午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、公司經(jīng)營發(fā)展測評項目流程管理制度編 制： 審 核： 批 準(zhǔn)： 版 本 號: ESZAQDGF001 編 制： 審 核： 批 準(zhǔn)： 版 本 號: 測評項目管理制度一、 目的 為維護我公司的測評項目行為管理，提高測評項目施工質(zhì)量，節(jié)約成本，樹立公司形象，利于公司的可持續(xù)發(fā)展，特制訂本制度。二、 范圍 本制度使用于測評活動的各個項目工作人員。三、 項目組織及業(yè)務(wù)流程1. 等級測評活動中項目開展的組織形式描述（各工作小組）。2. 各工作小組的職責(zé)。3. 等級測評業(yè)務(wù)流程基本過程的劃分（加流程圖）。 4. 等級測評實施過程各階段的要求。 四、 測評準(zhǔn)備過程管理4.1 測評準(zhǔn)備活動的工作流程 測評準(zhǔn)備活動2、的目標(biāo)是順利啟動測評項目，準(zhǔn)備測評所需的相關(guān)資料，為順利編制測評方案打下良好的基礎(chǔ)。測評準(zhǔn)備活動包括項目啟動、信息收集和分析、工具和表單準(zhǔn)備三項主要任務(wù)。這三項任務(wù)的基本工作流程見圖1： 4.2 測評準(zhǔn)備活動的主要任務(wù) 4.2.1 項目啟動 在項目啟動任務(wù)中，測評機構(gòu)組建等級測評項目組，獲取測評委托單位及被測系統(tǒng)的基本情況，從基本資料、人員、計劃安排等方面為整個等級測評項目的實施做基本準(zhǔn)備。輸入：委托測評協(xié)議書。任務(wù)描述： a) 根據(jù)測評雙方簽訂的委托測評協(xié)議書和系統(tǒng)規(guī)模，測評機構(gòu)組建測評項目組，從人員方面做好準(zhǔn)備，并編制項目計劃書。項目計劃書應(yīng)包含項目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項目3、組織等。b) 測評機構(gòu)要求測評委托單位提供基本資料，包括：被測系統(tǒng)總體描述文件，詳細描述文件，安全保護等級定級報告，系統(tǒng)驗收報告，安全需求分析報告，安全總體方案，自查或上次等級測評報告（如果有），測評委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。輸出/產(chǎn)品：項目計劃書。4.2.2 信息收集和分析 測評機構(gòu)通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個系統(tǒng)的構(gòu)成和保護情況，為編寫測評方案和開展現(xiàn)場測評工作奠定基礎(chǔ)。輸入：調(diào)查表格，被測系統(tǒng)總體描述文件，詳細描述文件，安全保護等級定級報告，系統(tǒng)驗收報告，安全需求分析報告，安全總體方案，自查或上次等級測評報告（如果有）。任務(wù)描述： a) 測評4、機構(gòu)收集等級測評需要的各種資料，包括測評委托單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測系統(tǒng)總體描述文件、詳細描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現(xiàn)狀評價報告、安全詳細設(shè)計方案、用戶指南、運行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。b) 測評機構(gòu)將調(diào)查表格提交給測評委托單位，督促被測系統(tǒng)相關(guān)人員準(zhǔn)確填寫調(diào)查表格。c) 測評機構(gòu)收回填寫完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和熟悉被測系統(tǒng)的實際情況。分析的內(nèi)容包括被測系統(tǒng)的基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署情況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性5、業(yè)務(wù)安全保護等級、用戶范圍、用戶類型、被測系統(tǒng)所處的運行環(huán)境及面臨的威脅等。