安全建设管理-（七）测试验收

安全建设管理

 控制点

7.测试验收

测试验收管理主要是指对机房建设、系统集成、网络改造中的外包工程项目的测试验收进行管理，需明确测试验收的操作步骤、人员要求等。

a)

安全要求（一般）：应制定测试验收方案，并根据测试验收方案实施测试验收，形成测试验收报告。

要求解读：此项的测试验收，既包括外包单位项目实施完成后的测试验收，也包括机构内部由项目开发部门移交给运维部门时的验收等。

测评方法

1.访谈系统建设负责人，了解是否已对测试验收进行管控。

2.核查是否有测试验收方案和测试验收报告。

期望结果

1.工程测试验收方案中明确说明了参与测试的部门、人员及测试验收内容、现场操作过程等。

2.测试验收报告中有相关部门和人员的审定意见。

b)

安全要求（关键）：应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

要求解读：为了保证系统建设工程按照既定方案和要求实施并达到预期要求，在工程实施完成之后，系统交付使用之前，应当指定或授权专业机构依据安全方案进行安全性测试。

一般情况下，上线前的安全测试应由第三方测试单位进行，第三方测试单位是指非系统拥有者和系统建设方。

测评方法

1.访谈系统建设负责人，了解在系统上线前是否已开展安全性测试。

2.核查安全性测试是否包括密码应用方面的内容。

第三方测试有别于开发人员或用户进行的测试，其目的是为了保证测试工作的客观性。第三方测试单位大都是权威的专业测试机构，能够针对物理环境、硬件设施、软件设施等方面可能存在的缺陷或问题进行测试。

期望结果

有上线前的安全测试报告，其中包括与密码应用安全性测试相关的内容。

高风险判定

1.满足以下条件即可判定为高风险：（三级及以上系统）

系统上线前未开展任何安全性测试，或未对测试发现的高风险问题进行安全评估和整改。

2.补偿因素：

定级对象建成时间较长，上线前虽未进行安全性测试，但上线后定期进行安全检测，且检测后未发现高危风险隐患，可根据实际测试效果酌情判定风险等级。