&lt；p&gt；&amp；nbsp；如何规避评估风险&lt；/p&gt；p&gt；信息安全评估行业是一个极具挑战性的行业，整个评估过程不仅仅局限于技术水平，还涉及单位的管理水平。整个评估工作的生命周期现各种问题，如何管理和规避评估工作中的风险成为评估工作成功的关键。1.常见风险&lt；/p&gt；p&gt；在等级评估的实施过程中，可能会发生以下情况。&lt；/p&gt；p&gt；(1)；(1)验证测试影响系统正常运行&lt；/p&gt；p&gt；在现场评估时，需要对设备和系统进行一定的验证和测试。一些测试内容需要在机器上查看一些信息，这可能对系统的运行产生一定的影响，甚至有误操作的可能性。&lt；/p&gt；&lt；p&gt；(2)工具测试影响系统的正常运行&lt；/p&gt；p&gt；现场评估时，使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透性测试。测试可能会对系统的负荷造成一定的影响，漏洞扫描测试和渗透测试可能会对服务器和网络通信造成一定的影响甚至伤害。&lt；/p&gt；&lt；p&gt；(3)敏感信息泄露&lt；/p&gt；p&gt；泄露网络开拓、IP地址、业务流程、安全机制、安全流程、安全机制、安全隐患和相关文件信息。&lt；/p&gt；&lt；p&gt；(4)评价工作进度风险&lt；&lt；p&gt；由于评价范围广，评价进度的控制决不容易，不仅要决定公司的技术能力、服务水平，还要大幅度控制范围是否有效，评价投入(包括人员时间投入和资金等投入)是否充分等影响。在实际实施过程中，并非所有用户都理解和同意这次安全等级的评价，因此在实施评价时，在评价进度计划时可能只追求快速，或者故意追求具有特殊意义的日期作为评价里程碑，给评价进度控制带来巨大压力。当然，由于评价环境不足、人员不足、评价工具问题等各种原因，评价进度可能会延迟。&lt；/p&gt；p&gt；(5)评价工作中人力资源风险&lt；/p&gt；p&gt；评价工作主要由不同单位的评价人员对单位网络产品、安全产品、系统产品和管理进行的安全合规性检查活动。人力资源是评价实施过程中最重要的资源。保证合适的人能够充分参加评价，是评价成功实施的基本保证。&lt；/p&gt；&lt；p&gt；(6)评价范围风险&lt；/p&gt；p&gt；合同中的评价范围和实际实施过程中项目的结构规模是错误的。&lt；/p&gt；&lt；p&gt；(7)评价质量风险&lt；/p&gt；p&gt；项目建设过程中没有确立标准的质量评价体系，质量指标监视不严格。

（8）对测评认识不正确的风险

测评实施过程中，被测系统单位人员往往对测评本身不够重视，没有详尽地描述系统的基本安全状况，现场测评的访谈环节没有对测评人员的需求给予明确的解答，这样导致在测评过程中访谈和工具测试结果不吻合，使得测评结果不能反映系统存在的问题，甚至被测评单位不认可最后的测评报告。

（9）对实际环境不熟悉的风险

由于用户的网络环境及应用会由一定的差别，而且大部分网络应用是由软件开发商开发，不同的开发商所使用的开发工具、数据库、协议等都不相同，并且网络设备如交换机、路由器也不尽相同，这就对测评的实施提出了很高的要求，各类设备的配置不可能千篇一律，要按实际环境而调整。&lt；/p&gt；&lt；p&gt；2.风险规避&lt；/p&gt；p&gt；风险规避是指对信息安全评估工作中可能发生的风险、风险的应对和规划、降低威胁的方法和行动。任何风险，最后都是降低负面风险，提高积极风险，才能顺利有序地工作。评价过程可采取以下措施规避风险。&lt；/p&gt；&lt；p&gt；(1)制定评价计划书&lt；/p&gt；p&gt；充分考虑各种潜在因素，适当留有馀地的任务分解详细适中，在容易评价的执行过程中，强调评价按进度执行的重要性，在考虑任何问题时，保持进度作为前提条件的同时，合理利用急救和快速跟进等方法，充分利用资源。&lt；/p&gt；&lt；p&gt；(2)制定质量管理计划&lt；/p&gt；p&gt；定义项目各子系统应满足的质量标准，控制评价各阶段的输出文件、评价记录数据，记录备案，以文件的形式提交，降低风险发生的概率。&lt；/p&gt；&lt；p&gt；(3)签署委托评价协议&lt；&lt；p&gt；在评价工作正式开始之前，通过委托评价协议明确评价工作的目标、范围、人员构成、计划安排、执行程序和要求、双方的责任和义务等。评价双方对评价过程中的基本问题达成共识，后续工作也以此为基础，避免今后工作的大分歧。&lt；/p&gt；&lt；p&gt；(4)签署保密协议&lt；/p&gt；p&gt；签署完善、符合法律规范的保密协议，约束双方目前和未来的行为评价。&lt；/p&gt；&lt；p&gt；(5)签署现场评估授权书&lt；/p&gt；p&gt；在现场评估开始之前，以评估授权的方式明确评估双方的责任，揭示可能的风险，避免可能的纠纷和分歧。

（6）现场测评工作风险的规避

进行验证测试和工具测试时，安排好测试时间，尽量避开业务高峰期，在系统资源处于空闲状态时进行，并需要相关技术人员对整个测评过程进行监督；在进行工具测试前，需要对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案。

（7）测评现场还原

测评工作完成后，测评人员应交回测评工程中获取的所有特权，归还测评过程中借阅的相关文档，并严格清理测评过程中植入被测系统中的相关代码\程序。

（8）规范化的实施过程

为保证按实施计划、高质量地完成测评工作，需明确测评记录和测评报告要求，需明确测评过程中每一阶段需要产生的相关文档，使测评工作有章可循。在委托评价协议、现场评价授权书和评价方案中，明确双方人员责任、评价对象、时间计划、评价内容要求等。&lt；/p&gt；p&gt；(9)交流与交流；/p&gt；p&gt；为了避免评价工作中可能发生的争论，在评价开始前和评价过程中，需要积极有效的交流和交流，及时解决评价过程中发生的问题，对保证评价过程质量和结果质量有重要作用。&lt；/p&gt；&lt；p&gt；(10)评价实施中的风险监视&lt；/p&gt；p&gt；采取以下措施监视评价实施中的风险，防止危及评价成败的风险。建立并及时更新评估风险列表和风险排名。评价管理者随时关注重要风险因素的变化状况，及时决定何时采取什么样的风险对策&lt；/p&gt；