這些信息可以重用自查或上次等級測評報告中的可信結(jié)果。d) 如果調(diào)查表格填寫不準(zhǔn)確或不完善或存在相互矛盾的地方較多，測評機構(gòu)應(yīng)安排現(xiàn)場調(diào)查，與被測系統(tǒng)相關(guān)人員進行面對面的溝通和了解。輸出/產(chǎn)品：填好的調(diào)查表格。4.2.3 工具和表單準(zhǔn)備 測評項目組成員在進行現(xiàn)場測評之前，應(yīng)熟悉與被測系統(tǒng)相關(guān)的各種組件、調(diào)試測評工具、準(zhǔn)備各種表單等。輸入：各種與被測系統(tǒng)相關(guān)的技術(shù)資料。任務(wù)描述： a) 測評人員調(diào)試本次測評過程中將用到的測評工具，包括漏洞掃描工具、滲透性測試工具、性能測試工具和協(xié)議分析工具等。b) 測評人員模擬被測系統(tǒng)搭6、建測評環(huán)境。c) 準(zhǔn)備和打印表單，主要包括：現(xiàn)場測評授權(quán)書、文檔交接單、會議記錄表單、會議輸出/產(chǎn)品：選用的測評工具清單，打印的各類表單。4.3 測評準(zhǔn)備活動的輸出文檔 測評準(zhǔn)備活動的輸出文檔及其內(nèi)容如表1所示： 4.4 測評準(zhǔn)備活動中雙方的職責(zé) 測評機構(gòu)職責(zé)： a) 組建等級測評項目組。b) 指出測評委托單位應(yīng)提供的基本資料。c) 準(zhǔn)備被測系統(tǒng)基本情況調(diào)查表格，并提交給測評委托單位。d) 向測評委托單位介紹安全測評工作流程和方法。e) 向測評委托單位說明測評工作可能帶來的風(fēng)險和規(guī)避方法。f) 了解測評委托單位的信息化建設(shè)狀況與發(fā)展，以及被測系統(tǒng)的基本情況。g) 初步分析系統(tǒng)的安全情況。h) 7、準(zhǔn)備測評工具和文檔。測評委托單位職責(zé)： a) 向測評機構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況。b) 準(zhǔn)備測評機構(gòu)需要的資料。c) 為測評人員的信息收集提供支持和協(xié)調(diào)。d) 準(zhǔn)確填寫調(diào)查表格。e) 根據(jù)被測系統(tǒng)的具體情況，如業(yè)務(wù)運行高峰期、網(wǎng)絡(luò)布置情況等，為測評時間安排提供適宜的建議。f) 制定應(yīng)急預(yù)案。五、 方案編制過程管理5.1 目的 方案編制過程是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本過程的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。 5.2 方案編制過程的工作流程 方案編制活動包8、括測評對象確定、測評指標(biāo)確定、測試工具接入點確定、測評內(nèi)容確定、測評指導(dǎo)書測評指導(dǎo)書開發(fā)及測評方案編制六項主要任務(wù)。這六項任務(wù)的基本工作流程見下圖： 方案編制活動的基本工作流程 5.3 方案編制過程需要完成的主要任務(wù)： 確定測評對象： 根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。 主要包括： a) 根據(jù)調(diào)查表格獲得的被測系統(tǒng)基本情況，識別并描述被測系統(tǒng)的整體結(jié)構(gòu)。 b) 根據(jù)填好的調(diào)查表格，識別并描述被測系統(tǒng)的邊界。 c) 識別并描述被測系統(tǒng)的網(wǎng)絡(luò)區(qū)域。 d) 識別并描述被測系統(tǒng)的重要節(jié)點 。 e) 對上述描述內(nèi)容進行整理，描述被測系統(tǒng)。 f9、) 確定測評對象。 g) 描述測評對象。 本過程的輸入/輸出為： 輸入：填好的調(diào)查表格。 輸出/產(chǎn)品：測評方案的測評對象部分。 測評指標(biāo)確定。 根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評的測評指標(biāo)。 本過程主要包括以下任務(wù)： a) 根據(jù)被測系統(tǒng)調(diào)查表格，得出被測系統(tǒng)的定級結(jié)果，包括業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級，從而得出被測系統(tǒng)應(yīng)采取的安全保護措施ASG組合情況。 