现的控制措施实现或控制措施弱点/缺 陷的歧义或误解。 除了组织为评审准备所实现的策划活动之外，审核员宜从以下方面为评审做准备： a）理解组织的总体运作（包括任务、职能和业务流程）和评审范围内的信息资产如何支持这些组 织运作； b）了解信息资产结构（即系统架构）； ） 充分了解所有被评审的控制措施； d） 研究这些控制措施中所引用的相关出版物； 识别负责开发和实现评审范围内支持信息安全控制措施的组织实体； f 建立实现评审所需的适当的组织联络点； 获得评审所需组织文件（例如策略、规程、计划、规范、设计、记录、管理员/操作员手册、信息系 统的文档、互联协议）； ） 获得以往的可适当再次用于评审的评审结论（例如报告、评审、漏洞扫描、物理安全检查、开发 测试和评估）； i）与组织中相关的管理者会面，确保对评审目的、建议的评审严格度和范围达成一致； j）制定评审计划。 为信息安全控制措施评审做准备时，宜收集必要的背景信息供审核员使用。为支持特定评审组织 别组织中相关的个人或小组，并安排对其的访问。这些个人或小组负责开发、编制、分发、评审、运 保持、更新所有的安全控制措施、安全策略和有关实现符合性策略控制措施的规程。审核员也需要 信息系统的安全策略和相关的实现规程、与控制措施实现和运行及评审对象相关的材料（例如安全 、记录、日程安排、评审报告、改进后报告、协议和认可包）。 必需文件的可用性、关键组织人员与被评审信息系统的可访问性对一个成功的信息安全控制措施 来说是非常重要的。

制定评审控制措施计划的审核员宜确定控制措施评审的类型（例如，完整评审或部分评审），以及 平审的范围和目的确定评审中将包含哪些控制措施/控制措施增强。审核员宜评估和降低评审活 且织正常运营的风险和影响（可能时），并基于评审中所涉及的控制措施和控制措施增强以及它们 深度和覆盖范围，选择合适的评审规程

GB/Z329162016/ISO/IECTR27008.201

审核员宜根据信息系统风险水平和组织的实际运行环境来对所选择的评审规程进行裁剪。必要 时，审核员还宜针对本技术规范中未覆盖的安全控制措施、控制措施增强和额外保障需求制定附加的评 审规程。 计划中宜设计一个阶段来确定背景、生成所确定背景下的期望行为的基线以及测试/评价规范和对 评价中的发现进行确认的方法。计划宜包括制定应用扩展评审规程的策略，必要时优化评审规程以减 少重复工作，并提供有成本效益的评审方案。审核员宜最终确定评审计划，并获得执行计划的必要 批准

文件宜提供信息资产安全需求的概述，并描述为满足这些安全需求现有的或计划的控制措施。审 核员以信息安全文档中所描述的控制措施为起点并考虑评审目的。评审可以是对组织内所有信息安全 控制措施的完整评审或对信息资产保护措施的部分评审（例如，在连续监视期间，持续评审信息资产控 制措施的子集）。对于部分评审，信息资产负责人宜与评审相关的组织管理者共同确定需要评审哪些控 制措施。控制措施的选择依赖于所建立的连续监测计划、活动计划中的项目和适当的里程碑。宜对不 稳定的控制措施实施更频警的评审

8.2.4与对象有关的考虑

组织可以通过多种方式来描述、记录和配置他们的信息资产，因此现有评审证据的内容和适用性会 有所不同。这可能会需要对不同的评审对象应用不同的评审方法，以形成用于确定控制措施在应用中 是否有效地评审证据。因此，每个评审规程所提供的评审方法和评审对象的列表，可能为特定的评审选 择最合适的方法和对象。选用的评审方法和对象是为产生评审证据所必须的。评审规程中的潜在方法 和对象是作为一种资源协助选择适当的方法和对象，而不是为了限制选择。因此，在从潜在的评审方法 中选择评审方法以及从已选方法相关的评审对象清单中选择评审对象时，审核员宜有自已的判断。

量是基于所提供的选择评审方法和对象理由的合理性，而不是所采用的特定的方法和对象本身。 多数情况下，没有必要为了达到理想的评审结果而对每一个评审对象使用各种评审方法。而对于 平审和全面评审，使用目前未列入的潜在方法或者不采用已列人的方法都可能是适宜的。

