信息安全等級(jí)保護(hù)項(xiàng)目計(jì)劃書.綜述

1、文檔編號(hào)：zzzzzzxxxxxxxxxx信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目項(xiàng)目計(jì)劃書授權(quán)方：XXXXXXXXXX被授權(quán)方：rrrrrr編制日期：2016年2月29日 I目錄TOC o 1-5 h z HYPERLINK l bookmark8 o Current Document 1.概述1項(xiàng)目背景1項(xiàng)目目的1 HYPERLINK l bookmark10 o Current Document 工作依據(jù)2 HYPERLINK l bookmark12 o Current Document 2.技術(shù)思路和工作內(nèi)容3 HYPERLINK l bookmark14 o Current Document 2.

2、1技術(shù)思路3 HYPERLINK l bookmark16 o Current Document 2.1.1測(cè)評(píng)指標(biāo)3 HYPERLINK l bookmark18 o Current Document 2.1.2測(cè)評(píng)對(duì)象選擇方法7 HYPERLINK l bookmark20 o Current Document 2.1.3測(cè)評(píng)方法8 HYPERLINK l bookmark22 o Current Document 2.2工作范圍內(nèi)容8 HYPERLINK l bookmark24 o Current Document 3.項(xiàng)目實(shí)施方案10 HYPERLINK l bookmark26 o

3、 Current Document 3.1項(xiàng)目實(shí)施過程10 HYPERLINK l bookmark28 o Current Document 3.2階段工作產(chǎn)品11 HYPERLINK l bookmark30 o Current Document 4.項(xiàng)目組織方案13 HYPERLINK l bookmark32 o Current Document 4.1項(xiàng)目組織結(jié)構(gòu)13 HYPERLINK l bookmark34 o Current Document 4.2人員構(gòu)成和職責(zé)14 HYPERLINK l bookmark36 o Current Document 4.3項(xiàng)目實(shí)施計(jì)劃15

4、HYPERLINK l bookmark38 o Current Document 5.項(xiàng)目質(zhì)量管理和控制15 HYPERLINK l bookmark40 o Current Document 5.1過程質(zhì)量控制管理16 HYPERLINK l bookmark42 o Current Document 5.1.1過程質(zhì)量管理風(fēng)險(xiǎn)16 HYPERLINK l bookmark52 o Current Document 5.1.2過程質(zhì)量風(fēng)險(xiǎn)控制16 HYPERLINK l bookmark58 o Current Document 5.2變更控制管理24 HYPERLINK l bookma

5、rk60 o Current Document 5.2.1變更管理存在的風(fēng)險(xiǎn)24 HYPERLINK l bookmark62 o Current Document 5.2.2變更管理控制方法24 HYPERLINK l bookmark64 o Current Document 5.3項(xiàng)目風(fēng)險(xiǎn)管理25 HYPERLINK l bookmark66 o Current Document 5.3.1項(xiàng)目進(jìn)度風(fēng)險(xiǎn)的管理25 HYPERLINK l bookmark76 o Current Document 5.3.2項(xiàng)目協(xié)作與溝通風(fēng)險(xiǎn)的管理27 HYPERLINK l bookmark86 o C

6、urrent Document 5.3.3測(cè)評(píng)工作引入風(fēng)險(xiǎn)的管理29 HYPERLINK l bookmark98 o Current Document 5.4保密控制管理315.4.1人員保密管理315.4.2設(shè)備保密管理325.4.3文檔保密管理32 HYPERLINK l bookmark100 o Current Document 6.簽字確認(rèn)33 1.概述1.1項(xiàng)目背景根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求、信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息安全技術(shù)信息安全等級(jí)保護(hù)管理規(guī)定等一系列國(guó)家及信息安全技術(shù)針對(duì)信息系統(tǒng)等級(jí)保護(hù)頒布的

7、政策法規(guī)及文件要求，定級(jí)為等級(jí)保護(hù)二級(jí)的信息系統(tǒng)應(yīng)該每年至少進(jìn)行一次等級(jí)測(cè)評(píng)。目前xxxxxxxxxx信息系統(tǒng)尚未進(jìn)行過等級(jí)保護(hù)專業(yè)測(cè)評(píng)。為進(jìn)一步加強(qiáng)xxxxxxxxxx信息系統(tǒng)等級(jí)保護(hù)工作，按照信息安全技術(shù)信息安全等級(jí)保護(hù)管理規(guī)定相關(guān)規(guī)定，計(jì)劃對(duì)xxxxxxxxxx重要的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)專業(yè)測(cè)評(píng)。依據(jù)信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）的相關(guān)要求，也為了持續(xù)有效提高信息系統(tǒng)的安全防護(hù)能力，受xxxxxxxxxx委托我中心計(jì)劃與2016年2月29日起對(duì)xxxxxxxxxx信息系統(tǒng)實(shí)施信息安全等級(jí)測(cè)評(píng)工作，以期通過此次測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全防護(hù)措施的薄弱環(huán)節(jié)，為下一步的信息系統(tǒng)安全

