5.2　測評準備活動主要任務

5.2.1　 工作啟動

在工作啟動任務中，測評機構組建等級測評項目組，獲取測評委托單位及定級對象的基本情況，從基本資料、人員、計劃安排等方面為整個等級測評項目的實施做好充分準備。

輸入：委托測評協議書。

任務描述：

a) 根據測評雙方簽訂的委托測評協議書和系統規模，測評機構組建測評項目組，從人員方面做好準備，并編制項目計劃書。

b) 測評機構要求測評委托單位提供基本資料，為全面初步了解被測定級對象準備資料。

輸出/產品：項目計劃書。

5.2.2　信息收集和分析

測評機構通過查閱被測定級對象已有資料或使用系統調查表格的方式，了解整個系統的構成和保護情況以及責任部門相關情況，為編寫測評方案、開展現場測評和安全評估工作奠定基礎。

輸入：項目計劃書，系統調查表格，被測定級對象相關資料。

任務描述：

a) 測評機構收集等級測評需要的相關資料，包括測評委托單位的管理架構、技術體系、運行情況、建設方案、建設過程中相關測試文檔等。云計算平臺、物聯網、移動互聯、工業控制系統的補充收集內容見附錄D。

b) 測評機構將系統調查表格提交給測評委托單位，督促被測定級對象相關人員準確填寫調查表格。

c) 測評機構收回填寫完成的調查表格，并分析調查結果，了解和熟悉被測定級對象的實際情況。這些信息可以參考自查報告或上次等級測評報告結果。

在對收集到的信息進行分析時，可采用如下方法：

1) 采用系統分析方法對整體網絡結構和系統組成進行分析，包括網絡結構、對外邊界、定級對象的數量和級別、不同安全保護等級定級對象的分布情況和承載應用情況等；

2) 采用分解與綜合分析方法對定級對象邊界和系統構成組件進行分析，包括物理與邏輯邊界、硬件資源、軟件資源、信息資源等；

3) 采用對比與類比分析方法對定級對象的相互關聯進行分析，包括應用架構方式、應用處理流程、處理信息類型、業務數據處理流程、服務對象、用戶數量等。

a) 如果調查表格信息填寫存在不準確、不完善或有相互矛盾的地方，測評機構應與填表人進行溝通和確認，必要時安排一次現場調查，與相關人員進行面對面的溝通和確認，確保系統信息調查的準確性和完整性。

輸出/產品：填好的調查表格，各種與被測定級對象相關的技術資料。

5.2.3　工具和表單準備

測評項目組成員在進行現場測評之前，應熟悉被測定級對象、調試測評工具、準備各種表單等。

輸入：填好的調查表格，各種與被測定級對象相關的技術資料。

任務描述：

a) 測評人員調試本次測評過程中將用到的測評工具，包括漏洞掃描工具、滲透性測試工具、性能測試工具和協議分析工具等。

b) 測評人員在測評環境模擬被測定級對象架構，為開發相關的網絡及主機設備等測評對象測評指導書做好準備，并進行必要的工具驗證。

c) 準備和打印表單，主要包括：風險告知書、文檔交接單、會議記錄表單、會議簽到表單等。

輸出/產品：選用的測評工具清單，打印的各類表單。