审核员宜利用现有的控制措施评审信息以促进更有效地评审。 宜将先前已接受或批准的信息系统评审结论的重用作为确定所有控制有效性证据的一部分。 当考虑再次使用以往的评审结论和这些结论对当前评审的价值时，审核员宜确定： a）证据的可信性； b）以往分析的合理性； c）证据对当前信息资产状况的适用性。 当考虑再次使用以往的评审结果时，在某些情况下可能有必要通过附加的评审活动对其进行补充， 以完全满足评审目的。例如，如果一个信息技术产品的独立第三方评价没有测试某信息系统中组织所 采用的某特定配置的设置，那么审核员可能需要通过附加的测试来覆盖这种配置的设置，以补充原有的 测试结果。 在确认以往的评审结果能否在当前评审中再次使用时，宜考虑以下章节，

8.2.5.2环境变化

无效，因此之前被认为是可以接受的评审结论可能不再提供可信的证据来确定控制措施的有效性，故需 要一次新的评审。将之前的评审结论应用于当前的评审，需要识别自上次评审以来发生的任何变更和 这些变更对以往评审结果的影响。例如，如果确定已识别的策略、规程和风险环境没有显著变化，就可 重用之前的评审结果检查组织的安全策略和规程。

8.2.5.3重用评审结果的可接受性

在控制措施评审中使用以往的评审结果是否可接受（在控制措施评审时是否可使用以往的评审结 果），宜与评审结论的使用者协调并获得其批准。在确定使用之前的评审结果时，信息资产所有者有必 要与相应的组织管理者（例如，首席信息官、首席信息安全官、任务/信息所有者）配合。决定重新使用评 审结果的决定宜记录在评审计划和最终报告中。 只要符合以下条件，安全评审可以包括以往的安全评审发现： a）审核计划中明确允许； 6） 审核员有很好的理由相信审核发现仍然有效； C） 当前评审对这些运用于控制措施和过程中的任何技术或者规程上的审核发现的改变给予了充 分的安全考虑 审核报告中明确表述了使用以往的审核发现和使用这些审核发现对风险管理潜在的影响

的时间间隔增加，以往评审结果的可信性/可用性就会下 是因为信息资产或者信息资产运行的环境更可能随着时间的推移而改变，可能会使之前评审依 原始条件或者设想失效。

GB/Z32916—2016/ISO/IECTR27008.2011

审核员的独立性在某些类型的评审中是关键因素，尤其是对中等和高风险的信息资产。每次评审 需要的独立性程度宜保持一致。例如，在当前更高独立性的评审中，不适合重新使用以往未要求审核员 自我评估独立性的结论

为适应外部信息系统的评审，需适当调整附录A中的评审方法和规程。因为组织并不能总是直接 控制外部信息系统中所使用的安全控制措施，或对这些控制措施的开发、实现和评审上并不总是充分的 了解，这可能需要裁剪附录A中描述的评审规程。信息系统所需要的保障或已协定的控制措施需被记 录在合同或服务级别协议中。审核员宜评审这些合同或协议，并在适当的情况下调整评审规程来评审 按这些协议提供的控制措施或控制措施评审结果。此外，对于运行外部信息系统对被评审的信息资产 进行保护的组织，审核员宜对组织已进行或正在进行的评审予以考虑。宜将评审中认为可信的可用信 息纳入报告中。

3.2.8信息资产和组织

评审规程可做调整以适应系统/平台特定的或组织特定的依赖关系。在技术性信息安全控制措施 （即访问控制、审核与责任追究、标识与鉴别、系统和通信保护）相关的评审规程中常有这种情况。如果 这些测试方法提供较透明度高（例如，测试了什么、伺 何时测试、如何测试），最近的测试结果也可能适用于 当前的评审。基干标准的测试协议

8.2.9扩展的评审规程

织可以基于具体控制、控制类型、具体系统甚至组织级别来满足要求。 考虑到这种灵活性，7.4.3中扩展的评审规程要基于逐个评审的基础加以应用，通常依照组织选择 如何对评审中信息资产实现保障的方式。应用的方法宜记录在评审计划中。此外，组织根据信息资产 风险水平为扩展的评审规程选择适当的评审目的。扩展的评审规程的应用是为了补充其他评审规程， 以增加对控制措施正确实现、按预期进行操作、对符合适用的信息安全需求产生所期望结果的信心。

审核员可以有一定程度的灵活性来组织所需的评审计划。因此，这就提供了一种在获取安全控制 昔施有效性必要证据的同时降低整体评审成本的机会。 审核员在设计一个满足组织需求的评审计划上有一定的灵活性。在评审期间，评审方法可多次应 用于信息安全控制措施特定区域内的各种评审对象。 为节省时间、降低评审成本、并最大限度地提高评审结果的可用性，审核员在可能或可行的情况下， 宜评审选定的控制措施领域的评审规程，和联合或整合程序（或规程的一部分）。 例如，审核员可能希望合并与组织内负责处理各种信息安全相关主题的关键管理者的访谈。审核 员可通过同时检查所有适用的安全策略和规程，或组织相关策路和规程组（可作为一个统一实体进行检 查），获得重大合并和节约成本的机会。获取并检查相关信息系统内相似的硬件和软件组件的配置设置 是另一个可明显提高评审效率的示例。 优化评审过程中，另外需要考的一个问题是评审安全控制措施的顺序。 先对一些控制措施评审可能会提供一些有利于了解和评审其他控制措施的信息。例如，控制措施 领域可能会对信息资产进行一般性描述。在评审过程的早期对这些安全控制措施进行的评审可提供对

