測評項(xiàng)目管理制度

1、測評項(xiàng)目管理制度一、目的為維護(hù)我公司的測評項(xiàng)目行為管理，提高測評項(xiàng)目施工質(zhì)量， 節(jié)約成本，樹立公司形象，利于公司的可持續(xù)發(fā)展，特制訂本制度二、范圍本制度使用于測評活動的各個項(xiàng)目工作人員。三、項(xiàng)目組織及業(yè)務(wù)流程1. 等級測評活動中項(xiàng)目開展的組織形式描述（各工作小組）2. 各工作小組的職責(zé)。3. 等級測評業(yè)務(wù)流程基本過程的劃分（加流程圖） 。4. 等級測評實(shí)施過程各階段的要求。四、測評準(zhǔn)備過程管理4.1 測評準(zhǔn)備活動的工作流程測評準(zhǔn)備活動的目標(biāo)是順利啟動測評項(xiàng)目， 準(zhǔn)備測評所需的 相關(guān)資料，為順利編制測評方案打下良好的基礎(chǔ)。測評準(zhǔn)備活動 包括項(xiàng)目啟動、 信息收集和分析、 工具和表單準(zhǔn)備三項(xiàng)主要任務(wù)

2、。 這三項(xiàng)任務(wù)的基本工作流程見圖 1：4.2 測評準(zhǔn)備活動的主要任務(wù)4.2.1 項(xiàng)目啟動在項(xiàng)目啟動任務(wù)中， 測評機(jī)構(gòu)組建等級測評項(xiàng)目組， 獲取測評委 托單位及被測系統(tǒng)的基本情況，從基本資料、人員、計劃安排等方 面為整個等級測評項(xiàng)目的實(shí)施做基本準(zhǔn)備。 輸入：委托測評協(xié)議書。 任務(wù)描述：a) 根據(jù)測評雙方簽訂的委托測評協(xié)議書和系統(tǒng)規(guī)模， 測評機(jī)構(gòu)組建 測評項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計劃書。項(xiàng)目計劃 書應(yīng)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等。b) 測評機(jī)構(gòu)要求測評委托單位提供基本資料， 包括： 被測系統(tǒng)總體 描述文件，詳細(xì)描述文件，安全保護(hù)等級定級報告，系統(tǒng)驗(yàn)收報告，

3、安全需求分析報告，安全總體方案，自查或上次等級測評報告(如 果有)，測評委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。輸出/產(chǎn)品：項(xiàng)目計劃書。4.2.2 信息收集和分析測評機(jī)構(gòu)通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式， 了 解整個系統(tǒng)的構(gòu)成和保護(hù)情況， 為編寫測評方案和開展現(xiàn)場測評工作 奠定基礎(chǔ)。 輸入：調(diào)查表格，被測系統(tǒng)總體描述文件， 詳細(xì)描述文件， 安全保護(hù)等級定級報告，系統(tǒng)驗(yàn)收報告，安全需求分析報告，安全總 體方案，自查或上次等級測評報告(如果有) 。任務(wù)描述：a) 測評機(jī)構(gòu)收集等級測評需要的各種資料，包括測評委托單位的各 種方針文件、規(guī)章制度及相關(guān)過程管理記錄、 被測系統(tǒng)總體描述文

4、件、 詳細(xì)描述文件、安全保護(hù)等級定級報告、安全需求分析報告、安全總 體方案、安全現(xiàn)狀評價報告、安全詳細(xì)設(shè)計方案、用戶指南、運(yùn)行步 驟、網(wǎng)絡(luò)圖表、配置管理文檔等。b) 測評機(jī)構(gòu)將調(diào)查表格提交給測評委托單位，督促被測系統(tǒng)相關(guān)人 員準(zhǔn)確填寫調(diào)查表格。c) 測評機(jī)構(gòu)收回填寫完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和熟 悉被測系統(tǒng)的實(shí)際情況。 分析的內(nèi)容包括被測系統(tǒng)的基本信息、 物理 位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重 要性及部署情況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù) 數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級、用戶范圍、用戶類型、被測系統(tǒng) 所處的運(yùn)行環(huán)境及面臨的威脅等。 這些信息

