信息安全工程报告

3.2.4　信息安全工程报告

1.用户/同级小组报告

信息安全工程小组应当向客户提供一致的工作情况和进展的信息，并快速地传达那些应当进行讨论或应当提请客户注意的问题。如果没有更多要求或不需要结构性调整，则建议信息安全工程小组每月要同至少包括SPO（或者加上C&A参与者）在内的同级工程小组进行多次联系。

在合适的时候，作为定期现场访问或是工程技术评审，信息安全工程小组也需要亲自向客户定期陈述工程情况。这些将有助于在项目实施中进行修正，或提供技术信息和共同讨论问题（例如关于安全风险评估团评估简报）。

信息安全工程小组可能希望采用用户同意的技术说明方法来完成进展报告，同时也帮助自己跟踪项目进展情况。

2.组织的管理报告

除了上述向用户提供的报告外，信息安全工程小组应当在每一次重要项目阶段评审之前为组织的管理人员整理出恰当的简报（例如：对比性系统评审，初步设计评审等），以便为他们提供相应的技术和情况的信息。简报的频度、内容和管理等级将因情况而异，并需进行合适的裁剪。信息安全工程小组也应向相应的机构管理人员提供报告，以保证管理部门拥有管理和支持信息安全工程过程所必需的信息。

没有异常安全风险或其他敏感问题的小工程项目的信息安全工程小组，有可能在重要项目技术评审之前非正式地发出近期管理简报，也许可能每周或每两周同监督人员进行一次关于进展情况的讨论，也可以使用相同的频度通过电子邮件发送非常简明扼要的书面情况报告。相反，带领由多人组成的信息系统安全小组的首席信息安全工程工程师，在实施具有较大前瞻性、敏感性和较高风险的项目时，也许会每季度或每半年才向上级主管部门提交正式的小组报告书，但同时会比较深入和比较频繁地向上级主管部门汇报情况，以期在需要的时候得到他们的支持。也可以把信息提供给更高级别的管理部门，并同一线监督员保持较紧密的联系。

简报应当证明信息安全工程小组遵循了原定的信息安全工程过程，而且应当向管理部门提供有关工作质量和成果方面的一些建议。在项目的初期，要讨论简报如何裁剪信息安全工程过程以适合客户项目需求，评审了解用户的运行和获取方面以及安全能力需求等方面的早期工作。其后的简报应当确定信息安全工程小组已经完成了的活动，并与先前简报中的工作计划进行比较。

其他的信息可能包括：

①收到的用户对有关信息系统安全支持和成果方面的反馈意见；

②系统（如高层次方框图）描述；

③建议的安全方案（即如何满足用户的安全能力需求，什么样的产品将提供哪些安全服务，已经选择了什么样的安全保证措施等）；

④安全风险评估结果（包括系统的安全风险程度）以及用户/C&A小组关于这些问题的看法和决策；

⑤进度；

⑥信息安全工程人员配置和其他资源问题；

⑦技术策略变化或根据早期简报得出的风险数据。

根据简报，管理部门在理想情况下应当能够断定经过裁剪的过程是否适用，客户是否满意信息安全工程小组的工作。