规程中提供有用信息的相关控制措施。换句话说，评审实施的顺序可能有助于将一个控制措施的评审 信息在评审其他相关控制措施中再利用

组织批准评审计划后，审核员根据商定的里程碑和日程执行计划。 针对已选择的评审对象应用设定的评审方法，并收集/形成与每个评审目的决策相关的必要信息 以此实现评审目的。审核员执行评审规程中作出的每一个判定陈述，宜为下列发现之一： ·满足（S）； ·部分满足（P）； ·不满足（O）。 满足的评审发现表明，对于由判定申明所涉及的部分控制措施，获得的评审信息（即评审证据）表明 控制措施的评审目的已经达到并产生完全可以接受的结果（S）。部分满足的评审发现表明在评审时， 针对其目的，部分控制措施并未完全达到，或控制措施的实现仍在进行中，且保证控制措施将达到一个 满意的结果（P）。不满足的发现表明，对于判定申明所涉及的部分安全控制措施，获得的评审信息表明 控制措施在操作或实现中有潜在的异常情况，可能需要组织解决相关问题（O）。不满足的发现也可能 表明在评审报告中说明的理由，审核员无法获得足够的信息来作出在判定申明中需要的特殊判定。 审核员宜根据控制措施评审中的发现形成公正的、基于事实的评审发现（即所做的判定）。对于每 个不满足的发现，审核员宣说明评审发现的情况影响了哪一部分的控制措施（即，那些被认为不满足的 或不能够进行评审的控制措施），并描述控制措施与计划和期得的状态有何不同。审核员也宜注意那些 不满足的发现记录对保密性、完备性和可用性的潜在影响。如果评审发现了可能会显著增加组织风险 的严重不符合项（即那些严重偏离计划的状况、“不满意”的调查发现），审核员宜立即通知负责人和管理 层，使其立即启动风险降低程序

评审计划提供了评审目的和如何进行评审的详细引导。评审报告作为评审输出和最终评审结果， 记录了基于已实现的信息安全控制措施的信息安全保障水平。报告内容包括审核员作出的判断所使用 控制措施有效性的必要信息以及基于其发现所作出的组织在实施所选择和适当的控制措施时的整体有 效性的信息。该报告是确定组织的业务运作（即任务、职能）、组织资产、个人和组织其他信息安全风险 等的一个重要因素。 评审结果宜按照组织策略规定的评审报告格式，以适宜的详细程度来记录。该报告的格式也宜与 控制措施评审的类型相适应（如信息系统负责人的自我评估、独立的验证和确认、审核员实施的独立控 制措施评审等）。 信息系统的负责人依赖审核员的信息安全专业知识和技术判断对安全控制措施进行评审，并就如

GB/Z32916—2016/ISO/IECTR27008:2011

附录A （资料性附录） 技术符合性检查实践指南 本附录使用GB/T22081一2008中描述的典型控制措施为技术符合性检查提供一套实践指南。 本附录中的每一种控制措施基本上按照以下陈述和指南的结构来组织。 “技术控制措施”（带“附加技术信息”） 1安全实现标准（带“安全实现标准技术注解”） 1.1实践指南、设想的证据、方法 1.2实践指南、设想的证据、方法 1.3 2安全实现标准（带“安全实现标准技术注解”） 2.1实践指南、设想的证据、方法 2.2实践指南、设想的证据、方法 2.3 每个技术控制措施都有附加的技术信息，以便为审核员提供更多的支持。它基本上由一系列“安全 实现标准”组成，这些标准宜由组织定期评审以证实适用的标准是否被适当地实现和运行。 每个“安全实现标准”有补充的“安全实现标准技术注解”，以便为评审过程提供更多的技术信息。 它还提供了一系列的“实践指南”“设想的证据”和“方法”。 “实践指南”为安全实现标准提供了符合性检查规程。“设想的证据”给出了一些系统、文件、文档或 其他项目的例子，可被作为符合性检查规程中的“证据”来接受。请注意组织中证据的名称可能会不同。 然而，本附录中使用的名称可被认为在技术符合性检查领域中普遍接受的。“方法”提供了一种与以上 实践指南一致的合适的技术符合性检查方法， 本附录不提供全部的技术符合性检查实践指南，但仍将尽最大可能帮助组织评审安全实现标准是 否被适当地实现、运行。

