測(cè)評(píng)項(xiàng)目管理制

1、測(cè)評(píng)項(xiàng)目管理制度一、 目的 為維護(hù)我公司的測(cè)評(píng)項(xiàng)目行為管理，提高測(cè)評(píng)項(xiàng)目施工質(zhì)量，節(jié)約成本，樹立公司形象，利于公司的可持續(xù)發(fā)展，特制訂本制度。二、 范圍 本制度使用于測(cè)評(píng)活動(dòng)的各個(gè)項(xiàng)目工作人員。三、 項(xiàng)目組織及業(yè)務(wù)流程1. 等級(jí)測(cè)評(píng)活動(dòng)中項(xiàng)目開展的組織形式描述（各工作小組）。2. 各工作小組的職責(zé)。3. 等級(jí)測(cè)評(píng)業(yè)務(wù)流程基本過程的劃分（加流程圖）。 4. 等級(jí)測(cè)評(píng)實(shí)施過程各階段的要求。 四、 測(cè)評(píng)準(zhǔn)備過程管理4.1 測(cè)評(píng)準(zhǔn)備活動(dòng)的工作流程 測(cè)評(píng)準(zhǔn)備活動(dòng)的目標(biāo)是順利啟動(dòng)測(cè)評(píng)項(xiàng)目，準(zhǔn)備測(cè)評(píng)所需的相關(guān)資料，為順利編制測(cè)評(píng)方案打下良好的基礎(chǔ)。測(cè)評(píng)準(zhǔn)備活動(dòng)包括項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備三項(xiàng)

2、主要任務(wù)。這三項(xiàng)任務(wù)的基本工作流程見圖1： 4.2 測(cè)評(píng)準(zhǔn)備活動(dòng)的主要任務(wù) 4.2.1 項(xiàng)目啟動(dòng) 在項(xiàng)目啟動(dòng)任務(wù)中，測(cè)評(píng)機(jī)構(gòu)組建等級(jí)測(cè)評(píng)項(xiàng)目組，獲取測(cè)評(píng)委托單位及被測(cè)系統(tǒng)的基本情況，從基本資料、人員、計(jì)劃安排等方面為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)施做基本準(zhǔn)備。輸入：委托測(cè)評(píng)協(xié)議書。任務(wù)描述： a) 根據(jù)測(cè)評(píng)雙方簽訂的委托測(cè)評(píng)協(xié)議書和系統(tǒng)規(guī)模，測(cè)評(píng)機(jī)構(gòu)組建測(cè)評(píng)項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計(jì)劃書。項(xiàng)目計(jì)劃書應(yīng)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等。b) 測(cè)評(píng)機(jī)構(gòu)要求測(cè)評(píng)委托單位提供基本資料，包括：被測(cè)系統(tǒng)總體描述文件，詳細(xì)描述文件，安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)

3、告，安全總體方案，自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有），測(cè)評(píng)委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。輸出/產(chǎn)品：項(xiàng)目計(jì)劃書。4.2.2 信息收集和分析 測(cè)評(píng)機(jī)構(gòu)通過查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，為編寫測(cè)評(píng)方案和開展現(xiàn)場(chǎng)測(cè)評(píng)工作奠定基礎(chǔ)。輸入：調(diào)查表格，被測(cè)系統(tǒng)總體描述文件，詳細(xì)描述文件，安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)告，安全總體方案，自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有）。任務(wù)描述： a) 測(cè)評(píng)機(jī)構(gòu)收集等級(jí)測(cè)評(píng)需要的各種資料，包括測(cè)評(píng)委托單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)

4、報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全詳細(xì)設(shè)計(jì)方案、用戶指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。b) 測(cè)評(píng)機(jī)構(gòu)將調(diào)查表格提交給測(cè)評(píng)委托單位，督促被測(cè)系統(tǒng)相關(guān)人員準(zhǔn)確填寫調(diào)查表格。c) 測(cè)評(píng)機(jī)構(gòu)收回填寫完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和熟悉被測(cè)系統(tǒng)的實(shí)際情況。分析的內(nèi)容包括被測(cè)系統(tǒng)的基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署情況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級(jí)、用戶范圍、用戶類型、被測(cè)系統(tǒng)所處的運(yùn)行環(huán)境及面臨的威脅等。這些信息可以重用自查或上次等級(jí)測(cè)評(píng)報(bào)告中的可信結(jié)果。d) 如果調(diào)查

