信息安全之符合性三

方法（如信息安全的控制目标、控制措施、方针、过程和规程）应独立审查。独立评审宜由管理者启动，由独立于被评审范围的人员执行，例如交叉审核（审核员A审查B的信息安全管理工作）、内部审核部门、、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的技能和经验。内部审查的结果应该形成正式文件并长期留存。

管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行定期评审（一般是一年一次）。为了日常评审的效率，可以考虑使用自动测量和报告工具。评审结果和管理人员采取的纠正措施应该被记录，形成管理评审报告，且这些记录宜予以维护。如果在管理评审中发现重大不符合项，则必须启动纠正改进措施。

信息系统应被定期核查（一般为半年一次或一年一次）是否符合组织的信息安全方针和标准。技术符合性核查宜由有经验的系统工程师手动地（如必要，由适当的软件工具支持）

和在自动化工具辅助下实施，以产生供技术专家进行后续解释的技术报告。如果使用渗透测试或脆弱性评估，则宜格外小心，需要提前制定应急预案和做好应急准备，因为这些活动可能导致系统安全的损害。这样的测试宜预先计划，形成文件，且可重复执行。任何技术符合性核查宜仅由有能力的、已授权的人员来完成，或在他们的监督下完成。