2)系統測試

信息系統安全工程師監視接口，集成，配置和文檔的系統安全性。系統測試和評估可能揭示意外的漏洞；必須評估與這些漏洞相關的風險和可能的任務影響。將結果反饋給設計工程師進行迭代過程。信息系統安全工程師與認證和認證人員協調，以確保所需文件的完整性。信息系統安全工程師還監控任務，以確保安全設計得到正確實施。

信息系統安全工程師必須驗證安全組件的評估標準，測量所需的安全級別，并確保安全組件符合這些標準。信息系統安全工程師幫助配置組件，以確保啟用安全功能，并將安全參數設置為提供所需的安全服務。一旦系統準備好配置，必須在配置管理程序之后記錄和批準必要的設置上的任何差異。

系統和設計工程師將編寫反映預期結果的測試程序，因為設計解決方案被定義。當組件被采集時，應進行單元測試。驗證設計和接口確保生產的組件正常工作。程序必須測試所有的接口。

集成測試驗證子系統和系統性能。測試規劃應考慮測試單個組件和整個系統所需的人員，工具，設施，進度和資金。

實施系統的設計文件和經驗是培訓用戶和管理員的材料來源。所有文檔都應嚴格版本控制。培訓材料和指導應涉及與系統相關的操作政策，并應處理系統限制和功能。在集成和測試時，重要的一項工作是記錄安裝、操作、維護和支持的流程。這些流程將以系統要求、體系結構、設計和模型系統（按實際運行情況進行配置）的測試結果為基礎。在安裝系統時， 必須記錄安裝流程的不足，說明安裝流程的變更會對功能和任務目標產生的影響。系統的運行、支持和維護過程中的殘余風險可能因安裝流程的變更而受到的影響也應得到評估。信息系統安全工程師將負責制定信息保護測試計劃和流程，可能還需要設計測試用例、工具、硬件和軟件。

這些努力和每個產生的信息支持最終的系統有效性評估。安全認證批準通常在最終系統有效性評估結束后。

在該項活動中，要實施風險分析并制定風險減緩戰略。信息系統安全工程師要標示出風險可能對任務帶來的影響，并向客戶提供建議。

信息系統安全工程師要確保所有文檔已經完成并交付。文檔中將包括有集成和測試報告，能夠說明實際實現與設計規范之間的偏差。信息系統安全工程師可以參與撰寫并審查這些文檔。

ISSE工程組要確保安全培訓材料已經到位，且必須將運行中的威脅告知用戶。在系統規范以及運行安全策略中要指明威脅信息和安全責任。