5、表格填寫不準(zhǔn)確或不完善或存在相互矛盾的地方較多，測(cè)評(píng)機(jī)構(gòu)應(yīng)安排現(xiàn)場(chǎng)調(diào)查，與被測(cè)系統(tǒng)相關(guān)人員進(jìn)行面對(duì)面的溝通和了解。輸出/產(chǎn)品：填好的調(diào)查表格。4.2.3 工具和表單準(zhǔn)備 測(cè)評(píng)項(xiàng)目組成員在進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)之前，應(yīng)熟悉與被測(cè)系統(tǒng)相關(guān)的各種組件、調(diào)試測(cè)評(píng)工具、準(zhǔn)備各種表單等。輸入：各種與被測(cè)系統(tǒng)相關(guān)的技術(shù)資料。任務(wù)描述： a) 測(cè)評(píng)人員調(diào)試本次測(cè)評(píng)過程中將用到的測(cè)評(píng)工具，包括漏洞掃描工具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。b) 測(cè)評(píng)人員模擬被測(cè)系統(tǒng)搭建測(cè)評(píng)環(huán)境。c) 準(zhǔn)備和打印表單，主要包括：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、文檔交接單、會(huì)議記錄表單、會(huì)議輸出/產(chǎn)品：選用的測(cè)評(píng)工具清單，打印的各類表單。4.3

6、 測(cè)評(píng)準(zhǔn)備活動(dòng)的輸出文檔 測(cè)評(píng)準(zhǔn)備活動(dòng)的輸出文檔及其內(nèi)容如表1所示： 4.4 測(cè)評(píng)準(zhǔn)備活動(dòng)中雙方的職責(zé) 測(cè)評(píng)機(jī)構(gòu)職責(zé)： a) 組建等級(jí)測(cè)評(píng)項(xiàng)目組。b) 指出測(cè)評(píng)委托單位應(yīng)提供的基本資料。c) 準(zhǔn)備被測(cè)系統(tǒng)基本情況調(diào)查表格，并提交給測(cè)評(píng)委托單位。d) 向測(cè)評(píng)委托單位介紹安全測(cè)評(píng)工作流程和方法。e) 向測(cè)評(píng)委托單位說明測(cè)評(píng)工作可能帶來的風(fēng)險(xiǎn)和規(guī)避方法。f) 了解測(cè)評(píng)委托單位的信息化建設(shè)狀況與發(fā)展，以及被測(cè)系統(tǒng)的基本情況。g) 初步分析系統(tǒng)的安全情況。h) 準(zhǔn)備測(cè)評(píng)工具和文檔。測(cè)評(píng)委托單位職責(zé)： a) 向測(cè)評(píng)機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況。b) 準(zhǔn)備測(cè)評(píng)機(jī)構(gòu)需要的資料。c) 為測(cè)評(píng)人員的信

7、息收集提供支持和協(xié)調(diào)。d) 準(zhǔn)確填寫調(diào)查表格。e) 根據(jù)被測(cè)系統(tǒng)的具體情況，如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置情況等，為測(cè)評(píng)時(shí)間安排提供適宜的建議。f) 制定應(yīng)急預(yù)案。五、 方案編制過程管理5.1 目的 方案編制過程是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本過程的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并根據(jù)需要重用或開發(fā)測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書，形成測(cè)評(píng)方案。 5.2 方案編制過程的工作流程 方案編制活動(dòng)包括測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)試工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定、測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書開發(fā)及測(cè)評(píng)方案編制六項(xiàng)主要任務(wù)。這六項(xiàng)任務(wù)的基本工作流程見下

8、圖： 方案編制活動(dòng)的基本工作流程 5.3 方案編制過程需要完成的主要任務(wù)： 確定測(cè)評(píng)對(duì)象： 根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)信息，分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。 主要包括： a) 根據(jù)調(diào)查表格獲得的被測(cè)系統(tǒng)基本情況，識(shí)別并描述被測(cè)系統(tǒng)的整體結(jié)構(gòu)。 b) 根據(jù)填好的調(diào)查表格，識(shí)別并描述被測(cè)系統(tǒng)的邊界。 c) 識(shí)別并描述被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域。 d) 識(shí)別并描述被測(cè)系統(tǒng)的重要節(jié)點(diǎn) 。 e) 對(duì)上述描述內(nèi)容進(jìn)行整理，描述被測(cè)系統(tǒng)。 f) 確定測(cè)評(píng)對(duì)象。 g) 描述測(cè)評(píng)對(duì)象。 本過程的輸入/輸出為： 輸入：填好的調(diào)查表格。 輸出/產(chǎn)品：測(cè)評(píng)方案的測(cè)評(píng)對(duì)象部分。 測(cè)評(píng)指標(biāo)確定。

