《核能行業(yè)網(wǎng)絡(luò)安全同行評估與成員支持活動實施導(dǎo)則》（征求意見稿）

1T/CNEAXXXX—XXXX核能行業(yè)網(wǎng)絡(luò)安全同行評估實施導(dǎo)則本文件規(guī)定了網(wǎng)絡(luò)安全同行評估的方法和流程。本文件適用于指導(dǎo)核能行業(yè)開展網(wǎng)絡(luò)安全同行評估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T41241-2022《核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理要求》GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》GB/T25069—2022《信息安全技術(shù)術(shù)語》GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風險管理》GB/T20984-2022《信息安全技術(shù)信息安全風險評估方法》BSENIEC62645-2020《核電站儀表、控制和電力系統(tǒng)網(wǎng)絡(luò)安全要求》BSENIEC62859-2020《核電站儀表和控制系統(tǒng)協(xié)調(diào)安全和網(wǎng)絡(luò)安全的要求》3術(shù)語和定義GB/T41241-2022、GB/T22239-2019、GB/T25069—2022、GB/T31722-2015、GB/T20984-2022、BSENIEC62645-2020和BSENIEC62859-2020界定的以及下列術(shù)語和定義適用于本文件。為了便于使用以下重復(fù)列出了GB/T22239-2019中的一些術(shù)語和定義。3.1網(wǎng)絡(luò)安全CyberSecurity通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，是網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。[GB/T22239-2019，定義3.1]3.2安全保護能力SecurityProtectionAbility能夠抵御威脅、發(fā)現(xiàn)安全事件以及在遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。[GB/T22239-2019，定義3.1]3.32T/CNEAXXXX—XXXX云計算CloudComputing通過網(wǎng)絡(luò)訪問擴展的、靈活的物理或虛擬共享資源池、并按需自助獲取和管理資源的模式。注：資源實例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲設(shè)備等。4同行評估概述4.1同行評估的目的和特點同行評估是比較獨特的核電行業(yè)經(jīng)驗反饋與共享機制。其目的是，依據(jù)國際卓越標準,通過業(yè)內(nèi)同行評估,幫助核電廠提高安全和可靠性,識別待改進領(lǐng)域,發(fā)現(xiàn)強項以供其他核電站共享；使評估隊和受評核電廠了解各核電廠的不同實踐并增進溝通、交流,開闊眼界；同行評估以業(yè)績表現(xiàn)為基礎(chǔ),通過現(xiàn)場觀察被執(zhí)行的活動,并詢問“為達到卓越目標，相關(guān)工作如何能夠做得更好”。當然，僅滿足本地化的要求和規(guī)則,并不意味著不能提高,也可能蘊含著一種創(chuàng)新的強項實踐。核電領(lǐng)域的同行評估特別強調(diào)以下6方面的要求：a)自愿性。核電廠自愿要求對其進行同行評估,并確定評估范圍重點；b)友好和開放的關(guān)系及氛圍；c)不搞突然襲擊,所有觀察意見都充分與受評方溝通并確認；d)不針對個人的業(yè)績和表現(xiàn),同行評估針對核電廠和組織進行評估,聚焦管理改進；e)是一種幫助和經(jīng)驗分享，而不是檢查和督查；f)所有人員負責全過程保密,履行保密承諾。這也成為同行評估的一種精神和文化共識。將同行評估的理念、技術(shù)和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域時，其目的可以概括為：依據(jù)國際和國家卓越標準，參考不同行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域領(lǐng)先的有效實踐，通過組織業(yè)內(nèi)同行開展評估，幫助受評方提高其網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的安全保障能力和水平，識別待改進項，發(fā)現(xiàn)強項以供其他受評方共享；使評估團隊和受評方了解不同行業(yè)和不同企業(yè)在網(wǎng)絡(luò)安全方面的有效實踐，并增進溝通、交流，開闊眼界；將待改進項提交受評方作為制定、實施網(wǎng)絡(luò)安全改進行動的輸入，并根據(jù)受評方的要求對待改進項的糾正行動進行跟蹤回訪，以實現(xiàn)受評方網(wǎng)絡(luò)安全防護能力的持續(xù)提升，以不斷追求卓越的姿態(tài)確保受評方的網(wǎng)絡(luò)安全防護能力持續(xù)滿足自身數(shù)字化發(fā)展和應(yīng)對各種網(wǎng)絡(luò)安全挑戰(zhàn)的需要。