【正文】 評所必須提交的詳細資料；b) 項目負責人應(yīng)在測評項目立項后，應(yīng)向委托方揭示測評風險，說明測評過程中可能帶來的風險，并說明風險規(guī)避的方法；c) 在測評項目準備階段，項目負責人應(yīng)與委托方溝通，對測評時間、人員等做出合理安排，以保證測評實施工期避開被測系統(tǒng)的業(yè)務(wù)高峰期，確保測評項目順利完成；d) 項目負責人在測評方案通過內(nèi)部評審后，及時與委托方交流，明確告知委托方測評范圍，以便委托方提供與測評方案吻合的配合資源（人力、場地）；e) 測評核查表審查結(jié)果記錄一定要由委托方人員簽字，確保記錄結(jié)果的有效性；f) 現(xiàn)場測評時，項目組成員與委托方人員溝通時，應(yīng)采用對方能接受的溝通風格。注意肢體語言、語態(tài)給對方的感覺。始終向委托方傳遞一種誠實，公正態(tài)度。不論在何種情況下，都要避免與委托方人員產(chǎn)生言語上的沖突；g) 測評組作為一個整體對外意見要一致，一個團隊要用一種聲音說話，避免委托方對測評人員公平公正度產(chǎn)生誤解；h) 現(xiàn)場測評時，如果出現(xiàn)測評人員與委托方溝通效果不理想，要及時認識問題，尋求相關(guān)領(lǐng)導(dǎo)和職能部門的協(xié)助，合理的借用外部力量達到項目組的既定目標。2) 部門間溝通a) 在委托方提交信息系統(tǒng)等級測評所必需的資料后，系統(tǒng)測評部應(yīng)會同業(yè)務(wù)受理部，組織專家對委托方提供的資料做詳細分析和整理。判定測評項目是否可以立項，以保證測評工作順利開展；b) 系統(tǒng)測評部應(yīng)定期與質(zhì)量保障部溝通，以便質(zhì)量保障部提供相應(yīng)的軟、硬件保障，確保測評質(zhì)量。3) 項目組成員間溝通a) 項目組成員內(nèi)部溝通應(yīng)注重文檔化，實現(xiàn)團隊項目經(jīng)驗的有效積累；b) 項目組成員在項目實施中應(yīng)注重技術(shù)性溝通，方便項目新成員提高技術(shù)水平；c) 項目負責人通過各種途徑將意圖傳遞給項目執(zhí)行人員并使項目執(zhí)行人員理解和執(zhí)行。避免項目執(zhí)行人員理解不清最終導(dǎo)致項目混亂甚至項目失敗；d) 項目組成員在完成各自的測評工作后，應(yīng)以項目日報形式向項目負責人匯報，以便項目負責人把握項目進度；e) 項目組成員完成測評報告后，報告所得出的結(jié)論應(yīng)協(xié)商一致，避免委托方對測評報告的結(jié)果提出異議。4) 與領(lǐng)導(dǎo)的溝通a) 應(yīng)清楚各級領(lǐng)導(dǎo)的權(quán)限和角色，解決問題時一定是要找到關(guān)鍵路徑上的關(guān)鍵領(lǐng)導(dǎo)，避免將問題同時拋給多個領(lǐng)導(dǎo)，造成領(lǐng)導(dǎo)之間的溝通成本加大，影響問題的解決效率；b) 對于項目中不可能完成的工作，不要一味的向領(lǐng)導(dǎo)妥協(xié)，這既是對工作的負責，也是對項目組的負責。通過多方面的溝通管理，為提升信譽度，與客戶建立良好的合作關(guān)系，打好堅實的基礎(chǔ)。 測評工作引入風險的管理 測評工作過程的風險1) 驗證測試影響系統(tǒng)正常運行在現(xiàn)場測評時，需要對設(shè)備和系統(tǒng)進行一定的驗證測試工作，部分測試內(nèi)容需要上機查看一些信息，這就可能對系統(tǒng)的運行造成一定的影響，甚至存在誤操作的可能。2) 敏感信息泄漏泄漏被測系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓撲、IP地址、業(yè)務(wù)流程、安全機制、安全隱患和有關(guān)文檔信息。3) 對測評結(jié)果存有爭議測評機構(gòu)和被測單位對測評結(jié)果可能存在爭議。 風險管理控制方法為了對測評過程存在的風險進行有效規(guī)避，將針對測評流程通過如下幾個階段實施風險管理：1) 測評準備階段a) 風險點：準備階段在與委托方進行初次溝通協(xié)商后，需要委托方提供一定量的信息系統(tǒng)相關(guān)資料，以便通過這些資料的了解研究，確定下一步測評工作的開展方法，而這些資料可能涉及到委托方的內(nèi)部機密，如果此類資料丟失或泄露，將對委托方產(chǎn)生較大影響及造成經(jīng)濟損失?？