9、根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)指標(biāo)。 本過程主要包括以下任務(wù)： a) 根據(jù)被測(cè)系統(tǒng)調(diào)查表格，得出被測(cè)系統(tǒng)的定級(jí)結(jié)果，包括業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，從而得出被測(cè)系統(tǒng)應(yīng)采取的安全保護(hù)措施ASG組合情況。 b) 從GB/T 22239-2008 中選擇相應(yīng)等級(jí)的安全要求作為測(cè)評(píng)指標(biāo)，包括對(duì)ASG三類安全要求的選擇。 c) 對(duì)于由多個(gè)不同等級(jí)的信息系統(tǒng)組成的被測(cè)系統(tǒng)，應(yīng)分別確定各個(gè)定級(jí)對(duì)象的測(cè)評(píng)指標(biāo)。如果多個(gè)定級(jí)對(duì)象共用物理環(huán)境或管理體系，而且測(cè)評(píng)指標(biāo)不能分開，則不能分開的這些測(cè)評(píng)指標(biāo)應(yīng)采用就高原則。 d) 分別針對(duì)每個(gè)定級(jí)對(duì)象加以描述，包括系統(tǒng)的定級(jí)結(jié)果、指

10、標(biāo)選擇兩部分。其中，指標(biāo)選擇可以列表的形式給出。（如下所示） 測(cè)評(píng)指標(biāo) 本過程的輸入/輸出為： 輸入：填好的調(diào)查表格，GB/T 22239-2008。 輸出/產(chǎn)品：測(cè)評(píng)方案的測(cè)評(píng)指標(biāo)部分。 測(cè)試工具接入點(diǎn)確定 在等級(jí)測(cè)評(píng)中，對(duì)二級(jí)和二級(jí)以上的信息系統(tǒng)應(yīng)進(jìn)行工具測(cè)試，工具測(cè)試可能用到漏洞掃描器、滲透測(cè)試工具集、協(xié)議分析儀等測(cè)試工具。 本過程的工作任務(wù)為： a) 確定需要進(jìn)行工具測(cè)試的測(cè)評(píng)對(duì)象。 b) 選擇測(cè)試路徑。一般來說，測(cè)試工具的接入采取從外到內(nèi)，從其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點(diǎn)接入。 c) 根據(jù)測(cè)試路徑，確定測(cè)試工具的接入點(diǎn)。 d) 結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，采用圖示的方式描述測(cè)試工具的接入點(diǎn)、測(cè)試目

11、的、測(cè)試途徑和測(cè)試對(duì)象等相關(guān)內(nèi)容。 本過程的輸入/輸出為： 輸入：填好的調(diào)查表格。 輸出/產(chǎn)品：測(cè)評(píng)方案的測(cè)評(píng)內(nèi)容中關(guān)于測(cè)評(píng)工具接入點(diǎn)部分。 測(cè)評(píng)內(nèi)容確定。 本過程確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。 本階段的主要任務(wù)為： 確定單元測(cè)評(píng)內(nèi)容。在測(cè)評(píng)方案中，現(xiàn)場(chǎng)單元測(cè)評(píng)實(shí)施內(nèi)容通常以表格的形式給出，表格包括測(cè)評(píng)指標(biāo)、測(cè)評(píng)內(nèi)容描述等內(nèi)容。 現(xiàn)場(chǎng)單元測(cè)評(píng)實(shí)施內(nèi)容表格描述的基本格式之一為下表： 表 （如物理安全）單元測(cè)評(píng)實(shí)施內(nèi)容 本過程的輸入/輸出為： 輸入：填好的調(diào)查表格，測(cè)評(píng)方案的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)工具接入點(diǎn)部分。 輸出/產(chǎn)品：測(cè)評(píng)方案的單元測(cè)評(píng)實(shí)施部分。 測(cè)評(píng)指導(dǎo)書開發(fā)。 測(cè)評(píng)指導(dǎo)

