核能行業(yè)網(wǎng)絡(luò)安全同行評(píng)估與成員支持活動(dòng)實(shí)施導(dǎo)則

核能行業(yè)網(wǎng)絡(luò)安全同行評(píng)估實(shí)施導(dǎo)則范圍本文件規(guī)定了網(wǎng)絡(luò)安全同行評(píng)估的方法和流程。本文件適用于指導(dǎo)核能行業(yè)開(kāi)展網(wǎng)絡(luò)安全同行評(píng)估工作。規(guī)范性引用文件 下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T41241-2022《核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理要求》GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T25069—2022《信息安全技術(shù)術(shù)語(yǔ)》GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》BSENIEC62645-2020《核電站儀表、控制和電力系統(tǒng)網(wǎng)絡(luò)安全要求》BSENIEC62859-2020《核電站儀表和控制系統(tǒng)協(xié)調(diào)安全和網(wǎng)絡(luò)安全的要求》術(shù)語(yǔ)和定義 GB/T41241-2022、GB/T22239-2019、GB/T25069—2022、GB/T31722-2015、GB/T20984-2022、BSENIEC62645-2020和BSENIEC62859-2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。為了便于使用以下重復(fù)列出了GB/T22239-2019中的一些術(shù)語(yǔ)和定義。網(wǎng)絡(luò)安全CyberSecurity通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，是網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。[GB/T22239-2019，定義3.1]安全保護(hù)能力SecurityProtectionAbility能夠抵御威脅、發(fā)現(xiàn)安全事件以及在遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。[GB/T22239-2019，定義3.1]云計(jì)算CloudComputing通過(guò)網(wǎng)絡(luò)訪問(wèn)擴(kuò)展的、靈活的物理或虛擬共享資源池、并按需自助獲取和管理資源的模式。注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。同行評(píng)估概述同行評(píng)估的目的和特點(diǎn)同行評(píng)估是比較獨(dú)特的核電行業(yè)經(jīng)驗(yàn)反饋與共享機(jī)制。其目的是，依據(jù)國(guó)際卓越標(biāo)準(zhǔn),通過(guò)業(yè)內(nèi)同行評(píng)估,幫助核電廠提高安全和可靠性,識(shí)別待改進(jìn)領(lǐng)域,發(fā)現(xiàn)強(qiáng)項(xiàng)以供其他核電站共享；使評(píng)估隊(duì)和受評(píng)核電廠了解各核電廠的不同實(shí)踐并增進(jìn)溝通、交流,開(kāi)闊眼界；同行評(píng)估以業(yè)績(jī)表現(xiàn)為基礎(chǔ),通過(guò)現(xiàn)場(chǎng)觀察被執(zhí)行的活動(dòng),并詢問(wèn)“為達(dá)到卓越目標(biāo)，相關(guān)工作如何能夠做得更好”。當(dāng)然，僅滿足本地化的要求和規(guī)則,并不意味著不能提高,也可能蘊(yùn)含著一種創(chuàng)新的強(qiáng)項(xiàng)實(shí)踐。核電領(lǐng)域的同行評(píng)估特別強(qiáng)調(diào)以下6方面的要求：自愿性。核電廠自愿要求對(duì)其進(jìn)行同行評(píng)估,并確定評(píng)估范圍重點(diǎn)；友好和開(kāi)放的關(guān)系及氛圍；不搞突然襲擊,所有觀察意見(jiàn)都充分與受評(píng)方溝通并確認(rèn)；不針對(duì)個(gè)人的業(yè)績(jī)和表現(xiàn),同行評(píng)估針對(duì)核電廠和組織進(jìn)行評(píng)估,聚焦管理改進(jìn)；是一種幫助和經(jīng)驗(yàn)分享，而不是檢查和督查；所有人員負(fù)責(zé)全過(guò)程保密,履行保密承諾。這也成為同行評(píng)估的一種精神和文化共識(shí)。將同行評(píng)估的理念、技術(shù)和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域時(shí)，其目的可以概括為：依據(jù)國(guó)際和國(guó)家卓越標(biāo)準(zhǔn)，參考不同行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域領(lǐng)先的有效實(shí)踐，通過(guò)組織業(yè)內(nèi)同行開(kāi)展評(píng)估，幫助受評(píng)方提高其網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的安全保障能力和水平，識(shí)別待改進(jìn)項(xiàng)，發(fā)現(xiàn)強(qiáng)項(xiàng)以供其他受評(píng)方共享；使評(píng)估團(tuán)隊(duì)和受評(píng)方了解不同行業(yè)和不同企業(yè)在網(wǎng)絡(luò)安全方面的有效實(shí)踐，并增進(jìn)溝通、交流，開(kāi)闊眼界；將待改進(jìn)項(xiàng)提交受評(píng)方作為制定、實(shí)施網(wǎng)絡(luò)安全改進(jìn)行動(dòng)的輸入，并根據(jù)受評(píng)方的要求對(duì)待改進(jìn)項(xiàng)的糾正行動(dòng)進(jìn)行跟蹤回訪，以實(shí)現(xiàn)受評(píng)方網(wǎng)絡(luò)安全防護(hù)能力的持續(xù)提升，以不斷追求卓越的姿態(tài)確保受評(píng)方的網(wǎng)絡(luò)安全防護(hù)能力持續(xù)滿足自身數(shù)字化發(fā)展和應(yīng)對(duì)各種網(wǎng)絡(luò)安全挑戰(zhàn)的需要。同行評(píng)估體系要素同行評(píng)估體系由評(píng)估方法、評(píng)估隊(duì)伍、受評(píng)方管理者代表和領(lǐng)域?qū)谌?、領(lǐng)域業(yè)績(jī)目標(biāo)與準(zhǔn)則、巡視卡、偏差事實(shí)、觀察報(bào)告、強(qiáng)項(xiàng)、待改進(jìn)項(xiàng)以及評(píng)估報(bào)告10個(gè)要素構(gòu)成,各要素之間的關(guān)系如圖4-1所示。圖4-1同行評(píng)估體系要素之間的關(guān)系為便于理解,先對(duì)這10個(gè)要素介紹如下：評(píng)估方法。同行評(píng)估采用的方法主要包括現(xiàn)場(chǎng)觀察、文件審閱和人員訪談等。有時(shí)也采用沙盤(pán)推演等方法進(jìn)行補(bǔ)充。評(píng)估隊(duì)伍。簡(jiǎn)稱評(píng)估隊(duì),是同行評(píng)估實(shí)施的同行專家主體，由受評(píng)方之外的同行專家組成,而不是上級(jí)單位領(lǐng)導(dǎo)及其指派的檢查專家。