4.2同行評估體系要素同行評估體系由評估方法、評估隊伍、受評方管理者代表和領(lǐng)域?qū)谌?、領(lǐng)域業(yè)績目標與準則、巡視卡、偏差事實、觀察報告、強項、待改進項以及評估報告10個要素構(gòu)成,各要素之間的關(guān)系如圖4-1所示。圖4-1同行評估體系要素之間的關(guān)系3T/CNEAXXXX—XXXX為便于理解,先對這10個要素介紹如下：a)評估方法。同行評估采用的方法主要包括現(xiàn)場觀察、文件審閱和人員訪談等。有時也采用沙盤推演等方法進行補充。b)評估隊伍。簡稱評估隊,是同行評估實施的同行專家主體，由受評方之外的同行專家組成,而不是上級單位領(lǐng)導(dǎo)及其指派的檢查專家。同行評估隊一般由領(lǐng)隊、隊長、副隊長、各領(lǐng)域評估員、協(xié)調(diào)員和秘書組成,有時也配備顧問、觀察員和離場代表等角色。c)受評方管理者代表和領(lǐng)域?qū)谌?。他們配合和參與評估工作。一般由受評方分管領(lǐng)導(dǎo)擔任受評方管理者代表。與評估隊各領(lǐng)域評估員相對應(yīng),受評方應(yīng)明確指定各領(lǐng)域的對口人,并由受評方評估領(lǐng)域的部門負責人進行統(tǒng)籌安排和協(xié)調(diào)配合。d)領(lǐng)域業(yè)績目標與準則。領(lǐng)域業(yè)績目標與準則是同行評估的核心標準文件,凝聚了本行業(yè)在該領(lǐng)域的最佳管理實踐，其核心是描述評估領(lǐng)域及其子領(lǐng)域所追求的管理績效目標,是評估員進行現(xiàn)場評估的參考標準,也可以作為受評方開展內(nèi)部自評估、準備評估先期文件和制訂改善提升計劃的參考標準。e)巡視卡。簡稱白卡,是評估員進行現(xiàn)場巡視時便于規(guī)范記錄所發(fā)現(xiàn)問題的空白卡片。使用巡視卡,可以規(guī)范評估員對問題的記錄以及評估員之間的信息交流,是發(fā)現(xiàn)偏差事實和編制觀察報告的一種現(xiàn)場評估工作方式。f)偏差事實。評估隊通過客觀地觀察得到事實,在對客觀事實進行描述的基礎(chǔ)上,對照領(lǐng)域業(yè)績目標與準則以及評估員個人和團隊掌握的卓越標準，識別出達不到業(yè)內(nèi)高標準的差異點,形成偏差事實。g)觀察報告。用標準的格式客觀記錄事實,形成偏差記錄，以及基于事實而分析得出的結(jié)論，進而形成觀察報告。h)強項。強項是指基于受評方的申報以及評估隊的觀察評估,認為在行業(yè)內(nèi)具有示范推廣作用的良好實踐，是評估領(lǐng)域業(yè)績目標與準則修訂版的輸入之一。i)待改進項。待改進項是指確實存在的問題或某問題帶來的實際或潛在的后果。待改進項是基于偏差事實以及事實的邏輯分析，結(jié)論應(yīng)準確而具體，能夠讓受評方認識到問題及其后果，得到管理層的認同并愿意采取糾正行動。評估隊工作的重心主要在識別和挖掘待改進項。j)評估報告。評估報告是評估工作的核心成果,主要由強項和待改進項組成。待改進項是評估報告的核心內(nèi)容。4.3同行評估過程和規(guī)范要求同行評估工作全過程主要包括4個階段：a)評估準備階段。評估準備是開展同行評估工作的前提和基礎(chǔ)，是整個同行評估過程有效性的保證。b)現(xiàn)場評估階段?，F(xiàn)場評估是同行評估工作的核心,主要依據(jù)評估領(lǐng)域的業(yè)績目標與準則要求,將評估準則的具體要求落實到實際評估工作中，通過對受評方的人員訪談、文件查閱、現(xiàn)場觀察,并調(diào)閱自查、等級測評或上次評估報告(如果有),對受評方網(wǎng)絡(luò)與系統(tǒng)的安全保護現(xiàn)狀和管理現(xiàn)狀等進行取證，取得足夠的證據(jù)和事實資料，在與受評方對口人充分溝通確認的基礎(chǔ)上,開展隊內(nèi)研討、分析與總結(jié)活動,綜合形成觀察意見和基本問題描述,總結(jié)形成強項和待改進項,并形成評估報告初稿。c)編寫評估報告。編寫評估報告是總結(jié)受評方網(wǎng)絡(luò)和系統(tǒng)整體安全保護能力的綜合評估活動,根據(jù)現(xiàn)場評估結(jié)果和評估領(lǐng)域的業(yè)績目標與準則的相關(guān)要求，定位受評方網(wǎng)絡(luò)和系統(tǒng)的安全保護現(xiàn)狀,重點分析和評估受評方網(wǎng)絡(luò)和系統(tǒng)安全管理績效與業(yè)績目標之間的差距,并分析這些差距導(dǎo)致的受評方網(wǎng)絡(luò)和系統(tǒng)面臨的風險，從而給出評估結(jié)論,形成評估報告,可包括相關(guān)整改建議。4T/CNEAXXXX—XXXXd)評估回訪。一般在4-10個月后發(fā)出跟蹤回訪通知,開展現(xiàn)場跟蹤回訪,編寫跟蹤回訪結(jié)果報告,經(jīng)評估方審定后正式發(fā)給受評方。