2)系統(tǒng)測(cè)試

信息系統(tǒng)安全工程師監(jiān)視接口，集成，配置和文檔的系統(tǒng)安全性。系統(tǒng)測(cè)試和評(píng)估可能揭示意外的漏洞；必須評(píng)估與這些漏洞相關(guān)的風(fēng)險(xiǎn)和可能的任務(wù)影響。將結(jié)果反饋給設(shè)計(jì)工程師進(jìn)行迭代過程。信息系統(tǒng)安全工程師與認(rèn)證和認(rèn)證人員協(xié)調(diào)，以確保所需文件的完整性。信息系統(tǒng)安全工程師還監(jiān)控任務(wù)，以確保安全設(shè)計(jì)得到正確實(shí)施。

信息系統(tǒng)安全工程師必須驗(yàn)證安全組件的評(píng)估標(biāo)準(zhǔn)，測(cè)量所需的安全級(jí)別，并確保安全組件符合這些標(biāo)準(zhǔn)。信息系統(tǒng)安全工程師幫助配置組件，以確保啟用安全功能，并將安全參數(shù)設(shè)置為提供所需的安全服務(wù)。一旦系統(tǒng)準(zhǔn)備好配置，必須在配置管理程序之后記錄和批準(zhǔn)必要的設(shè)置上的任何差異。

系統(tǒng)和設(shè)計(jì)工程師將編寫反映預(yù)期結(jié)果的測(cè)試程序，因?yàn)樵O(shè)計(jì)解決方案被定義。當(dāng)組件被采集時(shí)，應(yīng)進(jìn)行單元測(cè)試。驗(yàn)證設(shè)計(jì)和接口確保生產(chǎn)的組件正常工作。程序必須測(cè)試所有的接口。

集成測(cè)試驗(yàn)證子系統(tǒng)和系統(tǒng)性能。測(cè)試規(guī)劃應(yīng)考慮測(cè)試單個(gè)組件和整個(gè)系統(tǒng)所需的人員，工具，設(shè)施，進(jìn)度和資金。

實(shí)施系統(tǒng)的設(shè)計(jì)文件和經(jīng)驗(yàn)是培訓(xùn)用戶和管理員的材料來源。所有文檔都應(yīng)嚴(yán)格版本控制。培訓(xùn)材料和指導(dǎo)應(yīng)涉及與系統(tǒng)相關(guān)的操作政策，并應(yīng)處理系統(tǒng)限制和功能。在集成和測(cè)試時(shí)，重要的一項(xiàng)工作是記錄安裝、操作、維護(hù)和支持的流程。這些流程將以系統(tǒng)要求、體系結(jié)構(gòu)、設(shè)計(jì)和模型系統(tǒng)（按實(shí)際運(yùn)行情況進(jìn)行配置）的測(cè)試結(jié)果為基礎(chǔ)。在安裝系統(tǒng)時(shí)， 必須記錄安裝流程的不足，說明安裝流程的變更會(huì)對(duì)功能和任務(wù)目標(biāo)產(chǎn)生的影響。系統(tǒng)的運(yùn)行、支持和維護(hù)過程中的殘余風(fēng)險(xiǎn)可能因安裝流程的變更而受到的影響也應(yīng)得到評(píng)估。信息系統(tǒng)安全工程師將負(fù)責(zé)制定信息保護(hù)測(cè)試計(jì)劃和流程，可能還需要設(shè)計(jì)測(cè)試用例、工具、硬件和軟件。

這些努力和每個(gè)產(chǎn)生的信息支持最終的系統(tǒng)有效性評(píng)估。安全認(rèn)證批準(zhǔn)通常在最終系統(tǒng)有效性評(píng)估結(jié)束后。

在該項(xiàng)活動(dòng)中，要實(shí)施風(fēng)險(xiǎn)分析并制定風(fēng)險(xiǎn)減緩戰(zhàn)略。信息系統(tǒng)安全工程師要標(biāo)示出風(fēng)險(xiǎn)可能對(duì)任務(wù)帶來的影響，并向客戶提供建議。

信息系統(tǒng)安全工程師要確保所有文檔已經(jīng)完成并交付。文檔中將包括有集成和測(cè)試報(bào)告，能夠說明實(shí)際實(shí)現(xiàn)與設(shè)計(jì)規(guī)范之間的偏差。信息系統(tǒng)安全工程師可以參與撰寫并審查這些文檔。

ISSE工程組要確保安全培訓(xùn)材料已經(jīng)到位，且必須將運(yùn)行中的威脅告知用戶。在系統(tǒng)規(guī)范以及運(yùn)行安全策略中要指明威脅信息和安全責(zé)任。