2)系統(tǒng)測試

信息系統(tǒng)安全工程師監(jiān)視接口，集成，配置和文檔的系統(tǒng)安全性。系統(tǒng)測試和評估可能揭示意外的漏洞；必須評估與這些漏洞相關(guān)的風(fēng)險和可能的任務(wù)影響。將結(jié)果反饋給設(shè)計工程師進行迭代過程。信息系統(tǒng)安全工程師與認(rèn)證和認(rèn)證人員協(xié)調(diào)，以確保所需文件的完整性。信息系統(tǒng)安全工程師還監(jiān)控任務(wù)，以確保安全設(shè)計得到正確實施。

信息系統(tǒng)安全工程師必須驗證安全組件的評估標(biāo)準(zhǔn)，測量所需的安全級別，并確保安全組件符合這些標(biāo)準(zhǔn)。信息系統(tǒng)安全工程師幫助配置組件，以確保啟用安全功能，并將安全參數(shù)設(shè)置為提供所需的安全服務(wù)。一旦系統(tǒng)準(zhǔn)備好配置，必須在配置管理程序之后記錄和批準(zhǔn)必要的設(shè)置上的任何差異。

系統(tǒng)和設(shè)計工程師將編寫反映預(yù)期結(jié)果的測試程序，因為設(shè)計解決方案被定義。當(dāng)組件被采集時，應(yīng)進行單元測試。驗證設(shè)計和接口確保生產(chǎn)的組件正常工作。程序必須測試所有的接口。

集成測試驗證子系統(tǒng)和系統(tǒng)性能。測試規(guī)劃應(yīng)考慮測試單個組件和整個系統(tǒng)所需的人員，工具，設(shè)施，進度和資金。

實施系統(tǒng)的設(shè)計文件和經(jīng)驗是培訓(xùn)用戶和管理員的材料來源。所有文檔都應(yīng)嚴(yán)格版本控制。培訓(xùn)材料和指導(dǎo)應(yīng)涉及與系統(tǒng)相關(guān)的操作政策，并應(yīng)處理系統(tǒng)限制和功能。在集成和測試時，重要的一項工作是記錄安裝、操作、維護和支持的流程。這些流程將以系統(tǒng)要求、體系結(jié)構(gòu)、設(shè)計和模型系統(tǒng)（按實際運行情況進行配置）的測試結(jié)果為基礎(chǔ)。在安裝系統(tǒng)時， 必須記錄安裝流程的不足，說明安裝流程的變更會對功能和任務(wù)目標(biāo)產(chǎn)生的影響。系統(tǒng)的運行、支持和維護過程中的殘余風(fēng)險可能因安裝流程的變更而受到的影響也應(yīng)得到評估。信息系統(tǒng)安全工程師將負(fù)責(zé)制定信息保護測試計劃和流程，可能還需要設(shè)計測試用例、工具、硬件和軟件。

這些努力和每個產(chǎn)生的信息支持最終的系統(tǒng)有效性評估。安全認(rèn)證批準(zhǔn)通常在最終系統(tǒng)有效性評估結(jié)束后。

在該項活動中，要實施風(fēng)險分析并制定風(fēng)險減緩戰(zhàn)略。信息系統(tǒng)安全工程師要標(biāo)示出風(fēng)險可能對任務(wù)帶來的影響，并向客戶提供建議。

信息系統(tǒng)安全工程師要確保所有文檔已經(jīng)完成并交付。文檔中將包括有集成和測試報告，能夠說明實際實現(xiàn)與設(shè)計規(guī)范之間的偏差。信息系統(tǒng)安全工程師可以參與撰寫并審查這些文檔。

ISSE工程組要確保安全培訓(xùn)材料已經(jīng)到位，且必須將運行中的威脅告知用戶。在系統(tǒng)規(guī)范以及運行安全策略中要指明威脅信息和安全責(zé)任。