在同行評估工作全過程中，規(guī)范行為是開展同行評估工作的基本要求之一。評規(guī)范行為包括：a)過程規(guī)范，包括：制定內(nèi)部保密制度；制定過程控制制度規(guī)定相關(guān)文檔評審流程；指定專人負責保管同行評估的歸檔文件；等等。b)評估員的行為應(yīng)規(guī)范，包括：評估員進入現(xiàn)場佩戴工作牌；使用評估專用的計算機和工具；嚴格按照評估任務(wù)作業(yè)指導(dǎo)書,使用規(guī)范的評估技術(shù)進行評估；準確記錄評估證據(jù)；不擅自評價評估結(jié)果；不將評估結(jié)果復(fù)制給非評估員；涉及受評方的工作秘密或敏感信息的相關(guān)資料，只在指定場所查看，查看完成后立即歸還；等等。4.4同行評估中的業(yè)績目標與準則同行評估聚焦于發(fā)現(xiàn)管理缺陷，其立足點和依據(jù)就是評估領(lǐng)域的業(yè)績目標。該業(yè)績目標的設(shè)定應(yīng)反映所在行業(yè)該評估領(lǐng)域的最新和最佳業(yè)務(wù)實踐，為各級管理者不斷追求卓越設(shè)定管理績效目標,為達成相應(yīng)的績效目標設(shè)立評估參考要素。4.5同行評估中的風險規(guī)避規(guī)避風險是開展同行評估工作的基本要求之一。所謂規(guī)避風險，是指要充分估計同行評估可能給受評方帶來的影響，向受評方揭示風險，要求其提前采取預(yù)防措施進行規(guī)避。風險規(guī)避的行為主要包括：a)評估方也應(yīng)采取與受評方簽署相關(guān)協(xié)議和授權(quán)書(委托評估協(xié)議、保密協(xié)議、現(xiàn)場評估授權(quán)書)要求受評方進行系統(tǒng)備份、規(guī)范評估活動、及時與受評方溝通等措施規(guī)避風險,盡量避免給受評方和評估方等帶來潛在影響。b)應(yīng)對評估資料和評估結(jié)果按照受評方和國家相關(guān)要求做好保密工作，可采取簽訂保密協(xié)議、最小接觸原則、職業(yè)道德評估、人員保密管理、設(shè)備保密管理、文檔保密管理等控制措施，明確問責和追責等相關(guān)要求，保證同行評估過程中產(chǎn)生、接觸的所有記錄、數(shù)據(jù)、文件和報告等評估結(jié)果的安全和保密。c)最終評估報告只分發(fā)給受評方以及在評估方內(nèi)部留存。未經(jīng)受評方和評估方的許可，評估報告不得向第三方透露。評估員完成評估離開現(xiàn)場后，不得討論任何關(guān)于該次評估的專門結(jié)果。同行評估完成后，所有受評方信息留在現(xiàn)場。d)在征得受評方同意的情況下，評估員可以最大限度地利用獲得的經(jīng)驗，包括帶走程序、大綱和導(dǎo)則等。在向其他受評方介紹強項時，也需要征得受評方的許可。5網(wǎng)絡(luò)安全同行評估任務(wù)設(shè)計5.1評估的工作目標及基本思路同行評估工作是針對受評方持續(xù)提升網(wǎng)絡(luò)安全防護能力和持續(xù)打贏網(wǎng)絡(luò)安全保衛(wèi)戰(zhàn)的目標而開展的。圖5-1給出了網(wǎng)絡(luò)安全同行評估工作的目標和基本思路。評估方在組織開展同行評估的全過程中都應(yīng)該圍繞工作目標進行受評方的特點及其所處的內(nèi)外部環(huán)境分析、外部網(wǎng)絡(luò)安全威脅分析、關(guān)鍵數(shù)字資產(chǎn)的識別和自身脆弱性分析、網(wǎng)絡(luò)安全風險識別和防護策略的評估和優(yōu)化等。其中，可以應(yīng)用PEST分析、SWOT分析、風險評估、平衡計分卡和對標分析等思路和方法。5T/CNEAXXXX—XXXX圖5-1網(wǎng)絡(luò)安全同行評估工作的目標和基本思路5.2評估評估內(nèi)容5.2.1同行評估內(nèi)容確定方法同行評估內(nèi)容的確定方法通常包括全覆蓋法、重點項抽取法、增項評估法和綜合域及其評估項。a)全覆蓋法。選取受評方網(wǎng)絡(luò)安全九大領(lǐng)域的全部內(nèi)容或某個領(lǐng)域的所有子領(lǐng)。b)重點項抽取法。根據(jù)國家主管部門或受評方對網(wǎng)絡(luò)與信息系統(tǒng)進行安全評估工作的實際預(yù)期和目標需求，從評估領(lǐng)域中確定重點子領(lǐng)域、重點系統(tǒng)或評估項，只評估重點項。c)增項評估法。根據(jù)國家主管部門或受評方對網(wǎng)絡(luò)與信息系統(tǒng)進行安全評估工作的實際預(yù)期和目標的需求，新增現(xiàn)有評估標準中未包含的評估項。d)綜合評估法。對于評估內(nèi)容不僅可以采取單一方法進行選擇，而且可以根據(jù)評估目的將多種方法相結(jié)合，如同時采用重點項抽取法和增項評估法，由受評方與評估方協(xié)商確定評估內(nèi)容。5.2.2同行評估內(nèi)容確定原則同行評估內(nèi)容的確定原則一般包括威脅與脆弱性識別原則、與等級測評等互補原則、恰當選取和保證強度原則以及聚焦管理弱項原則。