1.基本工作流程和方案
(1)基本工作流程评估过程分为四个基本评估活动内容:评估准备活动、规划活动内容、现场评估活动内容、剖析和报告活动内容。专业测评双方中间的沟通与洽谈应贯穿全部等级专业测评过程。基本工作流程如图所示。
①专业测评准备
活动内容本活动内容是开展等级评价工作的前提和基础是全部等级评价过程有效性的保证专业测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动内容的关键日常任务是掌握被测系统的详细情况,准备测试工具,为编制专业测评方案做好准备。
②方案编制活动内容
这项活动内容是开展水平评价的关键活动内容,为实地评价提供了最基本的文件和指导。本活动内容的关键日常任务是确定与被测信息系统相适应的专业测评对象、专业测评指标及专业测评主要内容等,并按照须要重用或开发设计专业测评指导书专业测评指导书,建立专业测评方案。
③现场专业测评
活动内容本活动内容是开展等级专业测评工作的核心活动内容。本活动内容的关键日常任务是按照专业测评方案的总体要求,严格执行专业测评指导书专业测评指导书,分步实施所有专业测评项目,包括模块专业测评和整体专业测评两个方面,以掌握操作系统的真实保护情况,获取足够证据,发现操作系统存在的安全问题。
④剖析与报告
活动内容的成本活动内容是发出等级评价作业结果的活动内容,是汇总了被测定操作系统整体的安全保护能力的综合评价活动内容。本活动内容的关键日常任务是按照现场专业测评结果和GB/T28448-2012的有关要求,通过单项专业测评结果判定、模块专业测评结果判定、整体专业测评和风险分析等方案,找到全部操作系统的安全保护现状与相应等级的保护要求中间的差异,并剖析这种差异造成 被测系统面临的风险,从而给出等级专业测评结论,建立测评报告文本。
