信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)ppt課件

信息安全風(fēng)險(xiǎn)評(píng)估,.,2,什么是風(fēng)險(xiǎn)評(píng)估？,從深夜一個(gè)回家的女孩開始講起,.,3,風(fēng)險(xiǎn)評(píng)估的基本概念,.,4,各安全組件之間的關(guān)系,.,5,資產(chǎn),影響,威脅,弱點(diǎn),風(fēng)險(xiǎn),錢被偷,100塊,沒飯吃,小偷,打瞌睡,服務(wù)器,黑客,軟件漏洞,被入侵,數(shù)據(jù)失密,通俗的比喻,.,6,風(fēng)險(xiǎn)評(píng)估,6,風(fēng)險(xiǎn),風(fēng)險(xiǎn)管理（RiskManagement）就是以可接受的代價(jià)，識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。,在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指各種威脅導(dǎo)致安全事件發(fā)生的可能性及其對(duì)組織所造成的負(fù)面影響。,風(fēng)險(xiǎn)管理,風(fēng)險(xiǎn)評(píng)估（RiskAssessment）就是對(duì)各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過程，它包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)，是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程。,概述,.,7,相關(guān)概念,資產(chǎn)（Asset）任何對(duì)企業(yè)具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）可能對(duì)資產(chǎn)或企業(yè)造成損害的某種安全事件發(fā)生的潛在原因，通常需要識(shí)別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點(diǎn)（Vulnerability）也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄裕↙ikelihood）對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）后果（Consequence），意外事件發(fā)生給企業(yè)帶來的直接或間接的損失或傷害。安全措施（Safeguard）控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidualRisk）在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。,.,8,RISK,RISK,RISK,風(fēng)險(xiǎn),原有風(fēng)險(xiǎn),采取措施后的剩余風(fēng)險(xiǎn),風(fēng)險(xiǎn)管理的目標(biāo),.,9,資產(chǎn)分類方法,.,10,資產(chǎn)分類方法,.,11,資產(chǎn)識(shí)別模型,.,12,資產(chǎn)價(jià)值的評(píng)估,.,13,信息安全屬性,保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取完整性INTEGRITY保護(hù)信息及其處理方法的準(zhǔn)確性和完整性可用性AVAILABILITY確保被授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn),.,14,.,15,.,16,.,17,資產(chǎn)等級(jí)計(jì)算公式,AV=F(AC,AI,AA)例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=ACAIAA,.,18,.,19,威脅來源列表,.,20,威脅分類表,.,21,.,22,脆弱性識(shí)別內(nèi)容表,.,23,.,24,威脅與脆弱性之間的關(guān)系,.,25,風(fēng)險(xiǎn)分析原理,.,26,定性風(fēng)險(xiǎn)分析,.,27,風(fēng)險(xiǎn)計(jì)算方法,風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va)其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價(jià)值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。一般風(fēng)險(xiǎn)計(jì)算方法：矩陣法和相乘法,.,28,矩陣法,.,29,.,30,風(fēng)險(xiǎn)評(píng)價(jià)示例,.,31,31,確定風(fēng)險(xiǎn)處置策略,降低風(fēng)險(xiǎn)（ReduceRisk）采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險(xiǎn)，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計(jì)劃，等等。