a)威脅與脆弱性識別原則。評估員應(yīng)基于對受評方可能面臨的外部網(wǎng)絡(luò)威脅和自身可能存在的脆弱性等的經(jīng)驗判斷，與受評方共同確定評估的重點內(nèi)容。受評方應(yīng)針對自有IT資產(chǎn)尤其是關(guān)鍵信息資產(chǎn)的脆弱性進行識別和自評估。b)與等級測評等互補原則。在確定評估內(nèi)容時，可充分利用評估對象已有的最新等級測評等工作的報告成果，同時應(yīng)特別關(guān)注和選擇未測評或未檢查的其他系統(tǒng)或業(yè)務(wù)領(lǐng)域，識別和評估其中可能存在的網(wǎng)絡(luò)安全盲區(qū)、風險和問題。c)恰當選取和保證強度原則。選取的具體評估對象要恰當，既要避免漏選重要的對象、可能存在安全隱患的對象，也要避免由于過多選擇而使得工作量過大，要達到與評估對象對應(yīng)風險大小6T/CNEAXXXX—XXXX及其重要性相適應(yīng)的評估強度。d)聚焦管理弱項原則。特別需要指出的是，同行評估不同于等級測評等活動，不能過于陷入或限于技術(shù)評估或測評驗證，應(yīng)基于事實偏差，從提升網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力和打造網(wǎng)絡(luò)安全文化的高度，按照追求卓越的理念，聚焦管理，發(fā)現(xiàn)管理弱項和重要偏差及其根本原因。5.3明確同行評估的任務(wù)同行評估是以持續(xù)提升受評方網(wǎng)絡(luò)安全防護能力和持續(xù)打贏網(wǎng)絡(luò)安全保衛(wèi)戰(zhàn)為目標，以網(wǎng)絡(luò)安全業(yè)績目標與準則為基準，以有效貫徹落實網(wǎng)絡(luò)安全“三同步”原則、著力提升受評方網(wǎng)絡(luò)安全本體和本質(zhì)安全水平為根本，在受評方自查和等級測評等相關(guān)工作的基礎(chǔ)上，通過評估方組織的同行專家力量，協(xié)助受評方全面落實網(wǎng)絡(luò)安全保護“三化六防”措施的系統(tǒng)性方法。開展同行評估，應(yīng)該基于內(nèi)外部環(huán)境的分析，針對受評方（關(guān)鍵）數(shù)字化資產(chǎn)，協(xié)助受評方識別內(nèi)外部威脅和數(shù)字化資產(chǎn)的脆弱性。同行評估任務(wù)的設(shè)計應(yīng)該具有全面性和系統(tǒng)性，應(yīng)該抓住關(guān)鍵數(shù)字資產(chǎn)，著力發(fā)現(xiàn)短板弱項，應(yīng)該聚焦管理，以追求卓越的工作精神切實識別出受評方在網(wǎng)絡(luò)安全領(lǐng)域的待改進項，并從受評方網(wǎng)絡(luò)安全技術(shù)管理、運維和監(jiān)督等方面提出系統(tǒng)性和有針對性的待改進項和改進措施建議。在確定同行評估任務(wù)時，應(yīng)考慮網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全建設(shè)管理、網(wǎng)絡(luò)基礎(chǔ)設(shè)施物理環(huán)境安全、網(wǎng)絡(luò)安全運維管理能力、網(wǎng)絡(luò)安全監(jiān)測防護能力、網(wǎng)絡(luò)安全管理體系及其執(zhí)行有效性、全員網(wǎng)絡(luò)安全意識和基本技能、網(wǎng)絡(luò)安全整體領(lǐng)導(dǎo)力和推進力8個基本內(nèi)容，同時應(yīng)針對受評方的6個關(guān)鍵典型網(wǎng)絡(luò)和信息系統(tǒng)（包括工控系統(tǒng)、生產(chǎn)管理系統(tǒng)、經(jīng)營管理系統(tǒng)、移動應(yīng)用系統(tǒng)、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)以及集權(quán)類系統(tǒng)）的本體管理進重評估14大類典型評估任務(wù)為基礎(chǔ)，評估和發(fā)現(xiàn)其中的事實偏差、業(yè)績偏差和待改進項，對受評方的網(wǎng)絡(luò)安全整體防護能力開展網(wǎng)絡(luò)安全總體評估，盡可能分享和提出富有實效的改進建議。6網(wǎng)絡(luò)安全同行評估的組織及流程6.1評估組織與成員同行評估組織涉及同行評估活動的組織方、評估隊以及受評方，其核心是評估隊。評估隊的成員主要包括領(lǐng)隊/副領(lǐng)隊、隊長/副隊長、協(xié)調(diào)員、領(lǐng)域評估員等。根據(jù)工作需要，也可配置觀察員、離場代表、顧問、秘書等角色。受評方應(yīng)對等指定各個角色的對口人。同行評估隊的構(gòu)成及評估方和受評方工作接口如圖6-1所示：圖6-1同行評估隊構(gòu)成及評估方和受評方工作接口6.1.1領(lǐng)隊/副領(lǐng)隊7T/CNEAXXXX—XXXX領(lǐng)隊一般由評估方的相關(guān)領(lǐng)導(dǎo)擔任。