DB37T 1433-2009电子政务信息系统第三方验收测试规范.pdf

ICS 35.080L 77DB37山东省地方标准DB37/T 1433—2009电子政务信息系统第三方验收测试规范2009-12-31发布2010-01-15实施山东省质量技术蓝督局发布 DB37/T 1433—2009步工作：否则，需要重新进行验收测试的设计和实现。9.5.4测试执行执行测试的工作由测试员和测试分析员完成。测试执行主要包括执行测试过程、评价测试执行情况、对比核实测试结果等内客。一股来说，测试执行活动结束或终止时，以下两种情况之一会出现：正常终止：所有测试过程（或脚本）按预期方式执行至结束。异常或提前结求：测试过程（或脚本）没有按预期方式执行或没有完全执行。测试过程中，可能会出现意外中断测试进程的错误，因此测试组会针对这种情况，确定问题的实际原因，并纠正向题，重置测试环境，然后重新执行测试。般来说，这种情况可能由以下两种错误导致：致命错误一系统故障（网络故障、硬件崩溃等）：测试脚本命令故障。当所有的测试用例都执行完毕。测试分析员要根据测试的充分性要求和失效记录。确定测试工作是否充分。是否需要增加新的测试。当测试过程正常终止时，如果发现测试工作不足，应对软件进行补充测试。直到测试达到预期要求。并将附加的内容记录在验收测试报告中；如果不需要补充测试。则将正常终止情况记录在验收测试报告中。当测试过程异常终止时，应记录导致终止的条件、未完成的测试和未被修正的差错。9.5.5测试总结测试分析员应根据软件要求、测试计划、测试方案、测试记录和测试问题报告单等，分析和评价测试工作，一般包括下面几项内容：分析测试结果并提交变史请求，以保证测试已执行完全，并确保报告的测试结果没有受到非测试对象因素的影响；评估基于用户害求的测试覆盖来确定：者求的测试（测试用例）的数量与测试对象的总需求测试数量的比例。分析缺陷，目的在于通过对缺陷密度、趋势等的分析，判断缺陷的走势，为缺陷修正提供可资借鉴的依据。应对验收测试的执行活动、验收测试报告、测试记录和测试问题报告进行评审。评审测试执行活动的有效性、测试结果的正确性和合理性。评审是否达到了测试目的、测试文档是否符合要求。评审应由软件的需方、供方和有关专家参加。9.6测试结果处理与反馈测试活动结束后，第三方测试机构应将测试报告以正式函件的形式通知委托方。委托方将测试报告转交开发方，开发方根据测试意见和提出的建议，针对测试报告中指出的问题，进行修改和完善（如果经过重大修改，开发方应当及时将修改的情况以面形式报用户确认，用户认为有必要时，可以对修改后的软件进行重新测试，重新进行验收测试的程序可适当简化)，并将处理结果反馈给用户。9.7测试文档验收测试后形成的文档一般应有：测试计划：b)测试方案：c)测试报告：d)测试记录：e)测试问题报告。可根据害要对上述文档及文档的内容进行裁剪。 DB37/T 1433—200910信息安全风险评估10.1风险评估的前提条件第三方信息安全风险评估应在电子政务信息系统建设任务完成后试运行期间组织开展，由信息系统的委托方间第三方测试机构提出验收测试申请。申请前，应满是以下条件：a）依据合同条款的要求满足验收条件的信息系统：b）信息系统的边界和范围已明确。10.2风险评估的内容a）资产识别：b）威胁识别：c)脆弱性识别：d)风险分析。e)形成测试文档及报告：10.3风险评估的过程10.3.1风险评估准备具体内容参见GB/T209845.1的规定。10.3.2资产识别具体内容参见GB/T209845.2的规定。10.33威胁识别具体内容参见GB/T209845.3的规定。10.3.4脆弱性识别具体内容参见GB/T209845.4的规定。10.35已有安全措施确认具体内容参见GB/T209845.5的规定。10.4风险分析与评估10.4.1风险计算原理在完成了资产识别、威识别、脆购性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。具体原理参照GB/T20984-2007《信息安全技术信息安全风险评估规范》5.6.1内容。10.4.2风险结果判定为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可将风险划分为五级，等级越高，风险越高。评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。风险等级处理的目的是为风险管理过程中对不同风险的直观比较，以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。风险计算方法参照GB/T20984-2007《信息安全技术信息安全风险评估规范》附录A内容。10