2018/7/5第3章安全集成的實施信息安全保障人員認(rèn)證22摘要信息系統(tǒng)安全集成工程是信息系統(tǒng)安全工程的一個子集。信息系統(tǒng)安全集成工程可以理解為系統(tǒng)安全工程、軟件工程、系統(tǒng)集成及安全管理等諸多領(lǐng)域的融合。12018/7/5信息安全保障人員認(rèn)證目錄安全集成實施過程框架安全需求安全設(shè)計安全實施安全測評安全監(jiān)視與評審改進3信息安全保障人員認(rèn)證43.1安全集成實施過程框架信息系統(tǒng)安全集成是工程活動，也可以是安全服務(wù)，即安全集成的交付物可以是系統(tǒng)、產(chǎn)品甚至是服務(wù)。信息系統(tǒng)安全集成服務(wù)是“信息系統(tǒng)集成過程中的安全需求界定、安全設(shè)計、安全實施、安全保障等活動。采用信息系統(tǒng)安全工程的方法和理論，將安全單元、安全產(chǎn)品部件進行集成的活動”。信息系統(tǒng)安全集成服務(wù)將信息系統(tǒng)集成工程分為了安全需求界定、安全設(shè)計、安全實施和安全保障四個階段。22018/7/5信息安全保障人員認(rèn)證5安全集成服務(wù)與工程安全需求界定階段包含了符合性要求和風(fēng)險評估2個環(huán)節(jié)；安全設(shè)計階段包含了措施盤點、措施計劃和集成與安全設(shè)計3個環(huán)節(jié)；安全實施階段包括了措施實施和工程實施2個環(huán)節(jié)；安全保障階段包括了安全測評、監(jiān)視、評審與改進

4個環(huán)節(jié)。信息安全保障人員認(rèn)證6安全集成的階段與環(huán)節(jié)階段模式需求分析安全設(shè)計安全實施安全保障安全的集成符合性要求風(fēng)險評估措施盤點措施計劃措施實施監(jiān)視評審改進集成的安全集成與安全設(shè)計工程實施安全測評監(jiān)視

評審

改進32018/7/5兩種模式的關(guān)系符合性要求改進

風(fēng)險評估集成與評審 安全設(shè)計監(jiān)視

工程實施安全評測評審改進監(jiān)視7符合性要求措施實施風(fēng)險評估措施盤點措施計劃信息安全保障人員認(rèn)證信息安全保障人員認(rèn)證8系統(tǒng)安全工程與安全集成工程階段信息系統(tǒng)安全集成 系統(tǒng)安全工程集成安全安全集成工程過程風(fēng)險過程保障過程需求分析階段符合性要求√√風(fēng)險評估√√設(shè)計階段安全設(shè)計措施盤點√措施計劃√√實施階段工程實施措施實施√√安全保障階段安全測評√√√監(jiān)視√√評審√√改進√42018/7/5信息安全保障人員認(rèn)證91.界定安全需求2.確定服務(wù)合同確定服務(wù)人員和組織簽訂保密協(xié)議集成準(zhǔn)備方案設(shè)計建設(shè)實施安全保證1.安全方案設(shè)計管理安全控制措施安全協(xié)調(diào)3.安全監(jiān)控驗證和確認(rèn)安全建立保證論據(jù)安全集成服務(wù)過程信息安全保障人員認(rèn)證安全管理與安全集成工程基本安全需求原則主要領(lǐng)導(dǎo)負(fù)責(zé)原則全員參與原則系統(tǒng)方法原則