5、可以重用自查或上次等級 測評報告中的可信結(jié)果。d) 如果調(diào)查表格填寫不準(zhǔn)確或不完善或存在相互矛盾的地方較多， 測評機(jī)構(gòu)應(yīng)安排現(xiàn)場調(diào)查， 與被測系統(tǒng)相關(guān)人員進(jìn)行面對面的溝通和了解。輸出 /產(chǎn)品：填好的調(diào)查表格。4.2.3 工具和表單準(zhǔn)備測評項(xiàng)目組成員在進(jìn)行現(xiàn)場測評之前， 應(yīng)熟悉與被測系統(tǒng)相關(guān)的各種組件、調(diào)試測評工具、準(zhǔn)備各種表單等。輸入：各種與被測系統(tǒng) 相關(guān)的技術(shù)資料。任務(wù)描述：a) 測評人員調(diào)試本次測評過程中將用到的測評工具，包括漏洞掃描 工具、滲透性測試工具、性能測試工具和協(xié)議分析工具等。b) 測評人員模擬被測系統(tǒng)搭建測評環(huán)境。c) 準(zhǔn)備和打印表單，主要包括：現(xiàn)場測評授權(quán)書、文檔交接單、會

6、議記錄表單、會議 輸出/產(chǎn)品：選用的測評工具清單，打印的各類表單。4.3 測評準(zhǔn)備活動的輸出文檔測評準(zhǔn)備活動的輸出文檔及其內(nèi)容如表 1 所示：4.4 測評準(zhǔn)備活動中雙方的職責(zé) 測評機(jī)構(gòu)職責(zé)：a) 組建等級測評項(xiàng)目組。b) 指出測評委托單位應(yīng)提供的基本資料。c) 準(zhǔn)備被測系統(tǒng)基本情況調(diào)查表格，并提交給測評委托單位。d) 向測評委托單位介紹安全測評工作流程和方法。e) 向測評委托單位說明測評工作可能帶來的風(fēng)險和規(guī)避方法。f) 了解測評委托單位的信息化建設(shè)狀況與發(fā)展，以及被測系統(tǒng)的基 本情況。g) 初步分析系統(tǒng)的安全情況。h) 準(zhǔn)備測評工具和文檔。測評委托單位職責(zé)：a) 向測評機(jī)構(gòu)介紹本單位的信息化

7、建設(shè)狀況與發(fā)展情況。b) 準(zhǔn)備測評機(jī)構(gòu)需要的資料。c) 為測評人員的信息收集提供支持和協(xié)調(diào)。d) 準(zhǔn)確填寫調(diào)查表格。e) 根據(jù)被測系統(tǒng)的具體情況， 如業(yè)務(wù)運(yùn)行高峰期、 網(wǎng)絡(luò)布置情況等， 為測評時間安排提供適宜的建議。f) 制定應(yīng)急預(yù)案。五、方案編制過程管理5.1 目的方案編制過程是開展等級測評工作的關(guān)鍵活動， 為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本過程的主要任務(wù)是確定與被測信息 系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用 或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。5.2 方案編制過程的工作流程 方案編制活動包括測評對象確定、 測評指標(biāo)確定、 測試工具接 入點(diǎn)確定、測評內(nèi)容確定

8、、測評指導(dǎo)書測評指導(dǎo)書開發(fā)及測評方案 編制六項(xiàng)主要任務(wù)。這六項(xiàng)任務(wù)的基本工作流程見下圖：方案編制活動的基本工作流程5.3 方案編制過程需要完成的主要任務(wù)：5.3.1 確定測評對象：根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)及其涉及 的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。主要包括：a) 根據(jù)調(diào)查表格獲得的被測系統(tǒng)基本情況， 識別并描述被測系統(tǒng)的整體結(jié)構(gòu)。b) 根據(jù)填好的調(diào)查表格，識別并描述被測系統(tǒng)的邊界。c) 識別并描述被測系統(tǒng)的網(wǎng)絡(luò)區(qū)域。d) 識別并描述被測系統(tǒng)的重要節(jié)點(diǎn) 。e) 對上述描述內(nèi)容進(jìn)行整理，描述被測系統(tǒng)。f) 確定測評對象。g) 描述測評對象。 本過程的輸入 / 輸出為：