b) 從GB/T 22239-2008 中選擇相應(yīng)等級的安全要求作為測評指標(biāo)，包括對ASG三類安全要求的選擇。 c) 對于由多個不同等級的信息系統(tǒng)組成的被測系統(tǒng)，應(yīng)分別確定各個定級對象的測評指標(biāo)。如果多個定級對象共10、用物理環(huán)境或管理體系，而且測評指標(biāo)不能分開，則不能分開的這些測評指標(biāo)應(yīng)采用就高原則。 d) 分別針對每個定級對象加以描述，包括系統(tǒng)的定級結(jié)果、指標(biāo)選擇兩部分。其中，指標(biāo)選擇可以列表的形式給出。（如下所示） 測評指標(biāo) 本過程的輸入/輸出為： 輸入：填好的調(diào)查表格，GB/T 22239-2008。 輸出/產(chǎn)品：測評方案的測評指標(biāo)部分。 測試工具接入點確定 在等級測評中，對二級和二級以上的信息系統(tǒng)應(yīng)進行工具測試，工具測試可能用到漏洞掃描器、滲透測試工具集、協(xié)議分析儀等測試工具。 本過程的工作任務(wù)為： a) 確定需要進行工具測試的測評對象。 b) 選擇測試路徑。一般來說，測試工具的接入采取從外到內(nèi)，從11、其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點接入。 c) 根據(jù)測試路徑，確定測試工具的接入點。 d) 結(jié)合網(wǎng)絡(luò)拓撲圖，采用圖示的方式描述測試工具的接入點、測試目的、測試途徑和測試對象等相關(guān)內(nèi)容。 本過程的輸入/輸出為： 輸入：填好的調(diào)查表格。 輸出/產(chǎn)品：測評方案的測評內(nèi)容中關(guān)于測評工具接入點部分。 測評內(nèi)容確定。 本過程確定現(xiàn)場測評的具體實施內(nèi)容，即單元測評內(nèi)容。 本階段的主要任務(wù)為： 確定單元測評內(nèi)容。在測評方案中，現(xiàn)場單元測評實施內(nèi)容通常以表格的形式給出，表格包括測評指標(biāo)、測評內(nèi)容描述等內(nèi)容。 現(xiàn)場單元測評實施內(nèi)容表格描述的基本格式之一為下表： 表 （如物理安全）單元測評實施內(nèi)容 本過程的輸入/輸出為：12、 輸入：填好的調(diào)查表格，測評方案的測評對象、測評指標(biāo)及測評工具接入點部分。 輸出/產(chǎn)品：測評方案的單元測評實施部分。 測評指導(dǎo)書開發(fā)。 測評指導(dǎo)書是具體指導(dǎo)測評人員如何進行測評活動的文件，是現(xiàn)場測評的工具、方法和操作步驟等的詳細描述，是保證測評活動可以重現(xiàn)的根本。因此，測評指導(dǎo)書應(yīng)當(dāng)盡可能詳盡、充分。 本過程的主要任務(wù)為： a) 描述單個測評對象，包括測評對象的名稱、IP地址、用途、管理人員等信息。 b) 根據(jù)單元測評實施要求確定測評活動，包括測評項、測評方法、操作步驟和預(yù)期結(jié)果等四部分。 c) 單元測評一般以表格形式設(shè)計和描述測評項、測評方法、操作步驟和預(yù)期結(jié)果等內(nèi)容。整體測評則一般以文字描13、述的方式表述，可以以測評用例的方式進行組織。 單元測評的測評指導(dǎo)書描述的基本格式為： 表 （測評對象，如核心交換機）單元測評指導(dǎo)書 本過程的輸入/輸出為： 輸入：測評方案的測試工具接入點、單元測評實施部分。 輸出/產(chǎn)品：測評指導(dǎo)書，測評結(jié)果記錄表格。 測評方案編制 測評方案是等級測評工作實施的基礎(chǔ)，指導(dǎo)等級測評工作的現(xiàn)場實施活動。測評方案應(yīng)包括但不局限于以下內(nèi)容：項目概述、測評對象、測評指標(biāo)、測評工具的接入點以及單元測評實施等。本過程的主要任務(wù)為： a) 根據(jù)委托測評協(xié)議書和填好的調(diào)研表格，提取項目來源、測評委托單位整體信息化建設(shè)情況及被測系統(tǒng)與單位其他系統(tǒng)之間的連接情況等。 b) 根據(jù)等級保14、護過程中的等級測評實施要求，將測評活動所依據(jù)的標(biāo)準(zhǔn)羅列出來。 