刂品椒ǎ涸谂c委托方首次溝通時，簽署《委托階段保密協(xié)議》；從委托方獲取資料時，應(yīng)填寫《資料交接單》，并經(jīng)委托方簽字確認后方可使用。b) 風險點：測評實施過程中可能需要對設(shè)備和系統(tǒng)進行上機檢查，滲透測試等，而這些操作可能會對委托方的系統(tǒng)運行設(shè)備安全等造成一定威脅，如果在測評項目準備階段沒有向委托方陳述此類題，可能將導(dǎo)致實施過程中的委托方系統(tǒng)服務(wù)中斷，設(shè)備宕機等問題。控制方法：在與委托方溝通協(xié)調(diào)時，必須將上述隱患告知委托方，并建議其做相應(yīng)的保護措施。c) 風險點：測評工作是一項嚴密而又復(fù)雜的工作，其內(nèi)容涉及信息系統(tǒng)的各個方面，如果測評準備階段沒有將測評工作的意義及流程告知委托方，將造成后期配合上的隱患，導(dǎo)致項目進展緩慢，或無法有序開展?？刂品椒ǎ号c委托方溝通協(xié)調(diào)時，有必要對項目目的、流程及需要配合的事宜完整的告知委托方，避免由此引發(fā)的不理解，不配合。d) 風險點：測評工作需要有相當專業(yè)技術(shù)能力的人員和相關(guān)測評工具的配合，如果測評工具準備不當或測評人員知識儲備量不足，都將對測評工作的開展及測評結(jié)果造成影響?？刂品椒ǎ航M織測評隊伍時應(yīng)對相關(guān)人員資格進行審核，有關(guān)設(shè)備的操作人員需定期培訓(xùn)，并在確定了測評所需設(shè)備后，對所需設(shè)備進行校準。e) 風險點：由于測評過程中涉及到上機檢查，實地查看等，檢查過程中如遇突發(fā)情況或突發(fā)威脅，如沒有對此類情況進行充分考慮，勢必造成測評過程的中斷、造成設(shè)備損壞甚至人身事故?？刂品椒ǎ簩赡苌婕暗降陌踩鹿蕬?yīng)制定相應(yīng)的《應(yīng)急預(yù)案》保護措施，并通告全體測評人員。2) 方案編制階段a) 風險點：方案編制時，需對項目所需的時間、人員安排等做出科學(xué)合理的規(guī)劃，否則不但會造成人員時間浪費，還會增加項目成本?？刂品椒ǎ悍桨赋醺鍛?yīng)進行內(nèi)部專家評審，并由技術(shù)負責人簽字確認方可定稿。b) 風險點：測評方案中涉及到委托方的機密信息，如果對方案的流轉(zhuǎn)，存儲控制不當，將造成委托方資料泄密的嚴重后果?？刂品椒ǎ哼M入方案編制階段后，應(yīng)通過文件加密等方式禁止項目無關(guān)人員查閱此方案，方案確定后，如需遞交委托方時，應(yīng)經(jīng)相關(guān)負責人批準后親自送達至委托方，并經(jīng)委托方簽字確認接收。3) 現(xiàn)場測評階段a) 風險點：現(xiàn)場測評過程中部分項目需要工具測試或上機驗證，此過程中勢必會對系統(tǒng)運行造成一定影響，并存在一定風險，如果在未告知用戶的情況下進行此類操作，不但可能會對用戶系統(tǒng)造成危害甚至經(jīng)濟損失，還會對項目后續(xù)工作形成阻礙?？刂品椒ǎ涸诖_認需要進行工具測試或上機驗證時，應(yīng)再次將此操作可能產(chǎn)生的危害告知委托方，并建議其做相應(yīng)的保護措施；需上機驗證的，應(yīng)盡量要求委托方提供專人操作，如必須測評人員操作的，應(yīng)與委托方簽署委托協(xié)議，明確責任。b) 風險點：現(xiàn)場測評過程中部分項目需要實地查看，此過程中可能涉及到精密儀器、電力環(huán)境等的確認，如果未與委托方充分協(xié)調(diào)可能造成設(shè)備損壞或人身安全事故?？刂品椒ǎ涸趯嵉夭榭催^程中應(yīng)由委托方配專職人員協(xié)同講解，避免單人查看操作，出現(xiàn)事故后立即執(zhí)行《應(yīng)急方案》措施。c) 風險點：現(xiàn)場測評過程中涉及到需要委托方提供的備閱文檔，如果不進行相關(guān)保護及確認，容易造成資料丟失、外泄等情況?？刂品椒ǎ含F(xiàn)場測評工程需要委托方提供文檔時應(yīng)與其簽訂《資料交接單》，待資料使用完畢后根據(jù)《資料交接單》提供的清單，逐一核查，統(tǒng)一歸還并簽字確認。