領(lǐng)隊應(yīng)全面理解和掌握同行評估工作體系、特點和方法,秉持同行評估精神,引領(lǐng)評估隊聚焦管理并不斷追求卓越?？紤]到領(lǐng)隊可能在現(xiàn)場評估期間無法全程參加評估工作，可指定一名副領(lǐng)隊，全面協(xié)助領(lǐng)隊工作，或必要時代行領(lǐng)隊職責。領(lǐng)隊的主要責任如下：a)推動評估工作的全面實施。b)代表評估方全面指導(dǎo)同行評估工作,統(tǒng)領(lǐng)全隊工作,并對重要敏感問題提供決策意見。c)挑選合格的人員參與評估活動,組建評估隊。d)協(xié)調(diào)評估活動相關(guān)各方關(guān)系,保障評估工作的順利開展。e)為同行評估工作提供專家技術(shù)支持。f)對評估結(jié)果保密。6.1.2隊長/副隊長隊長是整個評估隊的核心和關(guān)鍵角色，一般由具有豐富的本行業(yè)網(wǎng)絡(luò)安全管理和實戰(zhàn)化指揮經(jīng)驗的領(lǐng)導(dǎo)或權(quán)威專家擔任。隊長應(yīng)全面了解和掌握同行評估工作體系和特點、評估準則和具體評估方法,具備相當于等級保護高級測評師的專業(yè)技術(shù)和管理協(xié)調(diào)能力。隊長的主要責任如下：a)領(lǐng)導(dǎo)評估員樹立高標準評估目標,并指導(dǎo)評估員達到高標準的期望,培訓(xùn)和指導(dǎo)評估員。b)對評估結(jié)果負責,確保完成高標準的評估報告,并幫助受評方在評估領(lǐng)域追求卓越。c)與受評方保持良好的聯(lián)系,以保證其理解評估隊所發(fā)現(xiàn)問題的重要性。d)通常直接負責網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力以及管理保障體系等領(lǐng)域的評估。e)主持隊會,制訂每日隊會計劃;主持網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力創(chuàng)新工作坊;主持有關(guān)挑戰(zhàn)會。f)批改報告,包括觀察報告和待改進項報告,編寫最終評估報告中的部分章節(jié)。g)對評估結(jié)果保密。一般同時指定一名副隊長協(xié)助隊長開展工作。副隊長的主要責任如下：a)負責管理保障體系等領(lǐng)域的評估。b)指導(dǎo)評估員開展工作。c)批改報告,包括觀察報告和待改進項報告。d)負責評估隊與受評方之間的協(xié)調(diào)。e)對評估結(jié)果保密。6.1.3協(xié)調(diào)員協(xié)調(diào)員是整個評估隊評估工作的信息樞紐,負責評估隊所有日常工作的計劃、組織、安排、溝通和協(xié)調(diào)。一般由受評方指定一名熟悉同行評估工作的專職人員擔任協(xié)調(diào)員。其責任如下：a)幫助組建評估隊。b)審核評估期間產(chǎn)生的所有文件，確保其滿足評估要求。c)協(xié)調(diào)觀察、訪談等評估活動安排,在評估前后保持與受評方的長久聯(lián)系。d)吸收隊長的意見，編寫評估結(jié)論報告,確保評估方同行評估報告的一致性。e)幫助整個評估過程順利實施。f)協(xié)調(diào)后勤保障等工作。g)對評估結(jié)果保密。協(xié)調(diào)員的對口人，也就是受評方協(xié)調(diào)員,負責協(xié)調(diào)評估隊與受評方之間的工作和信息溝通，支持評估隊的工作，提供受評方重要活動安排，幫助評估員確定有意義的觀察活動。6.1.4評估員8T/CNEAXXXX—XXXX評估員是評估隊的主要成員,具備與受評方所在行業(yè)和專業(yè)領(lǐng)域豐富的實際工作經(jīng)驗，全面了解和較好地掌握同行評估工作的特點、體系和方法，具備網(wǎng)絡(luò)安全專業(yè)能力。由于評估員與受評方的領(lǐng)域?qū)谌嗣媾R著類似的挑戰(zhàn)，承擔著類似的職責,因此也就面臨更多類似的現(xiàn)場實際問題，在評估工作的全過程中就有更多的共鳴和共識,有助于同行之間更深人、有效地交流與分享。這也是同行評估與等級測評等工作的一個重要的不同點。評估員的主要責任如下：a)負責一個領(lǐng)域的評估工作。b)以事實和報告說明受評方的問題所在。靈活、有效、積極地幫助整個評估隊的工作。c)進行查閱文件、人員訪談和現(xiàn)場觀察等評估活動,填寫記錄卡片，編寫觀察報告,編寫所負責領(lǐng)域的評估結(jié)論報告(領(lǐng)域小結(jié))。d)與其他評估員和受評方領(lǐng)域?qū)谌斯蚕斫?jīng)驗和信息。e)向受評方的領(lǐng)域?qū)谌撕凸芾韺咏榻B本領(lǐng)域的強項和待改進項。f)對評估結(jié)果保密。根據(jù)網(wǎng)絡(luò)安全工作的特點,一般建議配備8-10名評估員，兩人一組，分別負責受評方網(wǎng)絡(luò)安全總體情況(總體組)、工控系統(tǒng)等核心生產(chǎn)系統(tǒng)和重要生產(chǎn)管理系統(tǒng)(生產(chǎn)應(yīng)用組)、經(jīng)營管理辦公系統(tǒng)(內(nèi)網(wǎng)應(yīng)用組)、移動互聯(lián)系統(tǒng)(移動應(yīng)用組)以及基礎(chǔ)設(shè)施與運維監(jiān)測(運維監(jiān)測組)。