9、 輸入：填好的調(diào)查表格。輸出/ 產(chǎn)品：測評方案的測評對象部分。5.3.2 測評指標(biāo)確定 。根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評的測 評指標(biāo)。本過程主要包括以下任務(wù)：a) 根據(jù)被測系統(tǒng)調(diào)查表格， 得出被測系統(tǒng)的定級結(jié)果， 包括 業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級，從而得出被測 系統(tǒng)應(yīng)采取的安全保護(hù)措施 ASG組合情況。b) 從 GB/T 22239-2008 中選擇相應(yīng)等級的安全要求作為測 評指標(biāo)，包括對 ASG三類安全要求的選擇。c) 對于由多個不同等級的信息系統(tǒng)組成的被測系統(tǒng)， 應(yīng)分別 確定各個定級對象的測評指標(biāo)。如果多個定級對象共用物理環(huán)境或管理體系，而且測評指標(biāo)不能分

10、開，則不能分開的這些測評指標(biāo)應(yīng)采用就高原則。d）分別針對每個定級對象加以描述， 包括系統(tǒng)的定級結(jié)果、 指 標(biāo)選擇兩部分。其中，指標(biāo)選擇可以列表的形式給出。 （如下所示）測評指標(biāo)本過程的輸入 / 輸出為： 輸入：填好的調(diào)查表格， GB/T 22239-2008 。 輸出/ 產(chǎn)品：測評方案的測評指標(biāo)部分。5.3.3 測試工具接入點(diǎn)確定 在等級測評中，對二級和二級以上的信息系統(tǒng)應(yīng)進(jìn)行工具測試，工具測試可能用到漏洞掃描器、 滲透測試工具集、 協(xié)議分析儀等測試工具。 本過程的工作任務(wù)為：a) 確定需要進(jìn)行工具測試的測評對象。b) 選擇測試路徑。一般來說，測試工具的接入采取從外到內(nèi)， 從其他網(wǎng)絡(luò)到本地網(wǎng)段

11、的逐步逐點(diǎn)接入。c) 根據(jù)測試路徑，確定測試工具的接入點(diǎn)。d) 結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，采用圖示的方式描述測試工具的接入點(diǎn)、 測試目的、測試途徑和測試對象等相關(guān)內(nèi)容。本過程的輸入 / 輸出為： 輸入：填好的調(diào)查表格。輸出/ 產(chǎn)品：測評方案的測評內(nèi)容中關(guān)于測評工具接入點(diǎn)部分。5.3.4 測評內(nèi)容確定 。 本過程確定現(xiàn)場測評的具體實(shí)施內(nèi)容，即單元測評內(nèi)容。 本階段的主要任務(wù)為：確定單元測評內(nèi)容。 在測評方案中， 現(xiàn)場單元測評實(shí)施內(nèi)容通常 以表格的形式給出，表格包括測評指標(biāo)、測評內(nèi)容描述等內(nèi)容?，F(xiàn)場單元測評實(shí)施內(nèi)容表格描述的基本格式之一為下表：表 (如物理安全)單元測評實(shí)施內(nèi)容本過程的輸入 / 輸出為：輸入

12、：填好的調(diào)查表格，測評方案的測評對象、測評指標(biāo)及測評工具接入點(diǎn)部分。輸出/ 產(chǎn)品：測評方案的單元測評實(shí)施部分。5.3.5 測評指導(dǎo)書開發(fā)。測評指導(dǎo)書是具體指導(dǎo)測評人員如何進(jìn)行測評活動的文件， 是現(xiàn) 場測評的工具、方法和操作步驟等的詳細(xì)描述，是保證測評活動可 以重現(xiàn)的根本。因此，測評指導(dǎo)書應(yīng)當(dāng)盡可能詳盡、充分。本過程的主要任務(wù)為：a) 描述單個測評對象，包括測評對象的名稱、 IP 地址、用途、 管理人員等信息。b) 根據(jù)單元測評實(shí)施要求確定測評活動，包括測評項(xiàng)、測評方 法、操作步驟和預(yù)期結(jié)果等四部分。c) 單元測評一般以表格形式設(shè)計和描述測評項(xiàng)、測評方法、操 作步驟和預(yù)期結(jié)果等內(nèi)容。 整體測評則

