Ciò che stai chiedendo è la gestione del ciclo di vita di base:
- design
- Deploy
- Mantenere
- Recensione
- Decommission
È necessario un criterio e una procedura per rivedere tutte le configurazioni del firewall (comprese le zone) per garantire che l'attuale 'progettazione' soddisfi i bisogni e gli obiettivi del suo intento. La frequenza di questa recensione dipende dalle esigenze della tua organizzazione, annualmente potrebbe andare bene.
Ogni 'zona' richiede un 'proprietario' che progetta e guida i controlli in questa zona. Qualsiasi modifica alla zona richiede l'input del proprietario. La proprietà viene impostata il prima possibile per evitare che il proprietario si sorprenda di essere responsabile dell'infrastruttura critica.
Durante la fase di revisione, ciascun elemento pertinente della zona è verificato dal proprietario come corrente e la verifica è contestata da una parte esterna (GRC, Comitato direttivo sulla sicurezza delle informazioni, ecc.) come accurata.
Una volta verificato o modificato, la zona ritorna a uno stato di "manutenzione". Se la zona è ritenuta ridondante, viene avviata una fase di disattivazione che definisce e verifica la rimozione della zona al fine di garantire una disattivazione completa e sicura con impatto minimo sull'organizzazione.
Per quanto riguarda ISO 27k, i termini che stai cercando sono una "verifica dei controlli" e c'è un intero documento al riguardo: ISO 27008