资质，并委派手册发展

在制定计划，你需要写一三一本手册，教导你的机构或主席团关于如何准备认证方案。 我们的构想是，规范发展的所有认证软件包提交evaluation.without一本手册，并在指定过程中，认证软件包将会有不同的外观和感觉。 如果50个不同的认证包，都有权资料，但在不同的格式，它是去是很难评估，以寻找有关资料。 如果该软件包有不同类型的信息，那就是要非常难以评估，以检讨包按同样的标准。

写作手册是一大job.a好手册，很可能会被周围200页久手册必须包括非常具体的资料，你是什么机构评估需要看到，在每一个认证方案。 它应指示乡亲准备认证套什么文件，他们将须提交，并应包括什么，在每个document.the最好的方法，以确保每一个文件，其中包括有权种资料，是为了制造样板。

怎样在你的手册

每个机构的手册将会有所不同，并采取对稍有不同的组织形式。 然而，这是非常可取的所有手册包括路段在以下几个方面：

背景，目的，范围

监管嘉奖

参考相关的内部保安政策

系统的生命周期信息

概述了该进程

角色和责任

定义和解释的认证水平

资料所需的证明文件包

如何界定保安要求

如何理解认可的边界

威胁和风险评估准则

安全控制

所需的安全测试

评价核对表

行动计划＆里程碑

缩略语

名词解释

参考资料及有关刊物

附录中，为每一个模板

谁应该写手册？

有没有限制谁可以写一三一本手册。 一个机构，可利用其本身的工作人员，还是外部顾问。 然而，发展的手册应该大概要做的权力之下的部门将监督评估员。 它使意义上说，证明代理人应指派适当人员撰写的手册，因为他或她将需要住在其指引和评审包按照其规定。 没有什么东西是说，证明代理人不能作者手册。 不过，由于每天的日常责任的认证代理，所花费的时间，以发展该手册可以要求它做的一个任命的工作人员，还是外部顾问。

模板开发

认证软件包，构成一套文件全部是相辅相成，互补another.a认证方案是厚厚的，并没有统一标准，需大量的时间来评估它，以确保所有的正确信息included.therefore ，机构应该有模板，所有的文件，他们要求在其认证软件包。 机构未经模板工作，要创造他们。 如果一个机构没有资源，在内部开发这些模板，他们应该考虑外包这种主动向外界顾问。 模板应制定使用文字处理软件，这是标准的内部机构。 所有的有关章节说，评估小组将寻找每个文件应included.text表示将会维持不变，为某一特定文件类型，也应包括在内。 一个有效率的和有效的海关程序，将有范本为下列类型的老文件：

分类和认证水平的建议

硬件和软件清单

自我评估

安全意识和培训计划

最终用户行为准则

事故应急预案

安全测试和评估计划

私隐影响评估

商业风险评估

营商环境影响评估

应急计划

配置管理计划

系统风险评估

系统安全计划

安全评估报告

模板应该包括指导方针是什么类型的内容应包括在内，也应该有内置式formatting.the模板应尽可能完整，任何文字要保持一致和不尽相同一样，文件类型应包括在内。虽然看起来它可能是多余的准确，同时逐字文本在年初，也就是说，每一个业务上的风险评估，从特定机构，每份文件必须能够单独存在和意义，如果是退出了认证包检讨。 有类似的字眼，如文件还表明，该软件包开发坚持用同样的方法和准则。

既定的模板在手，这使得它更容易为c ＆审评组，以了解究竟是什么，他们需要的文件。 专家甚至老顾问需要和欣赏文件范本。 找到正确的资料，包括老文件，可以由自己极其困难的，没有第一次，以计算出的是什么，你是为了寻找-这就是为什么模板，所以非常重要。 它的通常的情况是一个大型复杂的应用，是分布式和管理整个多个部门或分部，它可能会花费比较长的时间来计算出不只是什么问题要问，但谁能正确的人，是谁都会知道答案。

提供包裹快递指示

你的三程式的资料应包括如何具体地种田应提交最后的认证方案，评价团队评估小组需要了解是否期待一揽子通过电子邮件，光盘，或寻找一种保护网络共享。 这是一个好主意，为机构，规定印刷版和软件文件提交给评估小组。 印刷版文件应该被绑定在一起。 我建议用三响粘合剂，因为它是容易更新单件的包装和插入后，很容易去除不合时宜的页面。

大部分这些文件将包含敏感信息，并由于这个原因，他们不应该受到电子邮箱，使任何人在互联网上，除非他们所保护的128位加密-要么通过文件加密或者通过虚拟专用网（ vpn ） 。 前电子邮件发送老文件指出，该机构的任何外部公共网络，你确实需要检查的安全政策，尤其是你的机构，以找出什么要求，为保护敏感资料。 如果外部顾问正在被用来编写一份认证方案，它很可能是唯一安全的方式来交换文件，他们是为他们来现场。 大多数机构会不会成立一个虚拟专用网，以外部顾问，并得到官方许可，以使用文件加密或证书，可以采取更多的时间超过所花费的时间，创造了整个认证package.though看起来它可能跟踪前沿，有时交换文件的人用光盘或一个usb闪存驱动器是最简单的方式，以交换老文件。

创造一个评估过程

评价认证包装应是一个标准化的程序。 然后通过认证方案，评估小组应该知道前方到底是什么，他们正在寻找。 机构认为，没有一个规范的方法，以及如何评估认证软件包都不能评分，以及对每年联邦计算机安全报告卡。 标准化进程应该有不同的视安全类（一级）的认证package.there四种可能的安全水平，认证软件包可以准备根据的，这些不同层次的略有不同requirements.the水平取决于使用指导从美国联邦信息处理标准（联邦信息处理） 199 。

管理局及签注

这点是很重要的c ＆程序制定并通过了在一个较高的水平内agency.the的目的，该计划将被完全打败了，如果各个部门，每个试图建立自己的海关程序。 他们的构想是创造一个标准，一个标准是指一个过程程序应当由首席信息官或授权官员，即使所有的工作是委托给认证agent.that并不表示该技术人员在各个部门不能有助于该节目的发展。 一些最好的想法往往来自技术人员采取最关心建立一个project.the发展计画，不过，需要我们去加以组织和赞同在这一级别的首席信息官，授权官员提供cial ，认证代理。