同行評(píng)估隊(duì)一般由領(lǐng)隊(duì)、隊(duì)長(zhǎng)、副隊(duì)長(zhǎng)、各領(lǐng)域評(píng)估員、協(xié)調(diào)員和秘書(shū)組成,有時(shí)也配備顧問(wèn)、觀察員和離場(chǎng)代表等角色。受評(píng)方管理者代表和領(lǐng)域?qū)谌?。他們配合和參與評(píng)估工作。一般由受評(píng)方分管領(lǐng)導(dǎo)擔(dān)任受評(píng)方管理者代表。與評(píng)估隊(duì)各領(lǐng)域評(píng)估員相對(duì)應(yīng),受評(píng)方應(yīng)明確指定各領(lǐng)域的對(duì)口人,并由受評(píng)方評(píng)估領(lǐng)域的部門(mén)負(fù)責(zé)人進(jìn)行統(tǒng)籌安排和協(xié)調(diào)配合。領(lǐng)域業(yè)績(jī)目標(biāo)與準(zhǔn)則。領(lǐng)域業(yè)績(jī)目標(biāo)與準(zhǔn)則是同行評(píng)估的核心標(biāo)準(zhǔn)文件,凝聚了本行業(yè)在該領(lǐng)域的最佳管理實(shí)踐，其核心是描述評(píng)估領(lǐng)域及其子領(lǐng)域所追求的管理績(jī)效目標(biāo),是評(píng)估員進(jìn)行現(xiàn)場(chǎng)評(píng)估的參考標(biāo)準(zhǔn),也可以作為受評(píng)方開(kāi)展內(nèi)部自評(píng)估、準(zhǔn)備評(píng)估先期文件和制訂改善提升計(jì)劃的參考標(biāo)準(zhǔn)。巡視卡。簡(jiǎn)稱白卡,是評(píng)估員進(jìn)行現(xiàn)場(chǎng)巡視時(shí)便于規(guī)范記錄所發(fā)現(xiàn)問(wèn)題的空白卡片。使用巡視卡,可以規(guī)范評(píng)估員對(duì)問(wèn)題的記錄以及評(píng)估員之間的信息交流,是發(fā)現(xiàn)偏差事實(shí)和編制觀察報(bào)告的一種現(xiàn)場(chǎng)評(píng)估工作方式。偏差事實(shí)。評(píng)估隊(duì)通過(guò)客觀地觀察得到事實(shí),在對(duì)客觀事實(shí)進(jìn)行描述的基礎(chǔ)上,對(duì)照領(lǐng)域業(yè)績(jī)目標(biāo)與準(zhǔn)則以及評(píng)估員個(gè)人和團(tuán)隊(duì)掌握的卓越標(biāo)準(zhǔn)，識(shí)別出達(dá)不到業(yè)內(nèi)高標(biāo)準(zhǔn)的差異點(diǎn),形成偏差事實(shí)。觀察報(bào)告。用標(biāo)準(zhǔn)的格式客觀記錄事實(shí),形成偏差記錄，以及基于事實(shí)而分析得出的結(jié)論，進(jìn)而形成觀察報(bào)告。強(qiáng)項(xiàng)。強(qiáng)項(xiàng)是指基于受評(píng)方的申報(bào)以及評(píng)估隊(duì)的觀察評(píng)估,認(rèn)為在行業(yè)內(nèi)具有示范推廣作用的良好實(shí)踐，是評(píng)估領(lǐng)域業(yè)績(jī)目標(biāo)與準(zhǔn)則修訂版的輸入之一。待改進(jìn)項(xiàng)。待改進(jìn)項(xiàng)是指確實(shí)存在的問(wèn)題或某問(wèn)題帶來(lái)的實(shí)際或潛在的后果。待改進(jìn)項(xiàng)是基于偏差事實(shí)以及事實(shí)的邏輯分析，結(jié)論應(yīng)準(zhǔn)確而具體，能夠讓受評(píng)方認(rèn)識(shí)到問(wèn)題及其后果，得到管理層的認(rèn)同并愿意采取糾正行動(dòng)。評(píng)估隊(duì)工作的重心主要在識(shí)別和挖掘待改進(jìn)項(xiàng)。評(píng)估報(bào)告。評(píng)估報(bào)告是評(píng)估工作的核心成果,主要由強(qiáng)項(xiàng)和待改進(jìn)項(xiàng)組成。待改進(jìn)項(xiàng)是評(píng)估報(bào)告的核心內(nèi)容。同行評(píng)估過(guò)程和規(guī)范要求同行評(píng)估工作全過(guò)程主要包括4個(gè)階段：評(píng)估準(zhǔn)備階段。評(píng)估準(zhǔn)備是開(kāi)展同行評(píng)估工作的前提和基礎(chǔ)，是整個(gè)同行評(píng)估過(guò)程有效性的保證。現(xiàn)場(chǎng)評(píng)估階段?，F(xiàn)場(chǎng)評(píng)估是同行評(píng)估工作的核心,主要依據(jù)評(píng)估領(lǐng)域的業(yè)績(jī)目標(biāo)與準(zhǔn)則要求,將評(píng)估準(zhǔn)則的具體要求落實(shí)到實(shí)際評(píng)估工作中，通過(guò)對(duì)受評(píng)方的人員訪談、文件查閱、現(xiàn)場(chǎng)觀察,并調(diào)閱自查、等級(jí)測(cè)評(píng)或上次評(píng)估報(bào)告(如果有),對(duì)受評(píng)方網(wǎng)絡(luò)與系統(tǒng)的安全保護(hù)現(xiàn)狀和管理現(xiàn)狀等進(jìn)行取證，取得足夠的證據(jù)和事實(shí)資料，在與受評(píng)方對(duì)口人充分溝通確認(rèn)的基礎(chǔ)上,開(kāi)展隊(duì)內(nèi)研討、分析與總結(jié)活動(dòng),綜合形成觀察意見(jiàn)和基本問(wèn)題描述,總結(jié)形成強(qiáng)項(xiàng)和待改進(jìn)項(xiàng),并形成評(píng)估報(bào)告初稿。編寫(xiě)評(píng)估報(bào)告。編寫(xiě)評(píng)估報(bào)告是總結(jié)受評(píng)方網(wǎng)絡(luò)和系統(tǒng)整體安全保護(hù)能力的綜合評(píng)估活動(dòng),根據(jù)現(xiàn)場(chǎng)評(píng)估結(jié)果和評(píng)估領(lǐng)域的業(yè)績(jī)目標(biāo)與準(zhǔn)則的相關(guān)要求，定位受評(píng)方網(wǎng)絡(luò)和系統(tǒng)的安全保護(hù)現(xiàn)狀,重點(diǎn)分析和評(píng)估受評(píng)方網(wǎng)絡(luò)和系統(tǒng)安全管理績(jī)效與業(yè)績(jī)目標(biāo)之間的差距,并分析這些差距導(dǎo)致的受評(píng)方網(wǎng)絡(luò)和系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出評(píng)估結(jié)論,形成評(píng)估報(bào)告,可包括相關(guān)整改建議。評(píng)估回訪。一般在4-10個(gè)月后發(fā)出跟蹤回訪通知,開(kāi)展現(xiàn)場(chǎng)跟蹤回訪,編寫(xiě)跟蹤回訪結(jié)果報(bào)告,經(jīng)評(píng)估方審定后正式發(fā)給受評(píng)方。在同行評(píng)估工作全過(guò)程中，規(guī)范行為是開(kāi)展同行評(píng)估工作的基本要求之一。評(píng)規(guī)范行為包括：過(guò)程規(guī)范，包括：制定內(nèi)部保密制度；制定過(guò)程控制制度規(guī)定相關(guān)文檔評(píng)審流程；指定專人負(fù)責(zé)保管同行評(píng)估的歸檔文件；等等。