持續(xù)改進原則

依法管理原則

分權(quán)和授權(quán)原則分級保護原則管理與技術(shù)并重原則自保護和國家監(jiān)管結(jié)合原則101234567891052018/7/5信息安全保障人員認(rèn)證113.2安全需求安全需求分析的目的明確地識別組織的有關(guān)被集成信息系統(tǒng)的安全需求，并與各方達成安全共識信息安全保障人員認(rèn)證123.2安全需求理解客戶的安全需求法律、政策、標(biāo)準(zhǔn)、外部影響和約束條件安全風(fēng)險，明確風(fēng)險評估的方法、確定風(fēng)險接受準(zhǔn)則、確立安全風(fēng)險級別識別被集成系統(tǒng)的目的，以便確定安全來龍去脈捕獲被集成系統(tǒng)運行的高層次安全視圖捕獲定義被集成系統(tǒng)安全的高層次目標(biāo)定義一組一致的要求，用以規(guī)定將要在被集成系統(tǒng)實現(xiàn)的保護就所規(guī)定的安全需求與客戶需要相匹配達成協(xié)議62018/7/5信息安全保障人員認(rèn)證13安全現(xiàn)狀分析安全現(xiàn)狀分析的主要工作對開展安全集成前信息系統(tǒng)的安全現(xiàn)狀進行全面的評價和分析的活動。信息安全保障人員認(rèn)證14安全現(xiàn)狀分析安全現(xiàn)狀分析的主要目的識別目前信息系統(tǒng)在信息安全保障方面所存在的缺陷和不足，信息系統(tǒng)現(xiàn)存的安全風(fēng)險，理解安全集成項目所需要解決的安全問題72018/7/5信息安全保障人員認(rèn)證15安全現(xiàn)狀分析內(nèi)容業(yè)務(wù)現(xiàn)狀實體對象的安全風(fēng)險保障環(huán)節(jié)的建設(shè)情況資源現(xiàn)狀管理現(xiàn)狀信息安全保障人員認(rèn)證16策略與符合性符合性要求信息安全策略要求安全組織保障法律法規(guī)、規(guī)章制度、標(biāo)準(zhǔn)與規(guī)范發(fā)布、管理和保護其信息安全而制定的一組規(guī)章、規(guī)范和措施的總合，是對系統(tǒng)內(nèi)信息資源使用和

管理規(guī)則的正式描述，是所有使用和管理系統(tǒng)內(nèi)

信息資源的人員都必須遵守的規(guī)則安全保障體系建設(shè)除了接受國家信息安全管理機關(guān)（如：公安部門、保密部門、密碼管理部門等）宏觀管理外，在系統(tǒng)內(nèi)部還應(yīng)建立自己的信息安全組織保障體系，它包含組織、制度、崗位和人員。82018/7/5信息安全保障人員認(rèn)證17系統(tǒng)信息安全分析信息安全風(fēng)險評估是“依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完

整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)

面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，

并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)

生對組織造成的影響?！薄ＷR別資產(chǎn)識別脆弱性識別威脅評估影響信息安全保障人員認(rèn)證18兩種思路傳統(tǒng)思路有哪些資產(chǎn)？資產(chǎn)由哪些脆弱性？有哪些威脅？CISAW風(fēng)險管理業(yè)務(wù)不期望的結(jié)果有哪些？原因是什么？與數(shù)據(jù)、載體、環(huán)境和邊界的關(guān)系？相關(guān)對象的原因是什么？92018/7/5信息安全保障人員認(rèn)證19評估階段工具/表格類型資產(chǎn)識別資產(chǎn)調(diào)查表資產(chǎn)管理工具主動探測工具威脅識別IDSIPS流量分析工具審計工具威脅調(diào)查表脆弱性識別訪談漏洞掃描工具各類檢查表滲透測試工具集安全措施確認(rèn)安全控制措施調(diào)查表安全意識調(diào)查表綜合風(fēng)險分析風(fēng)險分析工具風(fēng)險評估工具及資料準(zhǔn)備識別資產(chǎn)分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)管、交換機等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等存儲設(shè)備：磁帶機、磁盤列陣、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：UPS、變電設(shè)備等、空調(diào)、保險柜、文件柜、門禁、消防設(shè)備等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)網(wǎng)絡(luò)服務(wù)：對各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應(yīng)用項目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等