每組人員的專業(yè)經(jīng)驗、所在單位和評估經(jīng)驗等方面按照互補原則盡量合理搭配，以便在評估工作過程中更有效地分享不同單位和個人的實踐經(jīng)驗。同時,評估隊隊長要明確指定每個領(lǐng)域的評估負責人，由領(lǐng)域評估員統(tǒng)籌負責指定領(lǐng)域的全面評估工作,重點是組織研判、發(fā)現(xiàn)、研討、編制和報告本領(lǐng)域的待改進項、強項以及領(lǐng)域評估小結(jié)等。6.1.5觀察員為建設(shè)和培養(yǎng)高水平行業(yè)級網(wǎng)絡(luò)安全同行評估隊伍，通過評估實戰(zhàn)開展同行評估人才實訓(xùn)，經(jīng)雙方同意，有時也指定若干觀察員，參與現(xiàn)場同行評估工作。其責任如下：a)觀摩評估過程,學習評估方法，積累評估經(jīng)驗。b)參與評估活動,包括培訓(xùn)和現(xiàn)場評估活動。c)填寫評估記錄卡，協(xié)助本領(lǐng)域評估員編寫觀察報告和評估結(jié)論報告(領(lǐng)域小結(jié))。d)對評估結(jié)果保密。6.1.6其他角色為了更有效地進行評估方和受評方之間的溝通,增進對評估重大事項或偏差的理解和共識,雙方可明確一名第三方業(yè)內(nèi)權(quán)威同行專家擔任離場代表；為了使評估工作更加科學、客觀和有效,雙方也可聘請若干名顧問。此外,可以由受評方配備一名秘書,協(xié)助協(xié)調(diào)員承擔文檔、交通、后勤和會務(wù)等管理工作。6.2評估準備6.2.1管理者的支持同行評估活動需要盡可能獲得最高管理者對同行評估的支持。最高管理者的支持會將同行評估的重要性傳達給每個員工，并為同行評估提供必要的人力和物力支持，便于同行評估的順利開展，因此同行評估獲得最高管理者的支持至關(guān)重要。6.2.2準備活動輸出文檔準備活動需要輸出的文檔包括以下內(nèi)容：a)同行評估方案9T/CNEAXXXX—XXXX評估方指定評估協(xié)調(diào)員，妥評方指定對口工作負責人。雙方初步明確評估工作目標和現(xiàn)場評估起止時間。評估方協(xié)調(diào)員擬定評估工作計劃，策劃組隊方案,包括聯(lián)系隊長、副隊長和領(lǐng)域評估員，收集隊員信息。受評方確認領(lǐng)隊和隊長。領(lǐng)隊和隊長審定評估工作計劃。b)先期文件包協(xié)調(diào)員準備先期文件包(AdvancedInformationPackage,AIP),包括AIP需求、后勤需求、對口人需求、評估初始文件等。與受評方工作負責人討論AIP需求、后勤需求、對口人需求、現(xiàn)場評估計劃。受評方確認現(xiàn)場評估時間和評估隊組隊信息等。6.2.3準備活動雙方職責評估方職責如下：a)向受評方介紹同行評估的意義和目的、評估流程和工作方法。b)了解受評方的網(wǎng)絡(luò)和系統(tǒng)建設(shè)狀況。c)指出受評方需提供的基本資料(先期文件包)。d)向受評方說明評估工作自身的風險和規(guī)避方法。e)準備受評網(wǎng)絡(luò)和系統(tǒng)基本情況調(diào)查表單。f)了解受評網(wǎng)絡(luò)和系統(tǒng)基本情況。g)初步分析受評網(wǎng)絡(luò)和系統(tǒng)的安全情況。h)準備必要的評估工具和文檔。受評方職責如下：a)向評估組織方介紹本單位的網(wǎng)絡(luò)和系統(tǒng)建設(shè)狀況與發(fā)展情況。b)準備評估隊需要的資料。c)為評估人員的信息收集提供支持和協(xié)調(diào)。d)根據(jù)受評網(wǎng)絡(luò)和系統(tǒng)的具體情況,如業(yè)務(wù)運行高峰期、網(wǎng)絡(luò)和系統(tǒng)運維變更計劃等,為評估時間安排提供適宜的建議。e)提出、商定并簽署評估保密協(xié)議書，明確保密具體要求。f)必要時應(yīng)采取備份數(shù)據(jù)和系統(tǒng)等措施,制訂應(yīng)急預(yù)案。6.3現(xiàn)場評估6.3.1現(xiàn)場評估活動工作流程現(xiàn)場評估是評估工作的核心,主要依據(jù)評估領(lǐng)域的業(yè)績目標與評估準則要求，將評估準則的具體要求落實到實際評估工作中,通過對受評方的人員訪談、文件審閱、現(xiàn)場觀察,并調(diào)閱自查、等級測評或上次評估報告(如果有),對受評方網(wǎng)絡(luò)與系統(tǒng)的安全保護現(xiàn)狀和管理現(xiàn)狀等進行取證，取得足夠的證據(jù)和事實資料,在與受評方對口人充分溝通確認的基礎(chǔ)上,開展隊內(nèi)研討、分析與總結(jié)活動，綜合形成OBS和FOB,總結(jié)形成STR和AFI,并形成評估報告初稿。圖6-2給出了現(xiàn)場評估工作流程圖，圖6-3給出了實施現(xiàn)場觀察的具體流程。