4) 分析與報告階段a) 風險點：對現(xiàn)場測評結(jié)果進行綜合分析是一項細致全面的工作，如果對系統(tǒng)分析不到位或不全面，必定會影響最終的結(jié)果報告，造成報告失真?？刂品椒ǎ簻y評結(jié)果分析工作應(yīng)由資深測評工程師或?qū)＜覔?，綜合評定后的初稿需經(jīng)內(nèi)部專家評審會評審?fù)ㄟ^，并簽字確認方能定稿。b) 風險點：結(jié)果報告中涉及到委托方的機密信息，如果對報告的流轉(zhuǎn)，存儲控制不當，將造成委托方資料泄密的嚴重后果?？刂品椒ǎ哼M入報告編制階段后，應(yīng)通過文件加密等方式禁止項目無關(guān)人員查閱此報告，報告確定后，如需遞交委托方時，應(yīng)經(jīng)相關(guān)負責人批準后親自送達至委托方，并經(jīng)委托方簽字確認接收。 保密控制管理 人員保密管理1) 未經(jīng)授權(quán)方書面許可，被授權(quán)方測評人員不得將所知的授權(quán)方秘密信息以任何方式提供給任何第三方；2) 未經(jīng)授權(quán)方書面許可，被授權(quán)方測評人員不得擅自披露授權(quán)方的秘密信息；3) 除了雙方約定的工作目的之外，未經(jīng)授權(quán)方書面許可，被授權(quán)方測評人員不得擅自使用授權(quán)方的秘密信息；4) 對于項目實施過程中采集到的數(shù)據(jù)、信息和服務(wù)結(jié)果的保管、訪問，被授權(quán)方無關(guān)人員不能訪問；因工作需要必須訪問的人員，被授權(quán)方應(yīng)進行嚴格的訪問控制；被授權(quán)方應(yīng)對管理以上秘密信息的人員進行嚴格篩選；5) 被授權(quán)方測評人員在項目實施過程中負有風險預(yù)估、及時預(yù)報的責任，在具有風險性的工作進行之前應(yīng)向授權(quán)方說明該項工作將帶來的影響；6) 被授權(quán)方保證，不會利用與本次等級測評項目相關(guān)的秘密信息為自己或第三方開發(fā)信息、技術(shù)和產(chǎn)品，或與另一方進行商業(yè)競爭。 設(shè)備保密管理1) 未經(jīng)授權(quán)方書面許可，被授權(quán)方的移動設(shè)備、個人信息處理設(shè)備等不得擅自接入授權(quán)方的生產(chǎn)及辦公網(wǎng)絡(luò)；2) 授權(quán)方以書面形式同意被授權(quán)方使用一定的資源，如網(wǎng)絡(luò)、NOTES等，被授權(quán)方只能將其用于本次項目工作目的，不得從事任何侵害授權(quán)方利益的活動；3) 授權(quán)方以書面形式同意被授權(quán)方使用的工具、技術(shù)和方法，如掃描、測試等，被授權(quán)方只能將其用于本次項目工作目的，不得用來從事任何侵害授權(quán)方利益的活動。 文檔保密管理1) 未經(jīng)授權(quán)方書面許可，被授權(quán)方不得帶走從授權(quán)方得到的任何文檔、圖紙、資料、磁盤、膠片等載有授權(quán)方秘密信息的介質(zhì)；2) 被授權(quán)方因工作需要必須攜帶的數(shù)據(jù)資料，須經(jīng)授權(quán)方書面許可后加密或封條存儲；3) 工作期滿離開時，被授權(quán)方應(yīng)將包含授權(quán)方秘密信息的一切資料及其復(fù)印件如數(shù)交還授權(quán)方，未經(jīng)授權(quán)方書面許可，被授權(quán)方不得擅自保留。6. 簽字確認受xxxxxxxxxx委托，因佛美訊公司對xxxxxxxxxxyyyyyyyyy進行等級測評工作，在項目準備階段，經(jīng)過認真討論研究后制定了《xxxxxxxxxx等級保護測評項目項目計劃書》。如果被測評單位對該項目計劃書中涉及的時間、人員、流程等安排沒有異議，請在下方的 “同意該項目計劃”欄中簽字，如果有異議，請?zhí)顚懏愖h條款，河南省金盾信息安全等級技術(shù)測評中心將依據(jù)“異議條款”對項目計劃書進行修改和變更以期最終就項目計劃書達成一致意見。對項目計劃書意見如下： 同意該項目計劃 簽字確認： 簽字日期： 年 月 日 不同意，異議如下： 簽字確認： 簽字日期： 年 月