Lo que solicita es la administración básica del ciclo de vida:
- diseño
- Implementar
- Mantener
- Revisión
- Desmantelamiento
Necesita una política y un procedimiento para revisar todas las configuraciones de firewall (incluidas las zonas) para garantizar que el "diseño" actual cumple con las necesidades y los objetivos de su intención. La frecuencia de esta revisión depende de las necesidades de su organización, cada año podría estar bien.
Cada 'zona' requiere un 'propietario' que diseña y controla los controles en esta zona. Cualquier cambio en la zona requiere la entrada del propietario. La propiedad se establece lo antes posible para evitar que el propietario se sorprenda de que es responsable de la infraestructura crítica.
Durante la fase de revisión, cada elemento relevante de la zona es verificado por el propietario como actual y la verificación es cuestionada por un tercero externo (GRC, Comité Directivo de Seguridad de la Información, etc.) como exacto.
Una vez verificada o modificada, la zona vuelve a un estado de "mantenimiento". Si la zona se considera redundante, se inicia una fase de desmantelamiento que define y prueba la eliminación de la zona para garantizar un desmantelamiento completo y seguro con un impacto mínimo en la organización.
En cuanto a ISO 27k, los términos que busca son 'revisión de controles', y hay un documento completo sobre esto: ISO 27008