20

信息安全保障人員認(rèn)證102018/7/5信息安全保障人員認(rèn)證21評估威脅識別由自然因素產(chǎn)生的適用的威脅識別由人為因素（無意或有意）產(chǎn)生的適用的威脅識別在特定環(huán)境中合適的測量單位和適用范圍針對人為因素產(chǎn)生的威脅，評估威脅著的能力和動機評估威脅事件發(fā)生的可能性監(jiān)視威脅特征分布中正在發(fā)生的變化以及其特征的變更信息安全保障人員認(rèn)證22評估脆弱性類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別系統(tǒng)軟件從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別。應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別112018/7/5信息安全保障人員認(rèn)證23評估影響識別和分析由系統(tǒng)支撐的運行、業(yè)務(wù)或使命能力，并且排列優(yōu)先順序識別支持核心運行能力或系統(tǒng)安全目標(biāo)的系統(tǒng)資產(chǎn)，并且描述其特征選擇用于評估的影響度量項必要時，識別選擇用于評估的度量項與度量項轉(zhuǎn)換因子之間的關(guān)系使用多個度量項或者（適當(dāng)時）整理的度量項來識別不希望事件的不希望影響，并且描述其特征監(jiān)視影響正在發(fā)生的變化信息安全保障人員認(rèn)證24評估安全風(fēng)險選擇用于對已定義環(huán)境中系統(tǒng)的安全風(fēng)險進行分析、評估和比較的方法、技術(shù)和準(zhǔn)則識別威脅、脆弱性、影響三者評估與每個暴露的發(fā)生相關(guān)的風(fēng)險評估與暴露的風(fēng)險相關(guān)的總的不確定性按優(yōu)先權(quán)排列風(fēng)險監(jiān)視風(fēng)險特征分布中正在發(fā)生的變化以及其特征的變化122018/7/5信息安全保障人員認(rèn)證25業(yè)務(wù)安全需求業(yè)務(wù)是指集成后信息系統(tǒng)所支撐的組織的活動，是信息系統(tǒng)安全保障的本質(zhì)對象。如何實現(xiàn)對業(yè)務(wù)的保護是安全需求的主要內(nèi)容之一。不同的領(lǐng)域，不同行業(yè)對業(yè)務(wù)的保護的側(cè)重點有所不同。信息安全保障人員認(rèn)證26過程輸出客戶安全需求陳述安全約束條件安全輪廓預(yù)期的威脅環(huán)境評價目標(biāo)（對象）運行系統(tǒng)的概念概念性安全體系結(jié)構(gòu)運行/環(huán)境安全策略系統(tǒng)安全策略安全相關(guān)要求可追蹤性矩陣批準(zhǔn)的安全目標(biāo)安全相關(guān)的要求基線132018/7/5信息安全保障人員認(rèn)證273.3安全設(shè)計1.總體思路要求信息系統(tǒng)安全集成建設(shè)需從整體性、動態(tài)性、層次性、過程性和相對安全的幾個角度綜合考慮和設(shè)計。整體性

