信息安全管理實(shí)務(wù)信息安全風(fēng)險評估--項(xiàng)目實(shí)施過程3······刑事執(zhí)行專業(yè)教學(xué)資源庫22風(fēng)險評估項(xiàng)目實(shí)施過程計劃準(zhǔn)備實(shí)施報告跟蹤33召開首次會議

在完成全部評估準(zhǔn)備工作之后，評估小組就可以按照預(yù)先的計劃實(shí)施現(xiàn)場評估了，現(xiàn)場評估開始于首次會議，評估小組全體成員和受評估方領(lǐng)導(dǎo)及相關(guān)人員共同參加。

首次會議由評估組長主持，評估小組要向組織的相關(guān)人員介紹評估計劃、具體內(nèi)容、評估方法，并協(xié)調(diào)、澄清有關(guān)問題。

召開首次會議時，與會者應(yīng)該做好正式記錄。44首次會議議程及內(nèi)容5風(fēng)險評估原則

在風(fēng)險評估前，需要對技術(shù)評估的風(fēng)險進(jìn)行重審。

被評估方應(yīng)在接受技術(shù)評估前對業(yè)務(wù)系統(tǒng)備份。

在技術(shù)掃描過程中，需要系統(tǒng)管理員全程陪同。參考最近一年的風(fēng)險評估記錄。

在遇到異常情況時，及時通知管理員，并且停止評估。

技術(shù)評估安排在對系統(tǒng)影響較小的時間進(jìn)行。66實(shí)施現(xiàn)場評估

首次會議之后，即可進(jìn)入現(xiàn)場評估。現(xiàn)場評估按計劃進(jìn)行，評估內(nèi)容參照事先準(zhǔn)備好的檢查列表。

評估期間，評估員應(yīng)該做好筆記和記錄，這些記錄是評估員提出報告的真憑實(shí)據(jù)。記錄的格式可以是“筆記式”，也可以是“記錄表式”，一般來說，內(nèi)審活動都應(yīng)該有統(tǒng)一的“現(xiàn)場評估記錄表”，便于規(guī)范化管理。

評估進(jìn)行到適當(dāng)階段，評估組長應(yīng)該主持召開評估小組會議，借此了解各個評估員的工作進(jìn)展，提出下一步工作要求，協(xié)調(diào)有關(guān)活動，并對已獲得的評估證據(jù)和評估發(fā)現(xiàn)展開分析和討論。77對不符合項(xiàng)進(jìn)行描述

無論是嚴(yán)重不符合項(xiàng)還是輕微不符合項(xiàng)，評估員都應(yīng)該將其記錄到不符合項(xiàng)報告中。不符合項(xiàng)報告是對現(xiàn)場評估得到的評估發(fā)現(xiàn)進(jìn)行評審并經(jīng)過受評估方確認(rèn)的對不符合項(xiàng)的陳述，是最終的評估報告的一部分，是評估小組提交給委托方或受評估方的正式文件。不符合項(xiàng)描述應(yīng)該明確以下內(nèi)容：在哪里發(fā)現(xiàn)的？描述相關(guān)區(qū)域、文件、記錄、設(shè)備發(fā)現(xiàn)了什么？客觀描述發(fā)現(xiàn)的事實(shí)有誰在場？或者和誰有關(guān)？描述相關(guān)人員、職位為什么不合格？描述不符合原因，所違背的標(biāo)準(zhǔn)或文件條款在對不符合項(xiàng)進(jìn)行描述時，應(yīng)該注意：不符合項(xiàng)描述務(wù)必清楚明白，便于追溯描述語句務(wù)必正規(guī)，采用標(biāo)準(zhǔn)術(shù)語8現(xiàn)場工作時間安排（一）現(xiàn)場工作時間安排（二）1010召開評估小組會議

現(xiàn)場評估結(jié)束后，末次會議召開之前，評估小組應(yīng)該召開內(nèi)部碰頭會。或者是在整個評估過程中，定期（每天結(jié)束時）召開評估小組碰頭會

同一評估小組的成員參加

會議期間討論當(dāng)前的評估結(jié)果

溝通評估信息、線索

協(xié)調(diào)評估方向，控制評估實(shí)施按計劃進(jìn)行

評估組長作評估總結(jié)準(zhǔn)備。在末次會議之前的評估組會議中，評估組長要對評估的觀察結(jié)果作一次匯總分析：

從發(fā)現(xiàn)的風(fēng)險進(jìn)行分析（發(fā)生的部門、要素、性質(zhì)、類型）

從技術(shù)漏洞的趨勢分析（不同業(yè)務(wù)系統(tǒng)的比較）

從體系運(yùn)行狀況對影響情況進(jìn)行分析

總結(jié)各項(xiàng)安全措施落實(shí)的優(yōu)缺點(diǎn)1111召開末次會議

現(xiàn)場評估之后，評估組長應(yīng)該主持召開末次會議，有評估小組、受評估方領(lǐng)導(dǎo)和各相關(guān)部門負(fù)責(zé)人共同參加。

末次會議的任務(wù)在于：向受評估方介紹評估的情況；報告評估發(fā)現(xiàn)（重大風(fēng)險點(diǎn)）和評估結(jié)論；提出后續(xù)工作的建議（糾