12、書是具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)的文件，是現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等的詳細(xì)描述，是保證測(cè)評(píng)活動(dòng)可以重現(xiàn)的根本。因此，測(cè)評(píng)指導(dǎo)書應(yīng)當(dāng)盡可能詳盡、充分。 本過程的主要任務(wù)為： a) 描述單個(gè)測(cè)評(píng)對(duì)象，包括測(cè)評(píng)對(duì)象的名稱、IP地址、用途、管理人員等信息。 b) 根據(jù)單元測(cè)評(píng)實(shí)施要求確定測(cè)評(píng)活動(dòng)，包括測(cè)評(píng)項(xiàng)、測(cè)評(píng)方法、操作步驟和預(yù)期結(jié)果等四部分。 c) 單元測(cè)評(píng)一般以表格形式設(shè)計(jì)和描述測(cè)評(píng)項(xiàng)、測(cè)評(píng)方法、操作步驟和預(yù)期結(jié)果等內(nèi)容。整體測(cè)評(píng)則一般以文字描述的方式表述，可以以測(cè)評(píng)用例的方式進(jìn)行組織。 單元測(cè)評(píng)的測(cè)評(píng)指導(dǎo)書描述的基本格式為： 表 （測(cè)評(píng)對(duì)象，如核心交換機(jī)）單元測(cè)評(píng)指導(dǎo)書 本過程的輸入

13、/輸出為： 輸入：測(cè)評(píng)方案的測(cè)試工具接入點(diǎn)、單元測(cè)評(píng)實(shí)施部分。 輸出/產(chǎn)品：測(cè)評(píng)指導(dǎo)書，測(cè)評(píng)結(jié)果記錄表格。 測(cè)評(píng)方案編制 測(cè)評(píng)方案是等級(jí)測(cè)評(píng)工作實(shí)施的基礎(chǔ)，指導(dǎo)等級(jí)測(cè)評(píng)工作的現(xiàn)場(chǎng)實(shí)施活動(dòng)。測(cè)評(píng)方案應(yīng)包括但不局限于以下內(nèi)容：項(xiàng)目概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)工具的接入點(diǎn)以及單元測(cè)評(píng)實(shí)施等。本過程的主要任務(wù)為： a) 根據(jù)委托測(cè)評(píng)協(xié)議書和填好的調(diào)研表格，提取項(xiàng)目來源、測(cè)評(píng)委托單位整體信息化建設(shè)情況及被測(cè)系統(tǒng)與單位其他系統(tǒng)之間的連接情況等。 b) 根據(jù)等級(jí)保護(hù)過程中的等級(jí)測(cè)評(píng)實(shí)施要求，將測(cè)評(píng)活動(dòng)所依據(jù)的標(biāo)準(zhǔn)羅列出來。 c) 依據(jù)委托測(cè)評(píng)協(xié)議書和被測(cè)系統(tǒng)情況，估算現(xiàn)場(chǎng)測(cè)評(píng)工作量。工作量可以根據(jù)配置檢查

14、的節(jié)點(diǎn)數(shù)量和工具測(cè)試的接入點(diǎn)及測(cè)試內(nèi)容等情況進(jìn)行估算。 d) 根據(jù)測(cè)評(píng)項(xiàng)目組成員安排，編制工作安排情況。 e) 根據(jù)以往測(cè)評(píng)經(jīng)驗(yàn)以及被測(cè)系統(tǒng)規(guī)模，編制具體測(cè)評(píng)計(jì)劃，包括現(xiàn)場(chǎng)工作人員的分工和時(shí)間安排。在進(jìn)行時(shí)間計(jì)劃安排時(shí)，應(yīng)盡量避開被測(cè)系統(tǒng)的業(yè)務(wù)高峰期，避免給被測(cè)系統(tǒng)帶來影響。同時(shí)，在測(cè)評(píng)計(jì)劃中應(yīng)將具體測(cè)評(píng)所需條件以及測(cè)評(píng)需要的配合人員也一并給出，便于測(cè)評(píng)實(shí)施之前雙方溝通協(xié)調(diào)、合理安排。 f) 匯總上述內(nèi)容及方案編制活動(dòng)的其他任務(wù)獲取的內(nèi)容形成測(cè)評(píng)方案文稿。 g) 評(píng)審和提交測(cè)評(píng)方案。測(cè)評(píng)方案初稿應(yīng)通過測(cè)評(píng)項(xiàng)目組全體成員評(píng)審，修改完成后形成提交稿。然后，測(cè)評(píng)機(jī)構(gòu)將測(cè)評(píng)方案提交給測(cè)評(píng)委托單位簽字認(rèn)