避免風(fēng)險(xiǎn)（AvoidRisk）通過消除可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的條件來避免風(fēng)險(xiǎn)的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機(jī)房安置在不可能造成水患的位置，等等。轉(zhuǎn)移風(fēng)險(xiǎn)（TransferRisk）將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（AcceptRisk）在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以有意識(shí)地選擇接受。,.,32,32,評(píng)價(jià)殘留風(fēng)險(xiǎn),絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ResidualRisk）。為了確保信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr原有的風(fēng)險(xiǎn)R0控制R殘留風(fēng)險(xiǎn)Rr可接受的風(fēng)險(xiǎn)Rt對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的過程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。,.,33,等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別,目的不同等級(jí)測(cè)評(píng)：以是否符合等級(jí)保護(hù)基本要求為目的照方抓藥風(fēng)險(xiǎn)評(píng)估：以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的對(duì)癥下藥,.,34,等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別,參照標(biāo)準(zhǔn)不同等級(jí)測(cè)評(píng)：GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GA/T387-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求GA388-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求GA/T389-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求GA/T390-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求GA391-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求風(fēng)險(xiǎn)評(píng)估：BS7799ISO17799ISO27001ISO27002GBT20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范,.,35,等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別,可以簡(jiǎn)單的理解為等保是標(biāo)準(zhǔn)或體系，風(fēng)險(xiǎn)評(píng)估是一種針對(duì)性的手段。,.,36,為什么需要進(jìn)行風(fēng)險(xiǎn)評(píng)估？,該買辣椒水呢還是請(qǐng)保鏢？,.,37,什么樣的信息系統(tǒng)才是安全的?,如何確保信息系統(tǒng)的安全?,兩個(gè)基本問題,.,38,什么樣的信息系統(tǒng)才是安全的?,如何確保信息系統(tǒng)的安全?,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)管理,基本問題的答案,.,39,潛在損失在可以承受范圍之內(nèi)的系統(tǒng),風(fēng)險(xiǎn)分析,安全決策,風(fēng)險(xiǎn)管理,兩個(gè)答案的相關(guān)性,.,40,信息安全的演化,.,41,概念的演化和技術(shù)的演化同步,.,42,可信是保障概念的延續(xù),.,43,信息安全的事實(shí),廣泛,安全是一個(gè)廣泛的主題，它涉及到許多不同的區(qū)域（物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等），每個(gè)區(qū)域都有其相關(guān)的風(fēng)險(xiǎn)、威脅及解決方法。,動(dòng)態(tài),相對(duì),絕對(duì)的信息安全是不存在的。信息安全問題的解決只能通過一系列的規(guī)劃和措施，把風(fēng)險(xiǎn)降低到可被接受的程度，同時(shí)采取適當(dāng)?shù)臋C(jī)制使風(fēng)險(xiǎn)保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時(shí)應(yīng)當(dāng)重新規(guī)劃和實(shí)施來適應(yīng)新的安全需求。