A.1防范恶意代码控制措施的技术性检查

GB/Z32916—2016/ISO/IECTR27008.2011

GB/Z32916—2016/ISO/IECTR27008:2011

GB/Z329162016/ISO/IECTR27008:2011

1.5网络安全管理控制措施的技术性检查

GB/Z329162016/ISO/1ECTR27008:2011

附录B （资料性附录） 初始信息收集（除信息技术以外）

信息安全审核组组长宜在相应信息安全领域分配有相应能力和经验的信息安全控制措施评审 相关职员的初始问题包括但不限于以下例子

相关人员是否能对其行为负责或承担义务？ b） 相关人员是否具有信息和信息安全常识、并能解答相关问题，激励他人并提供必要的指导？ c） 申请策略和规程是否清晰，是否明确、可测量、可接受、可实现？ d 已受聘雇员是否具备组织期望的“运行”知识？ e 组织是否信任接触可能危及组织生存的信息和系统的相关人员？ 7 相关人员是否值得信任？ g）这种信任是如何被组织进行定义和测量的？

GB/Z329162016/ISO/IECTR27008.2011

标，如何确保或能够达成组织目标？ iv.是否有控制措施和检测环境，以鉴定组织策略声明强制执行、实现和可达成既定目标？ V.在策略声明中的目标陈述宜考虑SMART准则，否则： 1）没有明确目标则不容易被清晰地辨识，并且未达成目标的责任也无法落实到人； 2） 如果目标不可测量，组织一般无法验证目标的达成程度； 如果目标没有在组织内进行充分沟通并达成共识，则可能造成对控制措施的被误解、 被规避或被中断； 如果组织不是根据自身的实际能力来确定目标，很可能因不切合实际而不能达到； 5 如果组织没有确认实现方针目标的预期起始和结束时间点，就很可能无法确保组织能 够采取实际的行动，达成目标也难以实现

a）是否考虑了在组织的特定环境和限制条件的情况下对组织人员角色和职责进行充分且必 义和分配，以满足组织的业务目标？ b）是否与外部机构保持联系？ c）组织是否对自身没有能力承担的安全管理责任进行了外包？ d）合同是否阐述信息安全的相关要求？

B.4.1工作场所能否保证信息的安全？

a)“区域” i.业务区与公众访问区是否充分隔离？ .是否在定义了敏感信息处置的范围（通过人员和信息通信技术系统）？ im.这些“安全区”是否被恰当地隔离，以避免其相互间的敏感信息交换？ b）位置 i.不同安全级别的区域是否被明确标识，并合理部署？ i.保护信息资产的边界（墙、天花板、地板等）和适当保护强度是否被清晰地定义？ Ⅲ.区域是否被适当地进行了标识，且关键区域标识对“外部”不可见？ c）“出人口” i.当门窗或其他非固定边界处于关闭状态时DZ／T 0369-2021 遥感解译地质图图式图例.pdf，能否提供与固定边界相当的防护能力？ i.是否对这些位置的进出采取适当的访问控制措施？ m.是否有防人侵系统？ iv.是否有“紧急出口”，以保证信息、人和设备具有充足的移动性？ d）走廊和“通道” i.去往固定区域或位置的通道是否得到识别？ 1）人员的通道； 2）缆线的通道（传输信息）。 .是否有供选择的通道？ il.这些“通道”是否受到保护和监控？ e) 监控 1监控设备能不在不减发现的情况下正觉工作？

i.监控设备能否发现远处的人侵？ i.监控何时启动？ iv.监控记录在何地和如何保存和分析？ f) 装置 1.适合于信息存储？ i.是否被放置在正确的地方？ Ⅱ。实际运行是否和预期的结果一致？

B.4.2工作场所能否保证信息通信技术（ICT）的安全？（环境方面）

B.4.2工作场所能否保证信息通信技术（ICT）的安全？（环境方面）

a）电力设施 i.足够/适当？ i.备用？ 空调设施 i.足够/适当？ i.备用？ c）防火设施 i.足够/适当？ i. 备用?

B.4.3工作场所能否保证人员的安全

有紧急出口（并且采取了适当的控制措施）？ b) 是否存在电、水、气体、液体的泄漏等造成人员伤害的潜在风险？ c） 是否存在在温度、湿度、材料和震动的潜在风险？ d) 是否配备了避免区域内人员受伤的器材？ e) 是否安装了避免区域内人员受伤的“门”？ 是否安装和维护了避免区域内人员受伤的器材？

长沙市建筑节能产品（材料）公示管理实施细则(修订版)（长住建发[2020]114号 长沙市住房和城乡建设局2020年11月）.pdfGB/Z32916—2016/ISO/IECTR27008.2011