動態(tài)性

層次性

過程性

相對安全信息安全保障人員認(rèn)證283.3安全設(shè)計2.主要內(nèi)容措施盤點（管理措施、配置措施、技術(shù)措施）安全設(shè)計142018/7/5信息安全保障人員認(rèn)證29總體設(shè)計識別并優(yōu)化業(yè)務(wù)流程梳理并優(yōu)化數(shù)據(jù)流設(shè)計并確定載體互聯(lián)方案設(shè)計并落實環(huán)境互通方案設(shè)計并審核信息安全保障方案設(shè)計并落實資源及管理整合方案信息安全保障人員認(rèn)證30措施盤點與計劃1.管理措施2.技術(shù)措施技術(shù)措施可以通過軟件和硬件兩種形式體現(xiàn)，這些產(chǎn)品根據(jù)相關(guān)標(biāo)準(zhǔn)分為如下8個類別：物理安全類、主機安全類、網(wǎng)絡(luò)安全類、邊界安全類、應(yīng)用安全類、數(shù)據(jù)安全類、安全管理與支持類。3.措施計劃措施計劃的主要內(nèi)容是安全產(chǎn)品、單元、部件的部署方案的設(shè)計。152018/7/5一級分類二級分類信息安全保障人員認(rèn)證編號類別編號類別A物理安全A1環(huán)境安全A2設(shè)備安全A3介質(zhì)安全B主機安全B1身份認(rèn)證B2主機防護B3防惡意代碼B4操作系統(tǒng)安全C網(wǎng)絡(luò)安全C1通信安全C2網(wǎng)絡(luò)監(jiān)測C3內(nèi)容安全D邊界安全D1邊界隔離D2入侵防范D3邊界訪問控制D4網(wǎng)絡(luò)終端安全E應(yīng)用安全E1應(yīng)用服務(wù)安全E2應(yīng)用服務(wù)安全支持F數(shù)據(jù)安全F1數(shù)據(jù)平臺安全F2備份與恢復(fù)G安全管理與支持G1綜合審計G2應(yīng)急響應(yīng)支持G3密碼支持G4風(fēng)險評估G5安全管理31信息安全保障人員認(rèn)證32數(shù)據(jù)安全設(shè)計1.數(shù)據(jù)安全措施技術(shù)措施包括：安全數(shù)據(jù)庫，數(shù)據(jù)庫安全部件，數(shù)據(jù)備份與恢復(fù)、內(nèi)容過濾與控制、信息防泄露等產(chǎn)品用于數(shù)據(jù)安全。2.數(shù)據(jù)安全設(shè)計數(shù)據(jù)安全設(shè)計從數(shù)據(jù)的生命周期的各個階段、數(shù)據(jù)安全屬性以及信息安全保障的6個環(huán)節(jié)的安全設(shè)計來進行系統(tǒng)分析。162018/7/5信息安全保障人員認(rèn)證33載體安全設(shè)計1.載體安全措施（技術(shù)措施、管理措施）2.載體安全設(shè)計載體的安全設(shè)計需從系統(tǒng)安全需求出發(fā)，結(jié)合總體設(shè)計、載體互通設(shè)計及載體相關(guān)安全功能的考慮來進行綜合設(shè)計。信息安全保障人員認(rèn)證34環(huán)境安全設(shè)計1.環(huán)境安全措施（區(qū)域防護、災(zāi)備防護、身份認(rèn)證、入侵檢測、訪問控制、病毒防治、特定代碼防護、安全操作系統(tǒng)、操作系統(tǒng)安全部件、可用性保障、安全監(jiān)控、安全審計等）2.環(huán)境安全設(shè)計（物理環(huán)境、主機計算環(huán)境、應(yīng)用層計算環(huán)境、網(wǎng)絡(luò)環(huán)境）172018/7/5信息安全保障人員認(rèn)證35邊界安全設(shè)計1.邊界安全措施（物理邊界、網(wǎng)絡(luò)邊界、計算環(huán)境邊界）2.物理邊界的安全設(shè)計（安防設(shè)備、門禁設(shè)備及其相關(guān)的管理措施）3.網(wǎng)絡(luò)邊界的安全設(shè)計（機房安全設(shè)計技術(shù)與規(guī)范、防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)閘技術(shù)等。）信息安全保障人員認(rèn)證36過程輸出安全工程域其他學(xué)科之間的協(xié)議所需輸入的描述安全設(shè)計準(zhǔn)則安全實現(xiàn)規(guī)則文檔編制要求系統(tǒng)體系結(jié)構(gòu)的安全視圖安全設(shè)計文檔安全模型安全體系結(jié)構(gòu)信任分析權(quán)衡分析研究結(jié)果和建議端到端的權(quán)衡分析研究結(jié)果體系結(jié)構(gòu)建議設(shè)計建議實現(xiàn)建議安全體系結(jié)構(gòu)建議保護原理設(shè)計標(biāo)準(zhǔn)、原則、原理編碼標(biāo)準(zhǔn)管理員手冊用戶手冊安全概述系統(tǒng)配置說明書182018/7/5信息安全保障人員認(rèn)證373.4

安全實施安全實施是工程組對安全設(shè)計方案付諸實踐的環(huán)節(jié)，其主要內(nèi)容包括對現(xiàn)有系統(tǒng)利用安全措施進行加固；對新的信息系統(tǒng)進行編碼實現(xiàn)、測試等開發(fā)工作。信息安全保障人員認(rèn)證措施實施1.實施工作確定并明確實施方案及后備方案明確實施的安全原則識別并管理實施風(fēng)險制定應(yīng)急響應(yīng)預(yù)案