,人,信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關(guān)鍵的因素，同時(shí)也應(yīng)該清醒的認(rèn)識(shí)到人也是信息安全中最薄弱的環(huán)節(jié)。,僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對(duì)迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，要從觀念上進(jìn)行轉(zhuǎn)變，規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個(gè)可持續(xù)的動(dòng)態(tài)發(fā)展的過程。,.,44,安全保障體系建設(shè),安全,成本效率,安全-效率曲線,安全-成本曲線,要研究建設(shè)信息安全的綜合成本與信息安全風(fēng)險(xiǎn)之間的平衡，而不是要片面追求不切實(shí)際的安全不同的信息系統(tǒng)，對(duì)于安全的要求不同，不是“越安全越好”,.,45,信息系統(tǒng)矛盾三角,.,46,三類操作系統(tǒng)舉例,.,47,信息安全保障能力成長(zhǎng)階段,.,48,能力成長(zhǎng)階段的劃分,盲目自信階段普遍缺乏安全意識(shí)，對(duì)企業(yè)安全狀況不了解，未意識(shí)到信息安全風(fēng)險(xiǎn)的嚴(yán)重性認(rèn)知階段通過信息安全風(fēng)險(xiǎn)評(píng)估等，企業(yè)意識(shí)到自身存在的信息安全風(fēng)險(xiǎn)，開始采取一些措施提升信息安全水平改進(jìn)階段意識(shí)到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進(jìn)行全面的信息安全架構(gòu)設(shè)計(jì)，有計(jì)劃的建設(shè)信息安全保障體系卓越運(yùn)營(yíng)階段信息安全改進(jìn)項(xiàng)目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進(jìn)的機(jī)制，以應(yīng)對(duì)安全風(fēng)險(xiǎn)的變化，不斷提升安全控制能力,.,49,各個(gè)階段的主要工作任務(wù),.,50,各個(gè)階段的主要工作任務(wù),.,51,各個(gè)階段的主要工作任務(wù),.,52,怎么做風(fēng)險(xiǎn)評(píng)估？,評(píng)估到底買辣椒水還是請(qǐng)保鏢更合適,.,53,可能的攻擊,信息的價(jià)值,可能的損失,風(fēng)險(xiǎn)評(píng)估簡(jiǎn)要版,.,54,資產(chǎn),弱點(diǎn),影響,弱點(diǎn),威脅,可能性,+,=,當(dāng)前的風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)分析方法示意圖,.,55,損失的量化必須圍繞用戶的核心價(jià)值，用戶的核心業(yè)務(wù)流程！,如何量化損失,.,56,風(fēng)險(xiǎn)管理趨勢(shì),IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)中最為重要的一個(gè)組成部分，業(yè)務(wù)連續(xù)性逐漸與安全并行考慮,來源：Gartner,.,57,否,是,否,是,風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備,已有安全措施的確認(rèn),風(fēng)險(xiǎn)計(jì)算,保持已有的控制措施施施施,選擇適當(dāng)?shù)目刂拼胧┎⒃u(píng)估殘余風(fēng)險(xiǎn),實(shí)施風(fēng)險(xiǎn)管理,脆弱性識(shí)別,威脅識(shí)別,資產(chǎn)識(shí)別,風(fēng)險(xiǎn)識(shí)別,評(píng)估過程文檔,評(píng)估過程文檔,風(fēng)險(xiǎn)評(píng)估結(jié)果記錄,評(píng)估結(jié)果文檔,風(fēng)險(xiǎn)評(píng)估流程,.,58,等級(jí)保護(hù)下風(fēng)險(xiǎn)評(píng)估實(shí)施框架,保護(hù)對(duì)象劃分和定級(jí),網(wǎng)絡(luò)系統(tǒng)劃分和定級(jí),資產(chǎn),脆弱性,威脅,風(fēng)險(xiǎn)分析,基本安全要求,等級(jí)保護(hù)管理辦法、指南信息安全政策、標(biāo)準(zhǔn)、法律法規(guī),安全需求,風(fēng)險(xiǎn)列表,安全規(guī)劃,風(fēng)險(xiǎn)評(píng)估,.,59,結(jié)合等保測(cè)評(píng)的風(fēng)險(xiǎn)評(píng)估流程,.,60,60,60,風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程,.,61,61,61,評(píng)估工作各角色的責(zé)任,.,62,62,62,風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程,.,63,63,63,制定評(píng)估計(jì)劃,評(píng)估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃，前者通常是評(píng)估策劃階段就需要完成的，是整個(gè)評(píng)估活動(dòng)的總綱，而具體的評(píng)估實(shí)施計(jì)劃則是遵照年度評(píng)估計(jì)劃而對(duì)每次的評(píng)估活動(dòng)所作的實(shí)施安排。