c) 依據(jù)委托測評協(xié)議書和被測系統(tǒng)情況，估算現(xiàn)場測評工作量。工作量可以根據(jù)配置檢查的節(jié)點數(shù)量和工具測試的接入點及測試內(nèi)容等情況進行估算。 d) 根據(jù)測評項目組成員安排，編制工作安排情況。 e) 根據(jù)以往測評經(jīng)驗以及被測系統(tǒng)規(guī)模，編制具體測評計劃，包括現(xiàn)場工作人員的分工和時間安排。在進行時間計劃安排時，應(yīng)盡量避開被測系統(tǒng)的業(yè)務(wù)高峰期，避免給被測系統(tǒng)帶來影響。同時，在測評計劃中應(yīng)將具體測評所需條件以及測評需要的配合人員也一并給出，便于測評實施之前雙方溝通協(xié)調(diào)、合理安排。 f) 匯總上述內(nèi)容及方案編制活動的其他任務(wù)獲取的內(nèi)容形成測評方案文15、稿。 g) 評審和提交測評方案。測評方案初稿應(yīng)通過測評項目組全體成員評審，修改完成后形成提交稿。然后，測評機構(gòu)將測評方案提交給測評委托單位簽字認可。 本過程的輸入輸出為： 輸入：委托測評協(xié)議書，填好的調(diào)研表格，GB/T 22239-2008中相應(yīng)等級的基本要求，測評方案的測評對象、測評指標(biāo)、測試工具接入點、測評內(nèi)容部分。 輸出/產(chǎn)品：經(jīng)過評審和確認的測評方案文本。 5.4 整個方案編制活動的輸出文檔： 方案編制活動的輸出文檔及其內(nèi)容如下表所示 ： 方案編制活動的輸出文檔及其內(nèi)容5.5方案編制活動中雙方的職責(zé) 測評機構(gòu)職責(zé)： a) 詳細分析被測系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點等。 b) 16、初步判斷被測系統(tǒng)的安全薄弱點。 c) 分析確定測評對象、測評指標(biāo)和測試工具接入點，確定測評內(nèi)容及方法。 d) 編制測評方案文本，并對其內(nèi)部評審，并提交被測機構(gòu)簽字確認。 測評委托單位職責(zé)： a) 對測評方案進行認可，并簽字確認。 六、 現(xiàn)場測評過程管理6.1 現(xiàn)場測評活動的工作流程 現(xiàn)場測評活動包括現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還三項主要任務(wù)。這三項任務(wù)的基本工作流程見圖3：6.2 現(xiàn)場測評活動的主要任務(wù) 6.2.1 現(xiàn)場測評準(zhǔn)備 本任務(wù)啟動現(xiàn)場測評，是保證測評機構(gòu)能夠順利實施測評的前提。 輸入：現(xiàn)場測評授權(quán)書，測評方案。 任務(wù)描述： a) 測評委托單位簽署現(xiàn)場測評授權(quán)書。17、 b) 召開測評現(xiàn)場首次會，測評機構(gòu)介紹測評工作，交流測評信息，進一步明確測評計劃和方案中的內(nèi)容，說明測評過程中具體的實施工作內(nèi)容，測評時間安排等，以便于后面的測評工作開展。 c) 測評雙方確認現(xiàn)場測評需要的各種資源， 包括測評委托單位的配合人員和需要提供的測評條件等，確認被測系統(tǒng)已備份過系統(tǒng)及數(shù)據(jù)。 d) 測評人員根據(jù)會議溝通結(jié)果，對測評結(jié)果記錄表單和測評程序進行必要的更新。 輸出/產(chǎn)品：會議記錄，更新后的測評計劃和測評程序，確認的測評授權(quán)書等。6.2.2 現(xiàn)場測評和結(jié)果記錄 現(xiàn)場測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看五個方面。 6.2.2.1 訪談 輸入：測評指導(dǎo)書，技術(shù)18、安全和管理安全測評的測評結(jié)果記錄表格。 任務(wù)描述： a) 測評人員與被測系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級信息系統(tǒng)在測評時有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。輸出/產(chǎn)品：技術(shù)安全和管理安全測評的測評結(jié)果記錄或錄音。 