Измерване на ефикасността на въведените механизми за контрол (Annex A - controls)

Има изискване на ISO/IEC 27001 да се проверява ефикасността на въведените механизми (или групи) за контрол ("мерки за защита" може още да се каже). Ако въпросът е "Как да стане това?", отговорът е в ISO/IEC 27004:2009 (по него в момента се работи за ново издание и сега има още и ISO/IEC WD 27004). Това е добре, даже е много добре, тъй като материята е обяснена доста подробно. Всъщност... ужасно подробно - до степен такава, че в практиката този стандарт надали би го ползвала една малка и скромна откъм брой персонал и ниво на квалификация фирма с не кой знае какви рискове и контра-мерки.

Възниква, както се казва, със страшна сила въпросът "Что делать?"

Може донякъде да се измъкнем от безизходицата горе-долу така...
 планираме

• правим матрица, в която записваме достъпните и усвоени от нас методи за проверки
• добавяме групите мерки от Анекс А (от А.5 до А.15 - ако е по старата версия на анекса)
• остава с "Х" да маркираме в клетките онова, което считаме за добро и изпълнимо 

 Може да изглежда приблизително така... (примерът е с нанесени "Х"-ове само за А.5)

Остава и да
изпълняваме

• правим пакет матрици - за всяко A.N по една
• остава в клетките срещу всеки "Х" да запишем поне дата и резултат от проверката
  (не е зле да има и още информация - какво е проверено, кой го е проверил и др.) 

Така цялата информация - какви проверки са планирани, какви са изпълнени, по кои A.N и т.н. е събрана на едно място - по табовете на един само екселски файл. Удобно е...

Ако сме по новата версия на стандарта ISO/IEC 27001 - работата е пак същата - т.е. подобна.

"Простотата е най-висшата форма на изтънченост" - бил казал Леонардо да Винчи