13、一般以文字描述的方式表述， 可以以測評用例的方式進(jìn)行組織。單元測評的測評指導(dǎo)書描述的基本格式為：表 (測評對象，如核心交換機(jī))單元測評指導(dǎo)書本過程的輸入 / 輸出為：輸入：測評方案的測試工具接入點(diǎn)、單元測評實(shí)施部分。輸出/ 產(chǎn)品：測評指導(dǎo)書，測評結(jié)果記錄表格。5.3.6 測評方案編制測評方案是等級測評工作實(shí)施的基礎(chǔ)，指導(dǎo)等級測評工作的現(xiàn) 場實(shí)施活動。測評方案應(yīng)包括但不局限于以下內(nèi)容：項(xiàng)目概述、測 評對象、測評指標(biāo)、測評工具的接入點(diǎn)以及單元測評實(shí)施等。 本過程的主要任務(wù)為：a) 根據(jù)委托測評協(xié)議書和填好的調(diào)研表格，提取項(xiàng)目來源、測 評委托單位整體信息化建設(shè)情況及被測系統(tǒng)與單位其他系統(tǒng)之間的 連接

14、情況等。b) 根據(jù)等級保護(hù)過程中的等級測評實(shí)施要求，將測評活動所依 據(jù)的標(biāo)準(zhǔn)羅列出來。c) 依據(jù)委托測評協(xié)議書和被測系統(tǒng)情況， 估算現(xiàn)場測評工作量。 工作量可以根據(jù)配置檢查的節(jié)點(diǎn)數(shù)量和工具測試的接入點(diǎn)及測試內(nèi) 容等情況進(jìn)行估算。d) 根據(jù)測評項(xiàng)目組成員安排，編制工作安排情況。e) 根據(jù)以往測評經(jīng)驗(yàn)以及被測系統(tǒng)規(guī)模，編制具體測評計劃， 包括現(xiàn)場工作人員的分工和時間安排。在進(jìn)行時間計劃安排時，應(yīng) 盡量避開被測系統(tǒng)的業(yè)務(wù)高峰期， 避免給被測系統(tǒng)帶來影響。 同時， 在測評計劃中應(yīng)將具體測評所需條件以及測評需要的配合人員也一 并給出，便于測評實(shí)施之前雙方溝通協(xié)調(diào)、合理安排。f) 匯總上述內(nèi)容及方案編制活

15、動的其他任務(wù)獲取的內(nèi)容形成測 評方案文稿。g) 評審和提交測評方案。測評方案初稿應(yīng)通過測評項(xiàng)目組全體 成員評審，修改完成后形成提交稿。然后，測評機(jī)構(gòu)將測評方案提 交給測評委托單位簽字認(rèn)可。本過程的輸入輸出為：輸入：委托測評協(xié)議書，填好的調(diào)研表格， GB/T 22239-2008 中 相應(yīng)等級的基本要求，測評方案的測評對象、測評指標(biāo)、測試工具 接入點(diǎn)、測評內(nèi)容部分。輸出/ 產(chǎn)品：經(jīng)過評審和確認(rèn)的測評方案文本。5.4 整個方案編制活動的輸出文檔 ：方案編制活動的輸出文檔及其內(nèi)容如下表所示 ：方案編制活動的輸出文檔及其內(nèi)容5.5 方案編制活動中雙方的職責(zé)測評機(jī)構(gòu)職責(zé)：a) 詳細(xì)分析被測系統(tǒng)的整體結(jié)構(gòu)