6.2.2.2 文檔審查 輸入：安全方針文件，安全管理制度，安全管理的執(zhí)行過程文檔，系統(tǒng)設(shè)計方案，網(wǎng)絡(luò)設(shè)備的技術(shù)資料，系統(tǒng)和產(chǎn)品的實際配置說明，系統(tǒng)的各種運行記錄文檔，機房建設(shè)相關(guān)資料，機房出入記錄等過程記錄文檔，測評指導(dǎo)書，管理安全測評的測評結(jié)果記錄表格。 任務(wù)描述： a) 檢查GB19、/T 22239-2008中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。 b) 檢查是否有完整的制度執(zhí)行情況記錄，如機房出入登記記錄、電子記錄、高等級系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。 對上述文檔進行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。 輸出/產(chǎn)品：管理安全測評的測評結(jié)果記錄。6.2.2.3 配置檢查 輸入：測評指導(dǎo)書，技術(shù)安全測評的網(wǎng)絡(luò)、主機、應(yīng)用測評結(jié)果記錄表格。 任務(wù)描述： a) 根據(jù)測評結(jié)果記錄表格內(nèi)容，利用上機驗證的方式檢查應(yīng)用系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進行核實（包括日志審計等）20、 。 b) 如果系統(tǒng)在輸入無效命令時不能完成其功能，將要對其進行錯誤測試。 c) 針對網(wǎng)絡(luò)連接，應(yīng)對連接規(guī)則進行驗證。 輸出/產(chǎn)品：技術(shù)安全測評的網(wǎng)絡(luò)、主機、應(yīng)用測評結(jié)果記錄。6.2.2.4 工具測試 輸入：測評指導(dǎo)書，技術(shù)安全測評的網(wǎng)絡(luò)、主機、應(yīng)用測評結(jié)果記錄表格。 任務(wù)描述： a) 根據(jù)測評指導(dǎo)書，利用技術(shù)工具對系統(tǒng)進行測試，包括基于網(wǎng)絡(luò)探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。 b) 備份測試結(jié)果。 6.2.2.5 實地察看 輸入：測評指導(dǎo)書，技術(shù)安全測評的物理安全和管理安全測評結(jié)果記錄表格。 任務(wù)描述： a) 根據(jù)被測系統(tǒng)的實際情況，測評人員到系統(tǒng)運行現(xiàn)21、場通過實地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達到了相應(yīng)等級的安全要求。 輸出/產(chǎn)品：技術(shù)安全測評的物理安全和管理安全測評結(jié)果記錄。6.2.3 結(jié)果確認和資料歸還 輸入：測評結(jié)果記錄，工具測試完成后的電子輸出記錄。 任務(wù)描述： a) 測評人員在現(xiàn)場測評完成之后，應(yīng)首先匯總現(xiàn)場測評的測評記錄，對漏掉和需要進一步驗證的內(nèi)容實施補充測評。 b) 召開測評現(xiàn)場結(jié)束會，測評雙方對測評過程中發(fā)現(xiàn)的問題進行現(xiàn)場確認。 c) 測評機構(gòu)歸還測評過程中借閱的所有文檔資料，并由 測評委托單位文檔資料提供者簽字確認。 輸出/產(chǎn)品：現(xiàn)場測22、評中發(fā)現(xiàn)的問題匯總，證據(jù)和證據(jù)源記錄，測評委托單位的書面認可文件。6.3 現(xiàn)場測評活動的輸出文檔 現(xiàn)場測評活動的輸出文檔及其內(nèi)容如表6所示：6.4 現(xiàn)場測評活動中雙方的職責(zé) 測評機構(gòu)職責(zé)： a) 利用訪談、文檔審查、配置檢查、工具測試和實地察看的方法測評被測系統(tǒng)的保護措施情況，并獲取相關(guān)證據(jù)。 測評委托單位職責(zé)： a) 測評前備份系統(tǒng)和數(shù)據(jù)，并確認被測設(shè)備狀態(tài)完好。 b) 協(xié)調(diào)被測系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測評工作的開展。 