評(píng)估員的行為應(yīng)規(guī)范，包括：評(píng)估員進(jìn)入現(xiàn)場(chǎng)佩戴工作牌；使用評(píng)估專用的計(jì)算機(jī)和工具；嚴(yán)格按照評(píng)估任務(wù)作業(yè)指導(dǎo)書(shū),使用規(guī)范的評(píng)估技術(shù)進(jìn)行評(píng)估；準(zhǔn)確記錄評(píng)估證據(jù)；不擅自評(píng)價(jià)評(píng)估結(jié)果；不將評(píng)估結(jié)果復(fù)制給非評(píng)估員；涉及受評(píng)方的工作秘密或敏感信息的相關(guān)資料，只在指定場(chǎng)所查看，查看完成后立即歸還；等等。同行評(píng)估中的業(yè)績(jī)目標(biāo)與準(zhǔn)則同行評(píng)估聚焦于發(fā)現(xiàn)管理缺陷，其立足點(diǎn)和依據(jù)就是評(píng)估領(lǐng)域的業(yè)績(jī)目標(biāo)。該業(yè)績(jī)目標(biāo)的設(shè)定應(yīng)反映所在行業(yè)該評(píng)估領(lǐng)域的最新和最佳業(yè)務(wù)實(shí)踐，為各級(jí)管理者不斷追求卓越設(shè)定管理績(jī)效目標(biāo),為達(dá)成相應(yīng)的績(jī)效目標(biāo)設(shè)立評(píng)估參考要素。同行評(píng)估中的風(fēng)險(xiǎn)規(guī)避規(guī)避風(fēng)險(xiǎn)是開(kāi)展同行評(píng)估工作的基本要求之一。所謂規(guī)避風(fēng)險(xiǎn)，是指要充分估計(jì)同行評(píng)估可能給受評(píng)方帶來(lái)的影響，向受評(píng)方揭示風(fēng)險(xiǎn)，要求其提前采取預(yù)防措施進(jìn)行規(guī)避。風(fēng)險(xiǎn)規(guī)避的行為主要包括：評(píng)估方也應(yīng)采取與受評(píng)方簽署相關(guān)協(xié)議和授權(quán)書(shū)(委托評(píng)估協(xié)議、保密協(xié)議、現(xiàn)場(chǎng)評(píng)估授權(quán)書(shū))要求受評(píng)方進(jìn)行系統(tǒng)備份、規(guī)范評(píng)估活動(dòng)、及時(shí)與受評(píng)方溝通等措施規(guī)避風(fēng)險(xiǎn),盡量避免給受評(píng)方和評(píng)估方等帶來(lái)潛在影響。應(yīng)對(duì)評(píng)估資料和評(píng)估結(jié)果按照受評(píng)方和國(guó)家相關(guān)要求做好保密工作，可采取簽訂保密協(xié)議、最小接觸原則、職業(yè)道德評(píng)估、人員保密管理、設(shè)備保密管理、文檔保密管理等控制措施，明確問(wèn)責(zé)和追責(zé)等相關(guān)要求，保證同行評(píng)估過(guò)程中產(chǎn)生、接觸的所有記錄、數(shù)據(jù)、文件和報(bào)告等評(píng)估結(jié)果的安全和保密。最終評(píng)估報(bào)告只分發(fā)給受評(píng)方以及在評(píng)估方內(nèi)部留存。未經(jīng)受評(píng)方和評(píng)估方的許可，評(píng)估報(bào)告不得向第三方透露。評(píng)估員完成評(píng)估離開(kāi)現(xiàn)場(chǎng)后，不得討論任何關(guān)于該次評(píng)估的專門(mén)結(jié)果。同行評(píng)估完成后，所有受評(píng)方信息留在現(xiàn)場(chǎng)。在征得受評(píng)方同意的情況下，評(píng)估員可以最大限度地利用獲得的經(jīng)驗(yàn)，包括帶走程序、大綱和導(dǎo)則等。在向其他受評(píng)方介紹強(qiáng)項(xiàng)時(shí)，也需要征得受評(píng)方的許可。網(wǎng)絡(luò)安全同行評(píng)估任務(wù)設(shè)計(jì)評(píng)估的工作目標(biāo)及基本思路同行評(píng)估工作是針對(duì)受評(píng)方持續(xù)提升網(wǎng)絡(luò)安全防護(hù)能力和持續(xù)打贏網(wǎng)絡(luò)安全保衛(wèi)戰(zhàn)的目標(biāo)而開(kāi)展的。圖5-1給出了網(wǎng)絡(luò)安全同行評(píng)估工作的目標(biāo)和基本思路。評(píng)估方在組織開(kāi)展同行評(píng)估的全過(guò)程中都應(yīng)該圍繞工作目標(biāo)進(jìn)行受評(píng)方的特點(diǎn)及其所處的內(nèi)外部環(huán)境分析、外部網(wǎng)絡(luò)安全威脅分析、關(guān)鍵數(shù)字資產(chǎn)的識(shí)別和自身脆弱性分析、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別和防護(hù)策略的評(píng)估和優(yōu)化等。其中，可以應(yīng)用PEST分析、SWOT分析、風(fēng)險(xiǎn)評(píng)估、平衡計(jì)分卡和對(duì)標(biāo)分析等思路和方法。圖5-1網(wǎng)絡(luò)安全同行評(píng)估工作的目標(biāo)和基本思路評(píng)估評(píng)估內(nèi)容同行評(píng)估內(nèi)容確定方法同行評(píng)估內(nèi)容的確定方法通常包括全覆蓋法、重點(diǎn)項(xiàng)抽取法、增項(xiàng)評(píng)估法和綜合域及其評(píng)估項(xiàng)。全覆蓋法。選取受評(píng)方網(wǎng)絡(luò)安全九大領(lǐng)域的全部?jī)?nèi)容或某個(gè)領(lǐng)域的所有子領(lǐng)。重點(diǎn)項(xiàng)抽取法。根據(jù)國(guó)家主管部門(mén)或受評(píng)方對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全評(píng)估工作的實(shí)際預(yù)期和目標(biāo)需求，從評(píng)估領(lǐng)域中確定重點(diǎn)子領(lǐng)域、重點(diǎn)系統(tǒng)或評(píng)估項(xiàng)，只評(píng)估重點(diǎn)項(xiàng)。增項(xiàng)評(píng)估法。根據(jù)國(guó)家主管部門(mén)或受評(píng)方對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全評(píng)估工作的實(shí)際預(yù)期和目標(biāo)的需求，新增現(xiàn)有評(píng)估標(biāo)準(zhǔn)中未包含的評(píng)估項(xiàng)。綜合評(píng)估法。對(duì)于評(píng)估內(nèi)容不僅可以采取單一方法進(jìn)行選擇，而且可以根據(jù)評(píng)估目的將多種方法相結(jié)合，如同時(shí)采用重點(diǎn)項(xiàng)抽取法和增項(xiàng)評(píng)估法，由受評(píng)方與評(píng)估方協(xié)商確定評(píng)估內(nèi)容。同行評(píng)估內(nèi)容確定原則同行評(píng)估內(nèi)容的確定原則一般包括威脅與脆弱性識(shí)別原則、與等級(jí)測(cè)評(píng)等互補(bǔ)原則、恰當(dāng)選取和保證強(qiáng)度原則以及聚焦管理弱項(xiàng)原則。威脅與脆弱性識(shí)別原則。評(píng)估員應(yīng)基于對(duì)受評(píng)方可能面臨的外部網(wǎng)絡(luò)威脅和自身可能存在的脆弱性等的經(jīng)驗(yàn)判斷，與受評(píng)方共同確定評(píng)估的重點(diǎn)內(nèi)容。