提供安全輸入明確資源配置2.常見的配置及管理措施 操作系統(tǒng)配置措施

數(shù)據(jù)庫系統(tǒng)配置措施WEB服務(wù)器的安全設(shè)置38192018/7/5信息安全保障人員認(rèn)證39安全工程實施1.實施原則2.安全編碼基本概念

方法與措施安全編碼意識培養(yǎng)安全編碼技術(shù)（內(nèi)存安全、線程進程安全、異常處理安全、輸入安全、國際化安全、面向?qū)ο缶幊贪踩?、Web編程安全）信息安全保障人員認(rèn)證40過程輸出安全實施的指導(dǎo)原則實施計劃與方案實施方案識別實施計劃審核實施日志202018/7/5信息安全保障人員認(rèn)證413.5

安全測評安全測評是指對完成實施的信息系統(tǒng)進行安全測試與安全評價。安全測試從包括對信息系統(tǒng)的安全功能測試和安全漏洞測試兩方面。安全功能測試用于確認(rèn)系統(tǒng)的安全功能的實現(xiàn)；安全漏洞測試針對安全需求，采用模擬攻擊形式進行系統(tǒng)的安全特性實現(xiàn)的驗證與確認(rèn)。安全評價是結(jié)合安全測試的結(jié)果，對信息系統(tǒng)的安全性進行評價。信息安全保障人員認(rèn)證42安全測試與工具1.基本概念安全測試確認(rèn)計算環(huán)境的安全功能、發(fā)現(xiàn)計算環(huán)境在部署、配置及軟件代碼在設(shè)計、實現(xiàn)、操作和管理等方面缺陷的過程。安全功能測試脆弱性測試2.安全測試流程通常安全測試分為測試前的準(zhǔn)備階段、安全測試執(zhí)行階段和測試完成后的數(shù)據(jù)匯總分析階段三個階段。3.安全測試技術(shù)與方法 安全審查技術(shù)目標(biāo)識別與分析技術(shù)目標(biāo)漏洞驗證技術(shù)4.安全測試工具212018/7/5信息安全保障人員認(rèn)證43評價方法與準(zhǔn)則1.評價方法依據(jù)安全功能和漏洞測試、滲透測試結(jié)果，對新系統(tǒng)中的數(shù)據(jù)對象、載體對象、環(huán)境與邊界對象的可用性、機密性、完整性、真實性和不可否認(rèn)性等安全屬性，依據(jù)評價準(zhǔn)則進行評價并給出綜合評價結(jié)果。2.評價準(zhǔn)則結(jié)合安全需求、系統(tǒng)安全設(shè)計方案，制定數(shù)據(jù)、載體、環(huán)境與邊界的安全屬性的定量或定性的評價準(zhǔn)則。信息安全保障人員認(rèn)證44過程輸出安全測評的指導(dǎo)原則對象清單總體計劃測試方案識別工具準(zhǔn)備與識別測評人員與組織安全功能測試設(shè)計與測試結(jié)果安全性能測試設(shè)計與測試結(jié)果安全測試的總體評價結(jié)果222018/7/5信息安全保障人員認(rèn)證453.6