c) 簽署現(xiàn)場測評授權(quán)書。 d) 相關(guān)人員回答測評人員的問詢，對某些需要驗證的內(nèi)容上機進行操作。 e) 相關(guān)人員確認測試前協(xié)助測評人員實施工具測試并提供有效建議，降低安全23、測評對系統(tǒng)運行的影響。 f) 相關(guān)人員協(xié)助測評人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗證和測試。 g) 相關(guān)人員對測評結(jié)果進行確認。 h) 相關(guān)人員確認測試后被測設(shè)備狀態(tài)完好。七、 報告編制過程管理在現(xiàn)場測評工作結(jié)束后，測評機構(gòu)應(yīng)對現(xiàn)場測評獲得的測評結(jié)果（或稱測評證據(jù)）進行匯總分析，形成等級測評結(jié)論，并編制測評報告。在現(xiàn)場測評工作結(jié)束后，測評機構(gòu)應(yīng)對現(xiàn)場測評獲得的測評結(jié)果（或稱測評證據(jù)）進行匯總分析，形成等級測評結(jié)論，并編制測評報告。測評人員在初步判定單元測評結(jié)果后，還需進行整體測評，經(jīng)過整體測評后，有的單元測評結(jié)果可能會有所變化，需進一步修訂單元測評結(jié)果，而后進行風(fēng)險分析和評價，形成等級測評結(jié)論。 分24、析與報告編制活動包括單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編制六項主要任務(wù)。這六項任務(wù)的基本工作流程見下圖：單項測評結(jié)果判定單元測評結(jié)果判定風(fēng)險分析測評報告編制等級測評結(jié)論形成整體測評單項測評結(jié)果判定 本任務(wù)主要是針對測評指標(biāo)中的單個測評項，結(jié)合具體測評對象，客觀、準(zhǔn)確地分析測評證據(jù)，形成初步單項測評結(jié)果，單項測評結(jié)果是形成等級測評結(jié)論的基礎(chǔ)。單元測評結(jié)果判定本任務(wù)主要是將單項測評結(jié)果進行匯總，分別統(tǒng)計不同測評對象的單項測評結(jié)果，從而判定單元測評結(jié)果，并以表格的形式逐一列出。整體測評 針對單項測評結(jié)果的不符合項，采取逐條判定的方法，從安全控制間、層面25、間和區(qū)域間出發(fā)考慮，給出整體測評的具體結(jié)果，并對系統(tǒng)結(jié)構(gòu)進行整體安全測評。 風(fēng)險分析 測評人員依據(jù)等級保護的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測系統(tǒng)安全造成的影響。 等級測評結(jié)論形成 測評人員在測評結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護現(xiàn)狀與等級保護基本要求之間的差距，并形成等級測評結(jié)論。 測評報告編制 測評報告應(yīng)包括但不局限于以下內(nèi)容：概述、被測系統(tǒng)描述、測評對象說明、測評指標(biāo)說明、測評內(nèi)容和方法說明、單元測評、整體測評、測評結(jié)果匯總、風(fēng)險分析和評價、等級測評結(jié)論、整改建議等。 分析與報告編制活動的輸出文檔分析與報告編制活動的輸出文檔及其內(nèi)容下表所示分析與報告26、編制活動的輸出文檔及其內(nèi)容分析與報告編制活動中雙方的職責(zé) 測評機構(gòu)職責(zé)： a) 分析并判定單項測評結(jié)果和整體測評結(jié)果。 b) 分析評價被測系統(tǒng)存在的風(fēng)險情況。 c) 根據(jù)測評結(jié)果形成等級測評結(jié)論。 d) 編制等級測評報告，說明系統(tǒng)存在的安全隱患和缺陷，并給出改進建議。 e) 評審等級測評報告，并將評審過的等級測評報告按照分發(fā)范圍進行分發(fā)。 f) 將生成的過程文檔歸檔保存，并將測評過程中生成的電子文檔清除。 測評委托單位職責(zé)： 簽收測評報告。附件附加相關(guān)的管理表單，可能產(chǎn)生的表單如下：1、 測評流程卡2、 合同評審記錄表3、 測評方案評審記錄表4、 測評報告評審記錄表、5、 測評現(xiàn)場接收/歸還文檔清單6、 會議簽到表、會議記錄等