等级测评方案编制活动的工作流程

方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。

方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程见图2：

（二）方案编制活动的主要任务

1）测评对象确定

根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。

2）测评指标确定

根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。

3）测试工具接入点确定

在等级测评中，对二级和二级以上的信息系统应进行工具测试，工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。

4）测评内容确定

本部分确定现场测评的具体实施内容，即单元测评内容。

输入：填好的调查表格，测评方案的测评对象、测评指标及测评工具接入点部分。

5）测评指导书开发

测评指导书是具体指导测评人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动可以重现的根本。因此，测评指导书应当尽可能详尽、充分。

6）测评方案编制

测评方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容：项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。

信息安全等级测评测评指标更多内容您可点击下方致远服软官网链接查看，致远服软http://www.zhiyuanit.net.cn/。

（三）方案编制活动的输出文档

方案编制活动的输出文档及其内容如表5所示：

（四）方案编制活动中双方的职责

1）测评机构职责：

a) 详细分析被测系统的整体结构、边界、网络区域、重要节点等。

b) 初步判断被测系统的安全薄弱点。

c) 分析确定测评对象、测评指标和测试工具接入点，确定测评内容及方法。

d) 编制测评方案文本，并对其内部评审，并提交被测机构签字确认。

2）测评委托单位职责：