安全監(jiān)視與評審安全監(jiān)視與評審是安全集成兩種模式中所共有的環(huán)節(jié)，主要針對安全集成方案實施后的系統(tǒng)安全態(tài)勢進行監(jiān)視，對系統(tǒng)設(shè)計方案和計劃的有效性進行評審，包括安全信息系統(tǒng)的安全改進與提升的可能與需求。信息安全保障人員認(rèn)證46安全態(tài)勢監(jiān)視安全態(tài)勢監(jiān)視的目的是確保識別和報告所有對安全的破壞、試圖破壞或者可能導(dǎo)致安全受到破壞的錯誤。要針對所有可能對系統(tǒng)安全構(gòu)成影響的因素，監(jiān)視外部和內(nèi)部環(huán)境。具體目標(biāo)包括：探測和跟蹤與內(nèi)部和外部安全有關(guān)的事件；按照策略對事件作出響應(yīng)；根據(jù)安全目標(biāo)識別和處理安全態(tài)勢的變化。232018/7/5信息安全保障人員認(rèn)證47安全驗證與確認(rèn)驗證和確認(rèn)安全的目的是確保關(guān)于安全的解決方案得到驗證和確認(rèn)。針對安全要求、體系結(jié)構(gòu)和設(shè)計，使用觀察、示范、分析和測試來驗證解決方案。針對顧客的運行安全需要來確認(rèn)解決方案。信息安全保障人員認(rèn)證48過程輸出每個設(shè)計的描述—日志記錄的組成和來源—事件識別參數(shù)—所有當(dāng)前單一日志記錄報警整體列表—所有當(dāng)前單一日志記錄報警整體列表……問題報告—不一致處—無效解決方案—測試結(jié)果—可追蹤矩陣。242018/7/5信息安全保障人員認(rèn)證493.7

改進改進環(huán)節(jié)是安全集成模型的最后一個環(huán)節(jié)，也是再次集成的需求來源之一和促使再次集成的主要原因之一。改進是持續(xù)無止境的，這符合事物螺旋式發(fā)展的基本規(guī)律。信息安全保障人員認(rèn)證50持續(xù)改進信息系統(tǒng)改進集成能力改進二者的相互關(guān)系252018/7/5信息安全保障人員認(rèn)證51能力自我評估組織的能力成熟度評估分為：規(guī)劃、準(zhǔn)備、現(xiàn)場和報告

4個階段。規(guī)劃階段活動說

明輸出范圍評估提煉模型的過程域以滿足該評估發(fā)起者的特殊需求理解發(fā)起者的目標(biāo)收集初步證據(jù)證據(jù)源于對調(diào)查表的回答，它可從評估組織收集得到完成的調(diào)查表證據(jù)規(guī)劃評估為實施已產(chǎn)生并被批準(zhǔn)的評估而組織好的計劃和一致同意的方法小組成員評估計劃和調(diào)查表信息安全保障人員認(rèn)證522.準(zhǔn)備階段活動說

明輸出準(zhǔn)備評估小組這一步保證所有評估小組成員熟悉SSE-CMM，并接受相同的實施評估命令小組支持評估分發(fā)調(diào)查表將預(yù)先確定的調(diào)查表分發(fā)給工程主管，以便得到被評組織的初步信息完成調(diào)查表合并證據(jù)匯集調(diào)查表回答中表明答案的支持證據(jù)和整理調(diào)查表數(shù)據(jù)證據(jù)的匯集抄寫調(diào)查表數(shù)據(jù)分析證據(jù)/調(diào)查表小組對此階段收集的所有證據(jù)進行徹底評審，準(zhǔn)備在現(xiàn)場階段向工程主管提出的問題向工程主管提出的問題262018/7/5533.現(xiàn)場階段活動說明輸出召開行政會議行政會議為管理層提供評估綜述，并為評估小組提供對該組織機構(gòu)在評估環(huán)境下的看法評估受到支持回答的問題召開開幕式開幕式為參與者提供評估綜述，這也是管理層表示支持評估的時機評估受到支持回答的問題采訪工程主管通過使用探討性問題組織好的采訪技術(shù)，評估小組采集有關(guān)項目的系統(tǒng)安全工程實施的確認(rèn)數(shù)據(jù)采訪筆記數(shù)據(jù)請求合并來自工程主管的數(shù)據(jù)小組成員復(fù)查他們自己的筆記，討論問題，更新數(shù)據(jù)跟蹤表單更新數(shù)據(jù)跟蹤表單調(diào)整工程主管的采訪記錄采訪專業(yè)人員通過使用探討性問題組織好的采訪技術(shù)，評估小組采集有關(guān)項目的系統(tǒng)安全工程實施的確認(rèn)數(shù)據(jù)采訪筆記數(shù)據(jù)請求合并來自專業(yè)人員的數(shù)據(jù)小組成員復(fù)查自己的筆記，談?wù)搯栴}，更新數(shù)據(jù)跟蹤表單完成的數(shù)據(jù)跟蹤