受評(píng)方應(yīng)針對(duì)自有IT資產(chǎn)尤其是關(guān)鍵信息資產(chǎn)的脆弱性進(jìn)行識(shí)別和自評(píng)估。與等級(jí)測(cè)評(píng)等互補(bǔ)原則。在確定評(píng)估內(nèi)容時(shí)，可充分利用評(píng)估對(duì)象已有的最新等級(jí)測(cè)評(píng)等工作的報(bào)告成果，同時(shí)應(yīng)特別關(guān)注和選擇未測(cè)評(píng)或未檢查的其他系統(tǒng)或業(yè)務(wù)領(lǐng)域，識(shí)別和評(píng)估其中可能存在的網(wǎng)絡(luò)安全盲區(qū)、風(fēng)險(xiǎn)和問(wèn)題。恰當(dāng)選取和保證強(qiáng)度原則。選取的具體評(píng)估對(duì)象要恰當(dāng)，既要避免漏選重要的對(duì)象、可能存在安全隱患的對(duì)象，也要避免由于過(guò)多選擇而使得工作量過(guò)大，要達(dá)到與評(píng)估對(duì)象對(duì)應(yīng)風(fēng)險(xiǎn)大小及其重要性相適應(yīng)的評(píng)估強(qiáng)度。聚焦管理弱項(xiàng)原則。特別需要指出的是，同行評(píng)估不同于等級(jí)測(cè)評(píng)等活動(dòng)，不能過(guò)于陷入或限于技術(shù)評(píng)估或測(cè)評(píng)驗(yàn)證，應(yīng)基于事實(shí)偏差，從提升網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力和打造網(wǎng)絡(luò)安全文化的高度，按照追求卓越的理念，聚焦管理，發(fā)現(xiàn)管理弱項(xiàng)和重要偏差及其根本原因。明確同行評(píng)估的任務(wù)同行評(píng)估是以持續(xù)提升受評(píng)方網(wǎng)絡(luò)安全防護(hù)能力和持續(xù)打贏網(wǎng)絡(luò)安全保衛(wèi)戰(zhàn)為目標(biāo)，以網(wǎng)絡(luò)安全業(yè)績(jī)目標(biāo)與準(zhǔn)則為基準(zhǔn)，以有效貫徹落實(shí)網(wǎng)絡(luò)安全“三同步”原則、著力提升受評(píng)方網(wǎng)絡(luò)安全本體和本質(zhì)安全水平為根本，在受評(píng)方自查和等級(jí)測(cè)評(píng)等相關(guān)工作的基礎(chǔ)上，通過(guò)評(píng)估方組織的同行專家力量，協(xié)助受評(píng)方全面落實(shí)網(wǎng)絡(luò)安全保護(hù)“三化六防”措施的系統(tǒng)性方法。開(kāi)展同行評(píng)估，應(yīng)該基于內(nèi)外部環(huán)境的分析，針對(duì)受評(píng)方（關(guān)鍵）數(shù)字化資產(chǎn)，協(xié)助受評(píng)方識(shí)別內(nèi)外部威脅和數(shù)字化資產(chǎn)的脆弱性。同行評(píng)估任務(wù)的設(shè)計(jì)應(yīng)該具有全面性和系統(tǒng)性，應(yīng)該抓住關(guān)鍵數(shù)字資產(chǎn)，著力發(fā)現(xiàn)短板弱項(xiàng)，應(yīng)該聚焦管理，以追求卓越的工作精神切實(shí)識(shí)別出受評(píng)方在網(wǎng)絡(luò)安全領(lǐng)域的待改進(jìn)項(xiàng)，并從受評(píng)方網(wǎng)絡(luò)安全技術(shù)管理、運(yùn)維和監(jiān)督等方面提出系統(tǒng)性和有針對(duì)性的待改進(jìn)項(xiàng)和改進(jìn)措施建議。在確定同行評(píng)估任務(wù)時(shí)，應(yīng)考慮網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全建設(shè)管理、網(wǎng)絡(luò)基礎(chǔ)設(shè)施物理環(huán)境安全、網(wǎng)絡(luò)安全運(yùn)維管理能力、網(wǎng)絡(luò)安全監(jiān)測(cè)防護(hù)能力、網(wǎng)絡(luò)安全管理體系及其執(zhí)行有效性、全員網(wǎng)絡(luò)安全意識(shí)和基本技能、網(wǎng)絡(luò)安全整體領(lǐng)導(dǎo)力和推進(jìn)力8個(gè)基本內(nèi)容，同時(shí)應(yīng)針對(duì)受評(píng)方的6個(gè)關(guān)鍵典型網(wǎng)絡(luò)和信息系統(tǒng)（包括工控系統(tǒng)、生產(chǎn)管理系統(tǒng)、經(jīng)營(yíng)管理系統(tǒng)、移動(dòng)應(yīng)用系統(tǒng)、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)以及集權(quán)類系統(tǒng)）的本體管理進(jìn)重評(píng)估14大類典型評(píng)估任務(wù)為基礎(chǔ)，評(píng)估和發(fā)現(xiàn)其中的事實(shí)偏差、業(yè)績(jī)偏差和待改進(jìn)項(xiàng)，對(duì)受評(píng)方的網(wǎng)絡(luò)安全整體防護(hù)能力開(kāi)展網(wǎng)絡(luò)安全總體評(píng)估，盡可能分享和提出富有實(shí)效的改進(jìn)建議。網(wǎng)絡(luò)安全同行評(píng)估的組織及流程評(píng)估組織與成員同行評(píng)估組織涉及同行評(píng)估活動(dòng)的組織方、評(píng)估隊(duì)以及受評(píng)方，其核心是評(píng)估隊(duì)。評(píng)估隊(duì)的成員主要包括領(lǐng)隊(duì)/副領(lǐng)隊(duì)、隊(duì)長(zhǎng)/副隊(duì)長(zhǎng)、協(xié)調(diào)員、領(lǐng)域評(píng)估員等。根據(jù)工作需要，也可配置觀察員、離場(chǎng)代表、顧問(wèn)、秘書(shū)等角色。受評(píng)方應(yīng)對(duì)等指定各個(gè)角色的對(duì)口人。同行評(píng)估隊(duì)的構(gòu)成及評(píng)估方和受評(píng)方工作接口如圖6-1所示：圖6-1同行評(píng)估隊(duì)構(gòu)成及評(píng)估方和受評(píng)方工作接口領(lǐng)隊(duì)/副領(lǐng)隊(duì)領(lǐng)隊(duì)一般由評(píng)估方的相關(guān)領(lǐng)導(dǎo)擔(dān)任。領(lǐng)隊(duì)?wèi)?yīng)全面理解和掌握同行評(píng)估工作體系、特點(diǎn)和方法,秉持同行評(píng)估精神,引領(lǐng)評(píng)估隊(duì)聚焦管理并不斷追求卓越?？紤]到領(lǐng)隊(duì)可能在現(xiàn)場(chǎng)評(píng)估期間無(wú)法全程參加評(píng)估工作，可指定一名副領(lǐng)隊(duì)，全面協(xié)助領(lǐng)隊(duì)工作，或必要時(shí)代行領(lǐng)隊(duì)職責(zé)。領(lǐng)隊(duì)的主要責(zé)任如下：推動(dòng)評(píng)估工作的全面實(shí)施。代表評(píng)估方全面指導(dǎo)同行評(píng)估工作,統(tǒng)領(lǐng)全隊(duì)工作,并對(duì)重要敏感問(wèn)題提供決策意見(jiàn)。挑選合格的人員參與評(píng)估活動(dòng),組建評(píng)估隊(duì)。