T/CNEAXXXX—XXXX圖6-2現(xiàn)場評估活動工作流程圖圖6-3現(xiàn)場觀察工作流程6.3.2現(xiàn)場評估方法同行評估通常采用的方法主要包括電廠巡視、現(xiàn)場觀察、文件審閱和人員訪談等。a)電廠巡視電廠巡視是指對電廠的實際環(huán)境進行巡視，發(fā)現(xiàn)在管理和技術(shù)上的待改進項和優(yōu)勢。b)現(xiàn)場觀察評估人員通過觀察工作被如何執(zhí)行、執(zhí)行得如何、其后果如何，并詢問工作是否可以進一步提高或改善。然后確定一組事實，每一個事實都是一個偏差或未被做好的事,并且給出判斷的理由，即這樣做將會如何，最后編制形成觀察報告。評估人員進行現(xiàn)場觀察之前，應(yīng)準備好評估作業(yè)指導(dǎo)書、評估結(jié)果記錄表格等。開展現(xiàn)場觀察時,應(yīng)根據(jù)受評方的實際情況,在受評方對口人的陪同下，到系統(tǒng)運行現(xiàn)場通過實地觀察相關(guān)人員的操作行為、技術(shù)設(shè)施和物理環(huán)境狀況，判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況,評估其是否符合相應(yīng)評估項的安全要求。針對不同等級系統(tǒng)的具體評估對象，在評估實施時有不同的強度要求?？傮w而言,在進行現(xiàn)場觀察時，應(yīng)參照評估作業(yè)指導(dǎo)書選定的評估項基本要求，判斷實地觀察到的情況與制度和文檔中說明的情況是否一致，核查相關(guān)設(shè)備、設(shè)施的有效性和位置的正確性，與系統(tǒng)設(shè)計方案的一致性。T/CNEAXXXX—XXXX現(xiàn)場觀察完成后,應(yīng)做好現(xiàn)場觀察評估結(jié)果記錄，以評估項為單元,準確描述每一個事實偏差,并與受評方對口人溝通確認，寫人觀察報告。c)文件審閱文件審閱是指評估人員通過對受評方支撐網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)與運維的安全管理制度、工作記錄等文檔的核查，獲取證據(jù)以證明受評方網(wǎng)絡(luò)與信息系統(tǒng)的安全保護要求是否全面，安全保護規(guī)定是否得到執(zhí)行，是否有更有效的實踐可以應(yīng)用。評估人員在開始文件審閱之前,應(yīng)根據(jù)自己承擔的評估任務(wù)需要,取得受評方對口人的支持，準備好待審閱的主要文件，例如受評方網(wǎng)絡(luò)安全策略、安全方針文件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實際配置說明、網(wǎng)絡(luò)安全設(shè)備或軟件的安全性測試報告、系統(tǒng)的各種運行記錄文檔、機房建設(shè)相關(guān)資料、機房出入記錄等過程記錄文檔。在文件審閱中，側(cè)重進行以下幾個核查工作：1)核查該任務(wù)評估作業(yè)指導(dǎo)書需評估的有關(guān)制度、策略、操作規(guī)程等文檔是否齊備。2)核查是否有完整的制度執(zhí)行情況記錄，如機房出入登記記錄、電子記錄、關(guān)鍵設(shè)備使用登記記錄等。3)核查安全策略以及技術(shù)相關(guān)文檔是否明確說明了相關(guān)技術(shù)要求的實現(xiàn)方式。4)對上述文檔進行審核與分析，核查其完整性和這些文檔之間的內(nèi)部一致性。針對不同等級系統(tǒng)的具體評估對象，在評估實施時有不同強度要求?？傮w而言，在進行文件審閱時,應(yīng)參照評估作業(yè)指導(dǎo)書選定的評估項基本要求，檢查文檔是否齊備且完整,并且所有文檔之間是否保持一致性。要求有執(zhí)行過程記錄的，過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致。與實際情況保持一致，安全管理過程應(yīng)與系統(tǒng)設(shè)計方案保持一致且能夠有效地對系統(tǒng)進行管理。文檔審閱完成后，應(yīng)做好文檔審閱評估結(jié)果記錄，以評估項為單元，準確描述每一個事實偏差，并與對口人溝通確認，寫入觀察報告。d)人員訪談人員訪談是指評估員通過與受評方對口人進行交流、討論等活動,獲取事實證據(jù)以證明網(wǎng)絡(luò)與信息系統(tǒng)的安全保護措施、管理體系及其運行有效性以區(qū)是否追求卓越。在訪談開始前，評估人員應(yīng)準備好現(xiàn)場評估工作計劃、評估作業(yè)指導(dǎo)書以及評估結(jié)果記錄表格等。訪談評估時，評估員與受評方對口人進行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。評估員應(yīng)側(cè)重識別和發(fā)現(xiàn)受評方的實踐與評估項的要求，存在的事實偏差以及偏差原因，相關(guān)補償措施和潛在風險等。在訪談范圍上，不同評估任務(wù)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在分類基礎(chǔ)上抽樣。