評(píng)估計(jì)劃通常應(yīng)該包含以下內(nèi)容：目的：申明組織實(shí)施內(nèi)部評(píng)估的目標(biāo)。時(shí)間安排：評(píng)估時(shí)間避免與重要業(yè)務(wù)活動(dòng)發(fā)生沖突。評(píng)估類型：集中方式（本次項(xiàng)目采用集中評(píng)估方式）其他考慮因素：范圍、評(píng)估組織、評(píng)估要求、特殊情況等。評(píng)估實(shí)施計(jì)劃是對(duì)特定評(píng)估活動(dòng)的具體安排，內(nèi)容通常包括：目的、范圍、準(zhǔn)則、評(píng)估組成員及分工、評(píng)估時(shí)間和地點(diǎn)、首末次會(huì)議及報(bào)告時(shí)間評(píng)估計(jì)劃應(yīng)以文件形式頒發(fā)，評(píng)估實(shí)施計(jì)劃應(yīng)該有評(píng)估組長(zhǎng)簽名并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。,.,64,64,64,風(fēng)險(xiǎn)評(píng)估計(jì)劃示例,.,65,65,65,風(fēng)險(xiǎn)評(píng)估實(shí)施計(jì)劃示例,.,66,66,66,風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程,.,67,67,67,檢查列表的四要素,去哪里？,找誰？,查什么？,如何查？,.,68,68,68,風(fēng)險(xiǎn)評(píng)估常用方法,檢查列表：評(píng)估員根據(jù)自己的需要，事先編制針對(duì)某方面問題的檢查列表，然后逐項(xiàng)檢查符合性，在確認(rèn)檢查列表應(yīng)答時(shí)，評(píng)估員可以采取調(diào)查問卷、文件審查、現(xiàn)場(chǎng)觀察和人員訪談等方式。文件評(píng)估：評(píng)估員在現(xiàn)場(chǎng)評(píng)估之前，應(yīng)該對(duì)受評(píng)估方與信息安全管理活動(dòng)相關(guān)的所有文件進(jìn)行審查，包括安全方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)書和記錄文件。現(xiàn)場(chǎng)觀察：評(píng)估員到現(xiàn)場(chǎng)參觀，可以觀察并獲取關(guān)于現(xiàn)場(chǎng)物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動(dòng)的第一手資料。人員訪談：與受評(píng)估方人員進(jìn)行面談，評(píng)估員可以了解其職責(zé)范圍、工作陳述、基本安全意識(shí)、對(duì)安全管理獲知的程度等信息。評(píng)估員進(jìn)行人員訪談時(shí)要做好記錄和總結(jié)，必要時(shí)要和訪談對(duì)象進(jìn)行確認(rèn)。技術(shù)評(píng)估：評(píng)估員可以采用各種技術(shù)手段，對(duì)技術(shù)性控制的效力及符合性進(jìn)行評(píng)估。這些技術(shù)性措施包括：自動(dòng)化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機(jī)審查、滲透測(cè)試等。,.,69,69,69,評(píng)估員檢查工具檢查列表,檢查列表（Checklist）是評(píng)估員進(jìn)行評(píng)估時(shí)必備的自用工具，是評(píng)估前需準(zhǔn)備的一個(gè)重要工作文件。在實(shí)施評(píng)估之前，評(píng)估員將根據(jù)分工情況來準(zhǔn)備各自在現(xiàn)場(chǎng)評(píng)估所需的檢查列表，檢查列表的內(nèi)容，取決于評(píng)估主題和被評(píng)估部門的職能、范圍、評(píng)估方法及要求。檢查列表在信息安全管理體系內(nèi)部評(píng)估中起著以下重要作用：明確與評(píng)估目標(biāo)有關(guān)的抽樣問題；使評(píng)估程序規(guī)范化，減少評(píng)估工作的隨意性和盲目性；保證評(píng)估目標(biāo)始終明確，突出重點(diǎn)，避免在評(píng)估過程中因迷失方向而浪費(fèi)時(shí)間；更好地控制評(píng)估進(jìn)度；檢查列表、評(píng)估計(jì)劃和評(píng)估報(bào)告一起，都作為評(píng)估記錄而存檔。