協(xié)調(diào)評(píng)估活動(dòng)相關(guān)各方關(guān)系,保障評(píng)估工作的順利開(kāi)展。為同行評(píng)估工作提供專家技術(shù)支持。對(duì)評(píng)估結(jié)果保密。隊(duì)長(zhǎng)/副隊(duì)長(zhǎng)隊(duì)長(zhǎng)是整個(gè)評(píng)估隊(duì)的核心和關(guān)鍵角色，一般由具有豐富的本行業(yè)網(wǎng)絡(luò)安全管理和實(shí)戰(zhàn)化指揮經(jīng)驗(yàn)的領(lǐng)導(dǎo)或權(quán)威專家擔(dān)任。隊(duì)長(zhǎng)應(yīng)全面了解和掌握同行評(píng)估工作體系和特點(diǎn)、評(píng)估準(zhǔn)則和具體評(píng)估方法,具備相當(dāng)于等級(jí)保護(hù)高級(jí)測(cè)評(píng)師的專業(yè)技術(shù)和管理協(xié)調(diào)能力。隊(duì)長(zhǎng)的主要責(zé)任如下：領(lǐng)導(dǎo)評(píng)估員樹(shù)立高標(biāo)準(zhǔn)評(píng)估目標(biāo),并指導(dǎo)評(píng)估員達(dá)到高標(biāo)準(zhǔn)的期望,培訓(xùn)和指導(dǎo)評(píng)估員。對(duì)評(píng)估結(jié)果負(fù)責(zé),確保完成高標(biāo)準(zhǔn)的評(píng)估報(bào)告,并幫助受評(píng)方在評(píng)估領(lǐng)域追求卓越。與受評(píng)方保持良好的聯(lián)系,以保證其理解評(píng)估隊(duì)所發(fā)現(xiàn)問(wèn)題的重要性。通常直接負(fù)責(zé)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力以及管理保障體系等領(lǐng)域的評(píng)估。主持隊(duì)會(huì),制訂每日隊(duì)會(huì)計(jì)劃;主持網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力創(chuàng)新工作坊;主持有關(guān)挑戰(zhàn)會(huì)。批改報(bào)告,包括觀察報(bào)告和待改進(jìn)項(xiàng)報(bào)告,編寫(xiě)最終評(píng)估報(bào)告中的部分章節(jié)。對(duì)評(píng)估結(jié)果保密。一般同時(shí)指定一名副隊(duì)長(zhǎng)協(xié)助隊(duì)長(zhǎng)開(kāi)展工作。副隊(duì)長(zhǎng)的主要責(zé)任如下：負(fù)責(zé)管理保障體系等領(lǐng)域的評(píng)估。指導(dǎo)評(píng)估員開(kāi)展工作。批改報(bào)告,包括觀察報(bào)告和待改進(jìn)項(xiàng)報(bào)告。負(fù)責(zé)評(píng)估隊(duì)與受評(píng)方之間的協(xié)調(diào)。對(duì)評(píng)估結(jié)果保密。協(xié)調(diào)員協(xié)調(diào)員是整個(gè)評(píng)估隊(duì)評(píng)估工作的信息樞紐,負(fù)責(zé)評(píng)估隊(duì)所有日常工作的計(jì)劃、組織、安排、溝通和協(xié)調(diào)。一般由受評(píng)方指定一名熟悉同行評(píng)估工作的專職人員擔(dān)任協(xié)調(diào)員。其責(zé)任如下：幫助組建評(píng)估隊(duì)。審核評(píng)估期間產(chǎn)生的所有文件，確保其滿足評(píng)估要求。協(xié)調(diào)觀察、訪談等評(píng)估活動(dòng)安排,在評(píng)估前后保持與受評(píng)方的長(zhǎng)久聯(lián)系。吸收隊(duì)長(zhǎng)的意見(jiàn)，編寫(xiě)評(píng)估結(jié)論報(bào)告,確保評(píng)估方同行評(píng)估報(bào)告的一致性。幫助整個(gè)評(píng)估過(guò)程順利實(shí)施。協(xié)調(diào)后勤保障等工作。對(duì)評(píng)估結(jié)果保密。協(xié)調(diào)員的對(duì)口人，也就是受評(píng)方協(xié)調(diào)員,負(fù)責(zé)協(xié)調(diào)評(píng)估隊(duì)與受評(píng)方之間的工作和信息溝通，支持評(píng)估隊(duì)的工作，提供受評(píng)方重要活動(dòng)安排，幫助評(píng)估員確定有意義的觀察活動(dòng)。評(píng)估員評(píng)估員是評(píng)估隊(duì)的主要成員,具備與受評(píng)方所在行業(yè)和專業(yè)領(lǐng)域豐富的實(shí)際工作經(jīng)驗(yàn)，全面了解和較好地掌握同行評(píng)估工作的特點(diǎn)、體系和方法，具備網(wǎng)絡(luò)安全專業(yè)能力。由于評(píng)估員與受評(píng)方的領(lǐng)域?qū)谌嗣媾R著類似的挑戰(zhàn)，承擔(dān)著類似的職責(zé),因此也就面臨更多類似的現(xiàn)場(chǎng)實(shí)際問(wèn)題，在評(píng)估工作的全過(guò)程中就有更多的共鳴和共識(shí),有助于同行之間更深人、有效地交流與分享。這也是同行評(píng)估與等級(jí)測(cè)評(píng)等工作的一個(gè)重要的不同點(diǎn)。評(píng)估員的主要責(zé)任如下：負(fù)責(zé)一個(gè)領(lǐng)域的評(píng)估工作。以事實(shí)和報(bào)告說(shuō)明受評(píng)方的問(wèn)題所在。靈活、有效、積極地幫助整個(gè)評(píng)估隊(duì)的工作。進(jìn)行查閱文件、人員訪談和現(xiàn)場(chǎng)觀察等評(píng)估活動(dòng),填寫(xiě)記錄卡片，編寫(xiě)觀察報(bào)告,編寫(xiě)所負(fù)責(zé)領(lǐng)域的評(píng)估結(jié)論報(bào)告(領(lǐng)域小結(jié))。與其他評(píng)估員和受評(píng)方領(lǐng)域?qū)谌斯蚕斫?jīng)驗(yàn)和信息。向受評(píng)方的領(lǐng)域?qū)谌撕凸芾韺咏榻B本領(lǐng)域的強(qiáng)項(xiàng)和待改進(jìn)項(xiàng)。對(duì)評(píng)估結(jié)果保密。根據(jù)網(wǎng)絡(luò)安全工作的特點(diǎn),一般建議配備8-10名評(píng)估員，兩人一組，分別負(fù)責(zé)受評(píng)方網(wǎng)絡(luò)安全總體情況(總體組)、工控系統(tǒng)等核心生產(chǎn)系統(tǒng)和重要生產(chǎn)管理系統(tǒng)(生產(chǎn)應(yīng)用組)、經(jīng)營(yíng)管理辦公系統(tǒng)(內(nèi)網(wǎng)應(yīng)用組)、移動(dòng)互聯(lián)系統(tǒng)(移動(dòng)應(yīng)用組)以及基礎(chǔ)設(shè)施與運(yùn)維監(jiān)測(cè)(運(yùn)維監(jiān)測(cè)組)。每組人員的專業(yè)經(jīng)驗(yàn)、所在單位和評(píng)估經(jīng)驗(yàn)等方面按照互補(bǔ)原則盡量合理搭配，以便在評(píng)估工作過(guò)程中更有效地分享不同單位和個(gè)人的實(shí)踐經(jīng)驗(yàn)。