16、、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。b) 初步判斷被測系統(tǒng)的安全薄弱點(diǎn)。c) 分析確定測評對象、測評指標(biāo)和測試工具接入點(diǎn)，確定測評內(nèi) 容及方法。d) 編制測評方案文本，并對其內(nèi)部評審，并提交被測機(jī)構(gòu)簽字確 認(rèn)。測評委托單位職責(zé)：a) 對測評方案進(jìn)行認(rèn)可，并簽字確認(rèn)。六、 現(xiàn)場測評過程管理6.1 現(xiàn)場測評活動的工作流程現(xiàn)場測評活動包括現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三項(xiàng)主要任務(wù)這三項(xiàng)任務(wù)的基本工作流程見圖 3：6.2 現(xiàn)場測評活動的主要任務(wù)6.2.1 現(xiàn)場測評準(zhǔn)備 本任務(wù)啟動現(xiàn)場測評，是保證測評機(jī)構(gòu)能夠順利實(shí)施測評的前 提。輸入：現(xiàn)場測評授權(quán)書，測評方案。任務(wù)描述：a) 測評委托單

17、位簽署現(xiàn)場測評授權(quán)書。b) 召開測評現(xiàn)場首次會，測評機(jī)構(gòu)介紹測評工作，交流測評信 息，進(jìn)一步明確測評計劃和方案中的內(nèi)容，說明測評過程中具體的 實(shí)施工作內(nèi)容，測評時間安排等，以便于后面的測評工作開展。c) 測評雙方確認(rèn)現(xiàn)場測評需要的各種資源， 包括測評委托單位 的配合人員和需要提供的測評條件等，確認(rèn)被測系統(tǒng)已備份過系統(tǒng) 及數(shù)據(jù)。d) 測評人員根據(jù)會議溝通結(jié)果，對測評結(jié)果記錄表單和測評程序進(jìn)行必要的更新。輸出/ 產(chǎn)品：會議記錄，更新后的測評計劃和測評程序，確認(rèn)的 測評授權(quán)書等。6.2.2 現(xiàn)場測評和結(jié)果記錄 現(xiàn)場測評一般包括訪談、文檔審查、配置檢查、工具測試和實(shí)地察 看五個方面。6.2.2.1 訪

18、談輸入：測評指導(dǎo)書， 技術(shù)安全和管理安全測評的測評結(jié)果記錄表格。 任務(wù)描述：a) 測評人員與被測系統(tǒng)有關(guān)人員(個人 / 群體)進(jìn)行交流、討論等 活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級信 息系統(tǒng)在測評時有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人 員類型，在數(shù)量上可以抽樣。輸出/ 產(chǎn)品：技術(shù)安全和管理安全測評的測評結(jié)果記錄或錄音。6.2.2.2 文檔審查 輸入：安全方針文件，安全管理制度，安全管理的執(zhí)行過程文檔， 系統(tǒng)設(shè)計方案， 網(wǎng)絡(luò)設(shè)備的技術(shù)資料， 系統(tǒng)和產(chǎn)品的實(shí)際配置說明， 系統(tǒng)的各種運(yùn)行記錄文檔，機(jī)房建設(shè)相關(guān)資料，機(jī)房出入記錄等過 程記錄文檔，測評指導(dǎo)書，管理安全測評的測

19、評結(jié)果記錄表格。 任務(wù)描述：a) 檢查 GB/T 22239-2008 中規(guī)定的必須具有的制度、策略、操作 規(guī)程等文檔是否齊備。b) 檢查是否有完整的制度執(zhí)行情況記錄，如機(jī)房出入登記記錄、 電子記錄、高等級系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。 對上述文檔進(jìn)行審核與分析，檢查他們的完整性和這些文件之間的 內(nèi)部一致性。輸出/ 產(chǎn)品：管理安全測評的測評結(jié)果記錄。6.2.2.3 配置檢查 輸入：測評指導(dǎo)書，技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記 錄表格。任務(wù)描述：a) 根據(jù)測評結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系 統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與 文檔、相關(guān)設(shè)備和部件

20、保持一致，對文檔審核的內(nèi)容進(jìn)行核實(shí)(包 括日志審計等) 。b) 如果系統(tǒng)在輸入無效命令時不能完成其功能，將要對其進(jìn)行錯 誤測試。c) 針對網(wǎng)絡(luò)連接，應(yīng)對連接規(guī)則進(jìn)行驗(yàn)證。輸出/ 產(chǎn)品：技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記錄。6.2.2.4 工具測試 輸入：測評指導(dǎo)書，技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記 錄表格。任務(wù)描述：a) 根據(jù)測評指導(dǎo)書，利用技術(shù)工具對系統(tǒng)進(jìn)行測試，包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計的漏洞掃描、滲透性測試、性能測試、入侵 檢測和協(xié)議分析等。b) 備份測試結(jié)果。6.2.2.5 實(shí)地察看輸入：測評指導(dǎo)書，技術(shù)安全測評的物理安全和管理安全測評結(jié)果 記錄表格。任務(wù)描述：a)