訪談完成后,應(yīng)做好訪談評估結(jié)果記錄，以評估項為單元，準確描述每一個事實偏差，并與對口人溝通確認，寫入觀察報告。6.3.3現(xiàn)場評估活動輸出文檔現(xiàn)場評估活動主要輸出文檔為觀察報告的草版文件。進行現(xiàn)場評估并編制觀察報告是現(xiàn)場評估階段最基礎(chǔ)和最關(guān)鍵的工作,一般安排3-4天時間。評估員通過觀察、訪談、查閱資料等方法以及隊員之間、隊員與受評方對口人之間交流、研討和確認等方式，按照評估任務(wù)作業(yè)指導(dǎo)書選定的領(lǐng)域業(yè)績目標與評估準則,開始現(xiàn)場評估。按照事實(偏差)、觀察報告的編寫要求，及時做好有關(guān)評估記錄。每日評估員開展現(xiàn)場具體評估工作,起草事實和觀察小結(jié),與受評方對口人澄清確認觀察意見；當天現(xiàn)場評估結(jié)束后召開評估隊日會，報告當日重要發(fā)現(xiàn)，交流關(guān)注問題，及時調(diào)整補充具體評估作業(yè)內(nèi)容；每天全隊成員集中辦公,評估員及時歸納編寫和修訂觀察報告，隊內(nèi)開展必要的補充培訓(xùn)、交流和研討?，F(xiàn)場評估前期工作重點是確保在各項評估任務(wù)對應(yīng)的評估領(lǐng)域中發(fā)現(xiàn)的事實的質(zhì)量，現(xiàn)場評估后期應(yīng)及時將工作重點轉(zhuǎn)移到評估事實數(shù)據(jù)分析、起草編制基本問題描述以及待改進項初稿上，并加強隊內(nèi)討論，補充評估具體內(nèi)容，保證支撐待改進項事實的數(shù)量；同步加強評估員與受評方對口人的事實溝通、T/CNEAXXXX—XXXX補充和確認工作。各角色在現(xiàn)場評估期間需要注重協(xié)同協(xié)作，有序、高效和高質(zhì)量地開展現(xiàn)場評估各項工作。在現(xiàn)場評估開始前,評估員應(yīng)明確告知受評方評估過程中的可能風險。例如，要使用安全檢測工具對系統(tǒng)或網(wǎng)絡(luò)等進行必要的檢測,該類檢測應(yīng)取得受評方的同意。具體實施前,應(yīng)在風險分析的基礎(chǔ)上，采取系統(tǒng)和數(shù)據(jù)備份、受評方對口人全程監(jiān)視或直接親自操作等方式規(guī)避風險。6.3.4現(xiàn)場評估活動中雙方職責評估方職責如下:a)利用人員訪談、文檔審閱、現(xiàn)場觀察、配置核查和安全測試等方法評估系統(tǒng)及其運維管理的保護措施,對標業(yè)績目標與評估準則,找出偏差項。b)組織召開現(xiàn)場評估培訓(xùn)研討、挑戰(zhàn)會以及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力專題創(chuàng)新工作坊。c)對受評方提交的強項申報情況進行評估,確定是否存在強項。受評方職責如下:a)協(xié)調(diào)受評網(wǎng)絡(luò)和系統(tǒng)內(nèi)部相關(guān)對口人的工作關(guān)系，配合評估工作的開展。b)回答評估員的問題，對某些需要驗證的內(nèi)容上機進行這要的驗證操作。c)確有必要時，協(xié)助評估員實施工具測試纖提供有效建議、降低評估對系統(tǒng)運行的影響。d)協(xié)助評估員完成業(yè)務(wù)相關(guān)內(nèi)容的問題驗證和測試。e)相關(guān)對口人對評估結(jié)果進行確認。6.4報告編制在離場會議紀要和評估報告初稿基礎(chǔ)上，受評方可以對初稿進一步反饋意見，各領(lǐng)域評估員完善其負責的領(lǐng)域的最終評估結(jié)論，由協(xié)調(diào)員匯總編制評估總報告，經(jīng)評估隊隊長審定修改，投評估方內(nèi)部審批流程進行審批，一般應(yīng)該在離場后一個月內(nèi)正式發(fā)送受評方，評估方保留一份。圖6-4展示了報告編制活動的工作流程。圖6-4報告編制活動工作流程6.5評估回訪a)評估回訪工作流程現(xiàn)場評估結(jié)束后，評估員返回各自的單位，但評估活動還未最終結(jié)束。5個月后，協(xié)會將組織評估隊部分隊員回訪被評核電廠，交流改進情況。評估回訪工作流程如圖6-5所示：圖6-5評估回訪工作流程T/CNEAXXXX—XXXXb)評估回訪的目的評估回訪的目的是加強與受評方的進一步交流。受評方在6-10個月內(nèi)對評估隊提出的待改進項的整改情況。c)評估回訪的內(nèi)容現(xiàn)場評估結(jié)束離場后,評估員返回各自單位,但評估活動還未最終結(jié)束，評估方需在一個月內(nèi)正式簽發(fā)評估報告。受評方根據(jù)評估報告中指出的待改進項及其改進建議制訂相應(yīng)的改進計劃,并有效組織實施。根據(jù)受評方的需要，一般在4-10個月后，評估方發(fā)出跟蹤回訪通知,組織部分評估員開展現(xiàn)場跟蹤回訪,編寫跟蹤回訪結(jié)果報告,評估方審定后正式提交給受評方。d)評估回訪隊組成回訪成員一般包括領(lǐng)隊或副領(lǐng)隊、隊長或副隊長以及協(xié)調(diào)員，以及不超過隊員半數(shù)的原評估員。盡量安排最終評