同時(shí),評(píng)估隊(duì)隊(duì)長(zhǎng)要明確指定每個(gè)領(lǐng)域的評(píng)估負(fù)責(zé)人，由領(lǐng)域評(píng)估員統(tǒng)籌負(fù)責(zé)指定領(lǐng)域的全面評(píng)估工作,重點(diǎn)是組織研判、發(fā)現(xiàn)、研討、編制和報(bào)告本領(lǐng)域的待改進(jìn)項(xiàng)、強(qiáng)項(xiàng)以及領(lǐng)域評(píng)估小結(jié)等。觀察員為建設(shè)和培養(yǎng)高水平行業(yè)級(jí)網(wǎng)絡(luò)安全同行評(píng)估隊(duì)伍，通過(guò)評(píng)估實(shí)戰(zhàn)開(kāi)展同行評(píng)估人才實(shí)訓(xùn)，經(jīng)雙方同意，有時(shí)也指定若干觀察員，參與現(xiàn)場(chǎng)同行評(píng)估工作。其責(zé)任如下：觀摩評(píng)估過(guò)程,學(xué)習(xí)評(píng)估方法，積累評(píng)估經(jīng)驗(yàn)。參與評(píng)估活動(dòng),包括培訓(xùn)和現(xiàn)場(chǎng)評(píng)估活動(dòng)。填寫(xiě)評(píng)估記錄卡，協(xié)助本領(lǐng)域評(píng)估員編寫(xiě)觀察報(bào)告和評(píng)估結(jié)論報(bào)告(領(lǐng)域小結(jié))。對(duì)評(píng)估結(jié)果保密。其他角色為了更有效地進(jìn)行評(píng)估方和受評(píng)方之間的溝通,增進(jìn)對(duì)評(píng)估重大事項(xiàng)或偏差的理解和共識(shí),雙方可明確一名第三方業(yè)內(nèi)權(quán)威同行專家擔(dān)任離場(chǎng)代表；為了使評(píng)估工作更加科學(xué)、客觀和有效,雙方也可聘請(qǐng)若干名顧問(wèn)。此外,可以由受評(píng)方配備一名秘書(shū),協(xié)助協(xié)調(diào)員承擔(dān)文檔、交通、后勤和會(huì)務(wù)等管理工作。評(píng)估準(zhǔn)備管理者的支持同行評(píng)估活動(dòng)需要盡可能獲得最高管理者對(duì)同行評(píng)估的支持。最高管理者的支持會(huì)將同行評(píng)估的重要性傳達(dá)給每個(gè)員工，并為同行評(píng)估提供必要的人力和物力支持，便于同行評(píng)估的順利開(kāi)展，因此同行評(píng)估獲得最高管理者的支持至關(guān)重要。準(zhǔn)備活動(dòng)輸出文檔準(zhǔn)備活動(dòng)需要輸出的文檔包括以下內(nèi)容：同行評(píng)估方案評(píng)估方指定評(píng)估協(xié)調(diào)員，妥評(píng)方指定對(duì)口工作負(fù)責(zé)人。雙方初步明確評(píng)估工作目標(biāo)和現(xiàn)場(chǎng)評(píng)估起止時(shí)間。評(píng)估方協(xié)調(diào)員擬定評(píng)估工作計(jì)劃，策劃組隊(duì)方案,包括聯(lián)系隊(duì)長(zhǎng)、副隊(duì)長(zhǎng)和領(lǐng)域評(píng)估員，收集隊(duì)員信息。受評(píng)方確認(rèn)領(lǐng)隊(duì)和隊(duì)長(zhǎng)。領(lǐng)隊(duì)和隊(duì)長(zhǎng)審定評(píng)估工作計(jì)劃。先期文件包協(xié)調(diào)員準(zhǔn)備先期文件包(AdvancedInformationPackage,AIP),包括AIP需求、后勤需求、對(duì)口人需求、評(píng)估初始文件等。與受評(píng)方工作負(fù)責(zé)人討論AIP需求、后勤需求、對(duì)口人需求、現(xiàn)場(chǎng)評(píng)估計(jì)劃。受評(píng)方確認(rèn)現(xiàn)場(chǎng)評(píng)估時(shí)間和評(píng)估隊(duì)組隊(duì)信息等。準(zhǔn)備活動(dòng)雙方職責(zé)評(píng)估方職責(zé)如下：向受評(píng)方介紹同行評(píng)估的意義和目的、評(píng)估流程和工作方法。了解受評(píng)方的網(wǎng)絡(luò)和系統(tǒng)建設(shè)狀況。指出受評(píng)方需提供的基本資料(先期文件包)。向受評(píng)方說(shuō)明評(píng)估工作自身的風(fēng)險(xiǎn)和規(guī)避方法。準(zhǔn)備受評(píng)網(wǎng)絡(luò)和系統(tǒng)基本情況調(diào)查表單。了解受評(píng)網(wǎng)絡(luò)和系統(tǒng)基本情況。初步分析受評(píng)網(wǎng)絡(luò)和系統(tǒng)的安全情況。準(zhǔn)備必要的評(píng)估工具和文檔。受評(píng)方職責(zé)如下：向評(píng)估組織方介紹本單位的網(wǎng)絡(luò)和系統(tǒng)建設(shè)狀況與發(fā)展情況。準(zhǔn)備評(píng)估隊(duì)需要的資料。為評(píng)估人員的信息收集提供支持和協(xié)調(diào)。根據(jù)受評(píng)網(wǎng)絡(luò)和系統(tǒng)的具體情況,如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)和系統(tǒng)運(yùn)維變更計(jì)劃等,為評(píng)估時(shí)間安排提供適宜的建議。提出、商定并簽署評(píng)估保密協(xié)議書(shū)，明確保密具體要求。必要時(shí)應(yīng)采取備份數(shù)據(jù)和系統(tǒng)等措施,制訂應(yīng)急預(yù)案。現(xiàn)場(chǎng)評(píng)估現(xiàn)場(chǎng)評(píng)估活動(dòng)工作流程現(xiàn)場(chǎng)評(píng)估是評(píng)估工作的核心,主要依據(jù)評(píng)估領(lǐng)域的業(yè)績(jī)目標(biāo)與評(píng)估準(zhǔn)則要求，將評(píng)估準(zhǔn)則的具體要求落實(shí)到實(shí)際評(píng)估工作中,通過(guò)對(duì)受評(píng)方的人員訪談、文件審閱、現(xiàn)場(chǎng)觀察,并調(diào)閱自查、等級(jí)測(cè)評(píng)或上次評(píng)估報(bào)告(如果有),對(duì)受評(píng)方網(wǎng)絡(luò)與系統(tǒng)的安全保護(hù)現(xiàn)狀和管理現(xiàn)狀等進(jìn)行取證，取得足夠的證據(jù)和事實(shí)資料,在與受評(píng)方對(duì)口人充分溝通確認(rèn)的基礎(chǔ)上,開(kāi)展隊(duì)內(nèi)研討、分析與總結(jié)活動(dòng)，綜合形成OBS和FOB,總結(jié)形成STR和AFI,并形成評(píng)估報(bào)告初稿。圖6-2給出了現(xiàn)場(chǎng)評(píng)估工作流程圖，圖6-3給出了實(shí)施現(xiàn)場(chǎng)觀察的具體流程。圖6-2現(xiàn)場(chǎng)評(píng)估活動(dòng)工作流程圖圖6-3現(xiàn)場(chǎng)觀察工作流程現(xiàn)場(chǎng)評(píng)估方法同行評(píng)估通常采用的方法主要包括電廠巡視、現(xiàn)場(chǎng)觀察、文件審閱和人員訪談等。電廠巡視電廠巡視是指對(duì)電廠的實(shí)際環(huán)境進(jìn)行巡視，發(fā)現(xiàn)在管理和技術(shù)上的待改進(jìn)項(xiàng)和優(yōu)勢(shì)。現(xiàn)場(chǎng)觀察評(píng)估人員通過(guò)觀察工作被如何執(zhí)行、執(zhí)行得如何、其后果如何，并詢問(wèn)工作是否可以進(jìn)一步提高或改善。