,.,70,70,70,檢查列表編寫的依據(jù)，是評(píng)估準(zhǔn)則，也就是信息安全管理標(biāo)準(zhǔn)、組織信息安全方針手冊(cè)等文件的要求針對(duì)受評(píng)估部門的特點(diǎn)，重點(diǎn)選擇某些應(yīng)該格外關(guān)注的信息安全問題信息的收集和驗(yàn)證的方法應(yīng)該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源（客戶反饋、外部報(bào)告等）收集信息等檢查列表應(yīng)該具有可操作性檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和安全要求如果采用了技術(shù)性評(píng)估，可在檢查列表中列出具體方法和工具檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過信息安全主管人員審查無誤后才能使用,檢查列表編寫注意事項(xiàng),.,71,71,常用技術(shù)工具清單,技術(shù)漏洞掃描工具Nessus掃描器Nmap端口掃描工具綠盟極光漏洞掃描器安信通數(shù)據(jù)庫掃描器WireShark/EtherealIBMAppscan,.,72,72,72,風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程,.,73,73,73,召開首次會(huì)議,在完成全部評(píng)估準(zhǔn)備工作之后，評(píng)估小組就可以按照預(yù)先的計(jì)劃實(shí)施現(xiàn)場(chǎng)評(píng)估了，現(xiàn)場(chǎng)評(píng)估開始于首次會(huì)議，評(píng)估小組全體成員和受評(píng)估方領(lǐng)導(dǎo)及相關(guān)人員共同參加。首次會(huì)議由評(píng)估組長(zhǎng)主持，評(píng)估小組要向組織的相關(guān)人員介紹評(píng)估計(jì)劃、具體內(nèi)容、評(píng)估方法，并協(xié)調(diào)、澄清有關(guān)問題。召開首次會(huì)議時(shí)，與會(huì)者應(yīng)該做好正式記錄。,.,74,74,74,首次會(huì)議議程及內(nèi)容,.,75,75,風(fēng)險(xiǎn)評(píng)估原則,在風(fēng)險(xiǎn)評(píng)估前，需要對(duì)技術(shù)評(píng)估的風(fēng)險(xiǎn)進(jìn)行重審。被評(píng)估方應(yīng)在接受技術(shù)評(píng)估前對(duì)業(yè)務(wù)系統(tǒng)備份。在技術(shù)掃描過程中，需要系統(tǒng)管理員全程陪同。參考最近一年的風(fēng)險(xiǎn)評(píng)估記錄.在遇到異常情況時(shí)，及時(shí)通知管理員，并且停止評(píng)估。技術(shù)評(píng)估安排在對(duì)系統(tǒng)影響較小的時(shí)間進(jìn)行,.,76,76,76,實(shí)施現(xiàn)場(chǎng)評(píng)估,首次會(huì)議之后，即可進(jìn)入現(xiàn)場(chǎng)評(píng)估?，F(xiàn)場(chǎng)評(píng)估按計(jì)劃進(jìn)行，評(píng)估內(nèi)容參照事先準(zhǔn)備好的檢查列表。評(píng)估期間，評(píng)估員應(yīng)該做好筆記和記錄，這些記錄是評(píng)估員提出報(bào)告的真憑實(shí)據(jù)。記錄的格式可以是“筆記式”，也可以是“記錄表式”，一般來說，內(nèi)審活動(dòng)都應(yīng)該有統(tǒng)一的“現(xiàn)場(chǎng)評(píng)估記錄表”，便于規(guī)范化管理。評(píng)估進(jìn)行到適當(dāng)階段，評(píng)估組長(zhǎng)應(yīng)該主持召開評(píng)估小組會(huì)議，借此了解各個(gè)評(píng)估員的工作進(jìn)展，提出下一步工作要求，協(xié)調(diào)有關(guān)活動(dòng)，并對(duì)已獲得的評(píng)估證據(jù)和評(píng)估發(fā)現(xiàn)展開分析和討論。,.,77,77,77,對(duì)不符合項(xiàng)進(jìn)行描述,無論是嚴(yán)重不符合項(xiàng)還是輕微不符合項(xiàng)，評(píng)估員都應(yīng)該將其記錄到不符合項(xiàng)報(bào)告中。不符合項(xiàng)報(bào)告是對(duì)現(xiàn)場(chǎng)評(píng)估得到的評(píng)估發(fā)現(xiàn)進(jìn)行評(píng)審并經(jīng)過受評(píng)估方確認(rèn)的對(duì)不符合項(xiàng)的陳述，是最終的評(píng)估報(bào)告的一部分，是評(píng)估小組提交給委托方或受評(píng)估方的正式文件。不符合項(xiàng)描述應(yīng)該明確以下內(nèi)容：在哪里發(fā)現(xiàn)的？描述相關(guān)區(qū)域、文件、記錄、設(shè)備發(fā)現(xiàn)了什么？客觀描述發(fā)現(xiàn)的事實(shí)有誰在場(chǎng)？或者和誰有關(guān)？描述相關(guān)人員、職位為什么不合格？描述不符合原因，