21、根據(jù)被測系統(tǒng)的實(shí)際情況，測評人員到系統(tǒng)運(yùn)行現(xiàn)場通過實(shí)地 的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、 業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是 否達(dá)到了相應(yīng)等級的安全要求。輸出/ 產(chǎn)品：技術(shù)安全測評的物理安全和管理安全測評結(jié)果記錄。6.2.3 結(jié)果確認(rèn)和資料歸還 輸入：測評結(jié)果記錄，工具測試完成后的電子輸出記錄。任務(wù)描述：a) 測評人員在現(xiàn)場測評完成之后，應(yīng)首先匯總現(xiàn)場測評的測評記 錄，對漏掉和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測評。b) 召開測評現(xiàn)場結(jié)束會，測評雙方對測評過程中發(fā)現(xiàn)的問題進(jìn)行 現(xiàn)場確認(rèn)。c) 測評機(jī)構(gòu)歸還測評過程中借閱的所有文檔資料， 并由 測評委托

22、 單位文檔資料提供者簽字確認(rèn)。輸出/ 產(chǎn)品：現(xiàn)場測評中發(fā)現(xiàn)的問題匯總，證據(jù)和證據(jù)源記錄，測評委托單位的書面認(rèn)可文件6.3 現(xiàn)場測評活動的輸出文檔 現(xiàn)場測評活動的輸出文檔及其內(nèi)容如表 6 所示：6.4 現(xiàn)場測評活動中雙方的職責(zé)測評機(jī)構(gòu)職責(zé)：a) 利用訪談、文檔審查、配置檢查、工具測試和實(shí)地察看的方法 測評被測系統(tǒng)的保護(hù)措施情況，并獲取相關(guān)證據(jù)。測評委托單位職責(zé)：a) 測評前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測設(shè)備狀態(tài)完好。b) 協(xié)調(diào)被測系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測評工作的開展c) 簽署現(xiàn)場測評授權(quán)書。d) 相關(guān)人員回答測評人員的問詢，對某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn) 行操作。e) 相關(guān)人員確認(rèn)測試前協(xié)助測評人

23、員實(shí)施工具測試并提供有效建 議，降低安全測評對系統(tǒng)運(yùn)行的影響。f) 相關(guān)人員協(xié)助測評人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、 驗(yàn)證和測試g) 相關(guān)人員對測評結(jié)果進(jìn)行確認(rèn)。h) 相關(guān)人員確認(rèn)測試后被測設(shè)備狀態(tài)完好。七、 報告編制過程管理在現(xiàn)場測評工作結(jié)束后， 測評機(jī)構(gòu)應(yīng)對現(xiàn)場測評獲得的測評結(jié)果(或稱測評證據(jù))進(jìn)行 匯總分析，形成等級測評結(jié)論，并編制測評報告。 在現(xiàn)場測評工作結(jié)束后， 測評機(jī)構(gòu)應(yīng)對現(xiàn)場測評獲得的測評結(jié) 果(或稱測評證據(jù))進(jìn)行匯總分析，形成等級測評結(jié)論，并編制測 評報告。 測評人員在初步判定單元測評結(jié)果后， 還需進(jìn)行整體測評， 經(jīng)過整體測評后，有的單元測評結(jié)果可能會有所變化，需進(jìn)一步修 訂單元測評結(jié)果，而后進(jìn)行風(fēng)險分析和評價，形成等級測評結(jié)論。 分析與報告編制活動包括單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、 整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編制六項(xiàng)主要 任務(wù)。這六項(xiàng)任務(wù)的基本工作流程見下圖：單項(xiàng)測評結(jié)果判定本任務(wù)主要是針對測評指標(biāo)