15、可。 本過程的輸入輸出為： 輸入：委托測(cè)評(píng)協(xié)議書，填好的調(diào)研表格，GB/T 22239-2008中相應(yīng)等級(jí)的基本要求，測(cè)評(píng)方案的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、測(cè)評(píng)內(nèi)容部分。 輸出/產(chǎn)品：經(jīng)過評(píng)審和確認(rèn)的測(cè)評(píng)方案文本。 5.4 整個(gè)方案編制活動(dòng)的輸出文檔： 方案編制活動(dòng)的輸出文檔及其內(nèi)容如下表所示 ： 方案編制活動(dòng)的輸出文檔及其內(nèi)容5.5方案編制活動(dòng)中雙方的職責(zé) 測(cè)評(píng)機(jī)構(gòu)職責(zé)： a) 詳細(xì)分析被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。 b) 初步判斷被測(cè)系統(tǒng)的安全薄弱點(diǎn)。 c) 分析確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)試工具接入點(diǎn)，確定測(cè)評(píng)內(nèi)容及方法。 d) 編制測(cè)評(píng)方案文本，并對(duì)其內(nèi)部評(píng)審，

16、并提交被測(cè)機(jī)構(gòu)簽字確認(rèn)。 測(cè)評(píng)委托單位職責(zé)： a) 對(duì)測(cè)評(píng)方案進(jìn)行認(rèn)可，并簽字確認(rèn)。 六、 現(xiàn)場(chǎng)測(cè)評(píng)過程管理6.1 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的工作流程 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)包括現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三項(xiàng)主要任務(wù)。這三項(xiàng)任務(wù)的基本工作流程見圖3：6.2 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的主要任務(wù) 6.2.1 現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備 本任務(wù)啟動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)，是保證測(cè)評(píng)機(jī)構(gòu)能夠順利實(shí)施測(cè)評(píng)的前提。 輸入：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書，測(cè)評(píng)方案。 任務(wù)描述： a) 測(cè)評(píng)委托單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書。 b) 召開測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，測(cè)評(píng)機(jī)構(gòu)介紹測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)計(jì)劃和方案中的內(nèi)容，說明測(cè)評(píng)過程中具體的實(shí)施工作內(nèi)容，測(cè)評(píng)時(shí)間安排

17、等，以便于后面的測(cè)評(píng)工作開展。 c) 測(cè)評(píng)雙方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源， 包括測(cè)評(píng)委托單位的配合人員和需要提供的測(cè)評(píng)條件等，確認(rèn)被測(cè)系統(tǒng)已備份過系統(tǒng)及數(shù)據(jù)。 d) 測(cè)評(píng)人員根據(jù)會(huì)議溝通結(jié)果，對(duì)測(cè)評(píng)結(jié)果記錄表單和測(cè)評(píng)程序進(jìn)行必要的更新。 輸出/產(chǎn)品：會(huì)議記錄，更新后的測(cè)評(píng)計(jì)劃和測(cè)評(píng)程序，確認(rèn)的測(cè)評(píng)授權(quán)書等。6.2.2 現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄 現(xiàn)場(chǎng)測(cè)評(píng)一般包括訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看五個(gè)方面。 6.2.2.1 訪談 輸入：測(cè)評(píng)指導(dǎo)書，技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄表格。 任務(wù)描述： a) 測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信

18、息。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。輸出/產(chǎn)品：技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音。 6.2.2.2 文檔審查 輸入：安全方針文件，安全管理制度，安全管理的執(zhí)行過程文檔，系統(tǒng)設(shè)計(jì)方案，網(wǎng)絡(luò)設(shè)備的技術(shù)資料，系統(tǒng)和產(chǎn)品的實(shí)際配置說明，系統(tǒng)的各種運(yùn)行記錄文檔，機(jī)房建設(shè)相關(guān)資料，機(jī)房出入記錄等過程記錄文檔，測(cè)評(píng)指導(dǎo)書，管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄表格。 任務(wù)描述： a) 檢查GB/T 22239-2008中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。 b) 檢查是否有完整的制度執(zhí)行情況記錄，如機(jī)房出入登記記錄、電

19、子記錄、高等級(jí)系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。 對(duì)上述文檔進(jìn)行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。 輸出/產(chǎn)品：管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄。6.2.2.3 配置檢查 輸入：測(cè)評(píng)指導(dǎo)書，技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。 任務(wù)描述： a) 根據(jù)測(cè)評(píng)結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等） 。 b) 如果系統(tǒng)在輸入無效命令時(shí)不能完成其功能，將要對(duì)其進(jìn)行錯(cuò)誤測(cè)試。 c) 針對(duì)網(wǎng)絡(luò)連接，應(yīng)對(duì)連接規(guī)則進(jìn)行驗(yàn)證。 輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)