然后確定一組事實(shí)，每一個(gè)事實(shí)都是一個(gè)偏差或未被做好的事,并且給出判斷的理由，即這樣做將會(huì)如何，最后編制形成觀察報(bào)告。評(píng)估人員進(jìn)行現(xiàn)場(chǎng)觀察之前，應(yīng)準(zhǔn)備好評(píng)估作業(yè)指導(dǎo)書(shū)、評(píng)估結(jié)果記錄表格等。開(kāi)展現(xiàn)場(chǎng)觀察時(shí),應(yīng)根據(jù)受評(píng)方的實(shí)際情況,在受評(píng)方對(duì)口人的陪同下，到系統(tǒng)運(yùn)行現(xiàn)場(chǎng)通過(guò)實(shí)地觀察相關(guān)人員的操作行為、技術(shù)設(shè)施和物理環(huán)境狀況，判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況,評(píng)估其是否符合相應(yīng)評(píng)估項(xiàng)的安全要求。針對(duì)不同等級(jí)系統(tǒng)的具體評(píng)估對(duì)象，在評(píng)估實(shí)施時(shí)有不同的強(qiáng)度要求?？傮w而言,在進(jìn)行現(xiàn)場(chǎng)觀察時(shí)，應(yīng)參照評(píng)估作業(yè)指導(dǎo)書(shū)選定的評(píng)估項(xiàng)基本要求，判斷實(shí)地觀察到的情況與制度和文檔中說(shuō)明的情況是否一致，核查相關(guān)設(shè)備、設(shè)施的有效性和位置的正確性，與系統(tǒng)設(shè)計(jì)方案的一致性。現(xiàn)場(chǎng)觀察完成后,應(yīng)做好現(xiàn)場(chǎng)觀察評(píng)估結(jié)果記錄，以評(píng)估項(xiàng)為單元,準(zhǔn)確描述每一個(gè)事實(shí)偏差,并與受評(píng)方對(duì)口人溝通確認(rèn)，寫(xiě)人觀察報(bào)告。文件審閱文件審閱是指評(píng)估人員通過(guò)對(duì)受評(píng)方支撐網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)與運(yùn)維的安全管理制度、工作記錄等文檔的核查，獲取證據(jù)以證明受評(píng)方網(wǎng)絡(luò)與信息系統(tǒng)的安全保護(hù)要求是否全面，安全保護(hù)規(guī)定是否得到執(zhí)行，是否有更有效的實(shí)踐可以應(yīng)用。評(píng)估人員在開(kāi)始文件審閱之前,應(yīng)根據(jù)自己承擔(dān)的評(píng)估任務(wù)需要,取得受評(píng)方對(duì)口人的支持，準(zhǔn)備好待審閱的主要文件，例如受評(píng)方網(wǎng)絡(luò)安全策略、安全方針文件、安全管理制度、安全管理的執(zhí)行過(guò)程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明、網(wǎng)絡(luò)安全設(shè)備或軟件的安全性測(cè)試報(bào)告、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等過(guò)程記錄文檔。在文件審閱中，側(cè)重進(jìn)行以下幾個(gè)核查工作：核查該任務(wù)評(píng)估作業(yè)指導(dǎo)書(shū)需評(píng)估的有關(guān)制度、策略、操作規(guī)程等文檔是否齊備。核查是否有完整的制度執(zhí)行情況記錄，如機(jī)房出入登記記錄、電子記錄、關(guān)鍵設(shè)備使用登記記錄等。核查安全策略以及技術(shù)相關(guān)文檔是否明確說(shuō)明了相關(guān)技術(shù)要求的實(shí)現(xiàn)方式。對(duì)上述文檔進(jìn)行審核與分析，核查其完整性和這些文檔之間的內(nèi)部一致性。針對(duì)不同等級(jí)系統(tǒng)的具體評(píng)估對(duì)象，在評(píng)估實(shí)施時(shí)有不同強(qiáng)度要求?？傮w而言，在進(jìn)行文件審閱時(shí),應(yīng)參照評(píng)估作業(yè)指導(dǎo)書(shū)選定的評(píng)估項(xiàng)基本要求，檢查文檔是否齊備且完整,并且所有文檔之間是否保持一致性。要求有執(zhí)行過(guò)程記錄的，過(guò)程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致。與實(shí)際情況保持一致，安全管理過(guò)程應(yīng)與系統(tǒng)設(shè)計(jì)方案保持一致且能夠有效地對(duì)系統(tǒng)進(jìn)行管理。文檔審閱完成后，應(yīng)做好文檔審閱評(píng)估結(jié)果記錄，以評(píng)估項(xiàng)為單元，準(zhǔn)確描述每一個(gè)事實(shí)偏差，并與對(duì)口人溝通確認(rèn)，寫(xiě)入觀察報(bào)告。人員訪談人員訪談是指評(píng)估員通過(guò)與受評(píng)方對(duì)口人進(jìn)行交流、討論等活動(dòng),獲取事實(shí)證據(jù)以證明網(wǎng)絡(luò)與信息系統(tǒng)的安全保護(hù)措施、管理體系及其運(yùn)行有效性以區(qū)是否追求卓越。在訪談開(kāi)始前，評(píng)估人員應(yīng)準(zhǔn)備好現(xiàn)場(chǎng)評(píng)估工作計(jì)劃、評(píng)估作業(yè)指導(dǎo)書(shū)以及評(píng)估結(jié)果記錄表格等。訪談評(píng)估時(shí)，評(píng)估員與受評(píng)方對(duì)口人進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。評(píng)估員應(yīng)側(cè)重識(shí)別和發(fā)現(xiàn)受評(píng)方的實(shí)踐與評(píng)估項(xiàng)的要求，存在的事實(shí)偏差以及偏差原因，相關(guān)補(bǔ)償措施和潛在風(fēng)險(xiǎn)等。在訪談范圍上，不同評(píng)估任務(wù)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在分類基礎(chǔ)上抽樣。訪談完成后,應(yīng)做好訪談評(píng)估結(jié)果記錄，以評(píng)估項(xiàng)為單元，準(zhǔn)確描述每一個(gè)事實(shí)偏差，并與對(duì)口人溝通確認(rèn)，寫(xiě)入觀察報(bào)告?，F(xiàn)場(chǎng)評(píng)估活動(dòng)輸出文檔現(xiàn)場(chǎng)評(píng)估活動(dòng)主要輸出文檔為觀察報(bào)告的草版文件。進(jìn)行現(xiàn)場(chǎng)評(píng)估并編制觀察報(bào)告是現(xiàn)場(chǎng)評(píng)估階段最基礎(chǔ)和最關(guān)鍵的工作,一般安排3-4天時(shí)間。評(píng)估員通過(guò)觀察、訪談、查閱資料等方法以及隊(duì)員之間、隊(duì)員與受評(píng)方對(duì)口人之間交流、研討和確認(rèn)等方式，按照評(píng)估任務(wù)作業(yè)指導(dǎo)書(shū)選定的領(lǐng)域業(yè)績(jī)目標(biāo)與評(píng)估準(zhǔn)則,開(kāi)始現(xiàn)場(chǎng)評(píng)估。按照事實(shí)(偏差)、觀察報(bào)告的編寫(xiě)要求，及時(shí)做好有關(guān)評(píng)估記錄。