2023學年完整公開課版實施

信息安全管理實務信息安全風險評估--項目實施過程3······刑事執(zhí)行專業(yè)教學資源庫22風險評估項目實施過程計劃準備實施報告跟蹤33召開首次會議

在完成全部評估準備工作之后，評估小組就可以按照預先的計劃實施現(xiàn)場評估了，現(xiàn)場評估開始于首次會議，評估小組全體成員和受評估方領導及相關(guān)人員共同參加。

首次會議由評估組長主持，評估小組要向組織的相關(guān)人員介紹評估計劃、具體內(nèi)容、評估方法，并協(xié)調(diào)、澄清有關(guān)問題。

召開首次會議時，與會者應該做好正式記錄。44首次會議議程及內(nèi)容5風險評估原則

在風險評估前，需要對技術(shù)評估的風險進行重審。

被評估方應在接受技術(shù)評估前對業(yè)務系統(tǒng)備份。

在技術(shù)掃描過程中，需要系統(tǒng)管理員全程陪同。參考最近一年的風險評估記錄。

在遇到異常情況時，及時通知管理員，并且停止評估。

技術(shù)評估安排在對系統(tǒng)影響較小的時間進行。66實施現(xiàn)場評估

首次會議之后，即可進入現(xiàn)場評估?，F(xiàn)場評估按計劃進行，評估內(nèi)容參照事先準備好的檢查列表。

評估期間，評估員應該做好筆記和記錄，這些記錄是評估員提出報告的真憑實據(jù)。記錄的格式可以是“筆記式”，也可以是“記錄表式”，一般來說，內(nèi)審活動都應該有統(tǒng)一的“現(xiàn)場評估記錄表”，便于規(guī)范化管理。

評估進行到適當階段，評估組長應該主持召開評估小組會議，借此了解各個評估員的工作進展，提出下一步工作要求，協(xié)調(diào)有關(guān)活動，并對已獲得的評估證據(jù)和評估發(fā)現(xiàn)展開分析和討論。77對不符合項進行描述

無論是嚴重不符合項還是輕微不符合項，評估員都應該將其記錄到不符合項報告中。不符合項報告是對現(xiàn)場評估得到的評估發(fā)現(xiàn)進行評審并經(jīng)過受評估方確認的對不符合項的陳述，是最終的評估報告的一部分，是評估小組提交給委托方或受評估方的正式文件。不符合項描述應該明確以下內(nèi)容：在哪里發(fā)現(xiàn)的？描述相關(guān)區(qū)域、文件、記錄、設備發(fā)現(xiàn)了什么？客觀描述發(fā)現(xiàn)的事實有誰在場？或者和誰有關(guān)？描述相關(guān)人員、職位為什么不合格？描述不符合原因，所違背的標準或文件條款在對不符合項進行描述時，應該注意：不符合項描述務必清楚明白，便于追溯描述語句務必正規(guī)，采用標準術(shù)語8現(xiàn)場工作時間安排（一）現(xiàn)場工作時間安排（二）1010召開評估小組會議

現(xiàn)場評估結(jié)束后，末次會議召開之前，評估小組應該召開內(nèi)部碰頭會。或者是在整個評估過程中，定期（每天結(jié)束時）召開評估小組碰頭會

同一評估小組的成員參加

會議期間討論當前的評估結(jié)果

溝通評估信息、線索

協(xié)調(diào)評估方向，控制評估實施按計劃進行

評估組長作評估總結(jié)準備。在末次會議之前的評估組會議中，評估組長要對評估的觀察結(jié)果作一次匯總分析：

從發(fā)現(xiàn)的風險進行分析（發(fā)生的部門、要素、性質(zhì)、類型）

從技術(shù)漏洞的趨勢分析（不同業(yè)務系統(tǒng)的比較）

從體系運行狀況對影響情況進行分析

總結(jié)各項安全措施落實的優(yōu)缺點1111召開末次會議

現(xiàn)場評估之后，評估組長應該主持召開末次會議，有評估小組、受評估方領導和各相關(guān)部門負責人共同參加。

末次會議的任務在于：向受評估方介紹評估的情況；報告評估發(fā)現(xiàn)（重大風險點）和評估結(jié)論；提出后續(xù)工作的建議（糾