20、的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄。6.2.2.4 工具測(cè)試 輸入：測(cè)評(píng)指導(dǎo)書，技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。 任務(wù)描述： a) 根據(jù)測(cè)評(píng)指導(dǎo)書，利用技術(shù)工具對(duì)系統(tǒng)進(jìn)行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透性測(cè)試、性能測(cè)試、入侵檢測(cè)和協(xié)議分析等。 b) 備份測(cè)試結(jié)果。 6.2.2.5 實(shí)地察看 輸入：測(cè)評(píng)指導(dǎo)書，技術(shù)安全測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄表格。 任務(wù)描述： a) 根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，測(cè)評(píng)人員到系統(tǒng)運(yùn)行現(xiàn)場(chǎng)通過實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的

21、安全要求。 輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄。6.2.3 結(jié)果確認(rèn)和資料歸還 輸入：測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄。 任務(wù)描述： a) 測(cè)評(píng)人員在現(xiàn)場(chǎng)測(cè)評(píng)完成之后，應(yīng)首先匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄，對(duì)漏掉和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng)。 b) 召開測(cè)評(píng)現(xiàn)場(chǎng)結(jié)束會(huì)，測(cè)評(píng)雙方對(duì)測(cè)評(píng)過程中發(fā)現(xiàn)的問題進(jìn)行現(xiàn)場(chǎng)確認(rèn)。 c) 測(cè)評(píng)機(jī)構(gòu)歸還測(cè)評(píng)過程中借閱的所有文檔資料，并由 測(cè)評(píng)委托單位文檔資料提供者簽字確認(rèn)。 輸出/產(chǎn)品：現(xiàn)場(chǎng)測(cè)評(píng)中發(fā)現(xiàn)的問題匯總，證據(jù)和證據(jù)源記錄，測(cè)評(píng)委托單位的書面認(rèn)可文件。6.3 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的輸出文檔 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的輸出文檔及其內(nèi)容如表6所示：6.

22、4 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中雙方的職責(zé) 測(cè)評(píng)機(jī)構(gòu)職責(zé)： a) 利用訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看的方法測(cè)評(píng)被測(cè)系統(tǒng)的保護(hù)措施情況，并獲取相關(guān)證據(jù)。 測(cè)評(píng)委托單位職責(zé)： a) 測(cè)評(píng)前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測(cè)設(shè)備狀態(tài)完好。 b) 協(xié)調(diào)被測(cè)系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測(cè)評(píng)工作的開展。 c) 簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書。 d) 相關(guān)人員回答測(cè)評(píng)人員的問詢，對(duì)某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作。 e) 相關(guān)人員確認(rèn)測(cè)試前協(xié)助測(cè)評(píng)人員實(shí)施工具測(cè)試并提供有效建議，降低安全測(cè)評(píng)對(duì)系統(tǒng)運(yùn)行的影響。 f) 相關(guān)人員協(xié)助測(cè)評(píng)人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗(yàn)證和測(cè)試。 g) 相關(guān)人員對(duì)測(cè)評(píng)結(jié)果進(jìn)行確認(rèn)。 h) 相關(guān)人員確認(rèn)測(cè)

23、試后被測(cè)設(shè)備狀態(tài)完好。七、 報(bào)告編制過程管理在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，測(cè)評(píng)機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果（或稱測(cè)評(píng)證據(jù)）進(jìn)行匯總分析，形成等級(jí)測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告。在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，測(cè)評(píng)機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果（或稱測(cè)評(píng)證據(jù)）進(jìn)行匯總分析，形成等級(jí)測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告。測(cè)評(píng)人員在初步判定單元測(cè)評(píng)結(jié)果后，還需進(jìn)行整體測(cè)評(píng)，經(jīng)過整體測(cè)評(píng)后，有的單元測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂單元測(cè)評(píng)結(jié)果，而后進(jìn)行風(fēng)險(xiǎn)分析和評(píng)價(jià)，形成等級(jí)測(cè)評(píng)結(jié)論。 分析與報(bào)告編制活動(dòng)包括單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制六項(xiàng)主要任務(wù)。這六項(xiàng)任務(wù)的基本工作流程見下圖：單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定風(fēng)險(xiǎn)分析測(cè)評(píng)報(bào)告編制等級(jí)測(cè)評(píng)結(jié)論形成整體測(cè)評(píng)單項(xiàng)測(cè)評(píng)結(jié)果判定 本任務(wù)主要是針對(duì)測(cè)評(píng)指標(biāo)中的單個(gè)測(cè)評(píng)項(xiàng)，