每日評(píng)估員開(kāi)展現(xiàn)場(chǎng)具體評(píng)估工作,起草事實(shí)和觀察小結(jié),與受評(píng)方對(duì)口人澄清確認(rèn)觀察意見(jiàn)；當(dāng)天現(xiàn)場(chǎng)評(píng)估結(jié)束后召開(kāi)評(píng)估隊(duì)日會(huì)，報(bào)告當(dāng)日重要發(fā)現(xiàn)，交流關(guān)注問(wèn)題，及時(shí)調(diào)整補(bǔ)充具體評(píng)估作業(yè)內(nèi)容；每天全隊(duì)成員集中辦公,評(píng)估員及時(shí)歸納編寫(xiě)和修訂觀察報(bào)告，隊(duì)內(nèi)開(kāi)展必要的補(bǔ)充培訓(xùn)、交流和研討。現(xiàn)場(chǎng)評(píng)估前期工作重點(diǎn)是確保在各項(xiàng)評(píng)估任務(wù)對(duì)應(yīng)的評(píng)估領(lǐng)域中發(fā)現(xiàn)的事實(shí)的質(zhì)量，現(xiàn)場(chǎng)評(píng)估后期應(yīng)及時(shí)將工作重點(diǎn)轉(zhuǎn)移到評(píng)估事實(shí)數(shù)據(jù)分析、起草編制基本問(wèn)題描述以及待改進(jìn)項(xiàng)初稿上，并加強(qiáng)隊(duì)內(nèi)討論，補(bǔ)充評(píng)估具體內(nèi)容，保證支撐待改進(jìn)項(xiàng)事實(shí)的數(shù)量；同步加強(qiáng)評(píng)估員與受評(píng)方對(duì)口人的事實(shí)溝通、補(bǔ)充和確認(rèn)工作。各角色在現(xiàn)場(chǎng)評(píng)估期間需要注重協(xié)同協(xié)作，有序、高效和高質(zhì)量地開(kāi)展現(xiàn)場(chǎng)評(píng)估各項(xiàng)工作。在現(xiàn)場(chǎng)評(píng)估開(kāi)始前,評(píng)估員應(yīng)明確告知受評(píng)方評(píng)估過(guò)程中的可能風(fēng)險(xiǎn)。例如，要使用安全檢測(cè)工具對(duì)系統(tǒng)或網(wǎng)絡(luò)等進(jìn)行必要的檢測(cè),該類檢測(cè)應(yīng)取得受評(píng)方的同意。具體實(shí)施前,應(yīng)在風(fēng)險(xiǎn)分析的基礎(chǔ)上，采取系統(tǒng)和數(shù)據(jù)備份、受評(píng)方對(duì)口人全程監(jiān)視或直接親自操作等方式規(guī)避風(fēng)險(xiǎn)?，F(xiàn)場(chǎng)評(píng)估活動(dòng)中雙方職責(zé)評(píng)估方職責(zé)如下:利用人員訪談、文檔審閱、現(xiàn)場(chǎng)觀察、配置核查和安全測(cè)試等方法評(píng)估系統(tǒng)及其運(yùn)維管理的保護(hù)措施,對(duì)標(biāo)業(yè)績(jī)目標(biāo)與評(píng)估準(zhǔn)則,找出偏差項(xiàng)。組織召開(kāi)現(xiàn)場(chǎng)評(píng)估培訓(xùn)研討、挑戰(zhàn)會(huì)以及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力專題創(chuàng)新工作坊。對(duì)受評(píng)方提交的強(qiáng)項(xiàng)申報(bào)情況進(jìn)行評(píng)估,確定是否存在強(qiáng)項(xiàng)。受評(píng)方職責(zé)如下:協(xié)調(diào)受評(píng)網(wǎng)絡(luò)和系統(tǒng)內(nèi)部相關(guān)對(duì)口人的工作關(guān)系，配合評(píng)估工作的開(kāi)展。回答評(píng)估員的問(wèn)題，對(duì)某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行這要的驗(yàn)證操作。確有必要時(shí)，協(xié)助評(píng)估員實(shí)施工具測(cè)試?yán)w提供有效建議、降低評(píng)估對(duì)系統(tǒng)運(yùn)行的影響。協(xié)助評(píng)估員完成業(yè)務(wù)相關(guān)內(nèi)容的問(wèn)題驗(yàn)證和測(cè)試。相關(guān)對(duì)口人對(duì)評(píng)估結(jié)果進(jìn)行確認(rèn)。報(bào)告編制在離場(chǎng)會(huì)議紀(jì)要和評(píng)估報(bào)告初稿基礎(chǔ)上，受評(píng)方可以對(duì)初稿進(jìn)一步反饋意見(jiàn)，各領(lǐng)域評(píng)估員完善其負(fù)責(zé)的領(lǐng)域的最終評(píng)估結(jié)論，由協(xié)調(diào)員匯總編制評(píng)估總報(bào)告，經(jīng)評(píng)估隊(duì)隊(duì)長(zhǎng)審定修改，投評(píng)估方內(nèi)部審批流程進(jìn)行審批，一般應(yīng)該在離場(chǎng)后一個(gè)月內(nèi)正式發(fā)送受評(píng)方，評(píng)估方保留一份。圖6-4展示了報(bào)告編制活動(dòng)的工作流程。圖6-4報(bào)告編制活動(dòng)工作流程評(píng)估回訪評(píng)估回訪工作流程現(xiàn)場(chǎng)評(píng)估結(jié)束后，評(píng)估員返回各自的單位，但評(píng)估活動(dòng)還未最終結(jié)束。5個(gè)月后，協(xié)會(huì)將組織評(píng)估隊(duì)部分隊(duì)員回訪被評(píng)核電廠，交流改進(jìn)情況。評(píng)估回訪工作流程如圖6-5所示：圖6-5評(píng)估回訪工作流程評(píng)估回訪的目的評(píng)估回訪的目的是加強(qiáng)與受評(píng)方的進(jìn)一步交流。受評(píng)方在6-10個(gè)月內(nèi)對(duì)評(píng)估隊(duì)提出的待改進(jìn)項(xiàng)的整改情況。評(píng)估回訪的內(nèi)容現(xiàn)場(chǎng)評(píng)估結(jié)束離場(chǎng)后,評(píng)估員返回各自單位,但評(píng)估活動(dòng)還未最終結(jié)束，評(píng)估方需在一個(gè)月內(nèi)正式簽發(fā)評(píng)估報(bào)告。受評(píng)方根據(jù)評(píng)估報(bào)告中指出的待改進(jìn)項(xiàng)及其改進(jìn)建議制訂相應(yīng)的改進(jìn)計(jì)劃,并有效組織實(shí)施。根據(jù)受評(píng)方的需要，一般在4-10個(gè)月后，評(píng)估方發(fā)出跟蹤回訪通知,組織部分評(píng)估員開(kāi)展現(xiàn)場(chǎng)跟蹤回訪,編寫(xiě)跟蹤回訪結(jié)果報(bào)告,評(píng)估方審定后正式提交給受評(píng)方。評(píng)估回訪隊(duì)組成回訪成員一般包括領(lǐng)隊(duì)或副領(lǐng)隊(duì)、隊(duì)長(zhǎng)或副隊(duì)長(zhǎng)以及協(xié)調(diào)員，以及不超過(guò)隊(duì)員半數(shù)的原評(píng)估員。盡量安排最終評(píng)估報(bào)告中各待改進(jìn)項(xiàng)對(duì)應(yīng)的領(lǐng)域評(píng)估員參加。評(píng)估回訪對(duì)象和結(jié)論評(píng)估回訪以只關(guān)注受評(píng)方對(duì)待改進(jìn)項(xiàng)的整改落實(shí)情況?；卦L