8、建設(shè)整改提供可靠依據(jù)，以有效提高xxxxxxxxxx信息系統(tǒng)的安全運(yùn)行能力。1.2項(xiàng)目目的通過對(duì)xxxxxxxxxx開展安全測(cè)評(píng)工作，可以全面、完整地了解當(dāng)前xxxxxxxxxx的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)。根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問題，并對(duì)嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略，并為下一步進(jìn)行整個(gè)系統(tǒng)的信息系統(tǒng)安全建設(shè)做前期準(zhǔn)備。對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)是國(guó)家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。通過對(duì)xxxxxxxxxx實(shí)施等級(jí)測(cè)評(píng)可以發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級(jí)或目標(biāo)的差異，可以在技術(shù)和管理方面進(jìn)行有針對(duì)性的加強(qiáng)和完善，使

9、xxxxxxxxxx安全工作有的放矢。xxxxxxxxxx可依據(jù)等級(jí)測(cè)評(píng)結(jié)果，并結(jié)合單位的實(shí)際情況，區(qū)分輕重緩急，制定針對(duì)性的安全整改建議，通過安全整改不斷提高信息系統(tǒng)的整體安全保護(hù)水平。1.3工作依據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T22240-2008)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T22239-2008)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T28448-2012)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南(GB/T28449-2012)信息

10、安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(GB/T25058-2010)信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006)信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006)信息安全技術(shù)服務(wù)器技術(shù)要求(GB/T21028-2007)信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求(GA/T671-2006)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T20984-2007)技術(shù)思路和工作內(nèi)容2.1技術(shù)思路2.1.1測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)暫定選取信息安全技術(shù)信息系統(tǒng)

11、安全等級(jí)保護(hù)基本要求中2級(jí)系統(tǒng)基本要求指標(biāo)，包括信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求7.1節(jié)“技術(shù)要求”中的2級(jí)通用指標(biāo)類(G2),2級(jí)業(yè)務(wù)信息安全性指標(biāo)類(S2)，和2級(jí)業(yè)務(wù)服務(wù)保證類(A2)，以及7.2節(jié)“管理要求”中的所有要求，安全控制指標(biāo)如下表：安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注物理安全物理位置的選擇1測(cè)評(píng)物理機(jī)房所在的外部環(huán)境安全性。物理訪問控制2測(cè)評(píng)進(jìn)出機(jī)房的審批控制手段以及機(jī)房出入口的安全控制情況。防盜竊和防破壞5測(cè)評(píng)機(jī)房?jī)?nèi)設(shè)備和通信線纜的安全性以及監(jiān)控報(bào)警系統(tǒng)建設(shè)情況。防雷擊2測(cè)評(píng)建筑防雷和防感應(yīng)雷的建設(shè)情況。防火1+測(cè)評(píng)自動(dòng)監(jiān)控防火系統(tǒng)設(shè)置情況以及機(jī)房材料防火情況。防水和防潮3

12、測(cè)評(píng)機(jī)房?jī)?nèi)水管設(shè)置情況、防止結(jié)露所采取的措施以及監(jiān)控報(bào)警系統(tǒng)建設(shè)情況。防靜電1測(cè)評(píng)機(jī)房防靜電所采取的措施。溫濕度控制1+測(cè)評(píng)機(jī)房溫濕度控制措施。電力供應(yīng)2測(cè)評(píng)電力線路、備用電源以及發(fā)電機(jī)的配備情況。電磁防護(hù)1測(cè)評(píng)線纜電磁防護(hù)手段和設(shè)備電磁防護(hù)手段。網(wǎng)絡(luò)安全結(jié)構(gòu)安全4+主要核查：主要網(wǎng)絡(luò)設(shè)備的處理能力、業(yè)務(wù)高峰期需求帶寬、路由控制、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否一致、子網(wǎng)劃分、技術(shù)隔離手段和帶寬分配朿略。訪問控制4+主要核查：訪問控制功能、協(xié)議深層檢測(cè)、網(wǎng)絡(luò)連接超時(shí)、流量限制和并發(fā)連接數(shù)限制等等。安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注安全審計(jì)2主要核查：網(wǎng)絡(luò)設(shè)備日志收集、分析和統(tǒng)計(jì)以及保護(hù)等等。邊界完整性檢查1主要核

13、查：是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查并準(zhǔn)確定位和阻斷；是否能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查并準(zhǔn)確定位和阻斷。入侵防范1主要核查：部署IDS、IPS系統(tǒng)以及使用情況。網(wǎng)絡(luò)設(shè)備防護(hù)6主要核查：用戶身份鑒別、管理員登錄地址限制、用戶標(biāo)識(shí)唯一性、組合鑒別技術(shù)、口令朿略、登錄朿略、遠(yuǎn)程管理和權(quán)限分離。主機(jī)安全身份鑒別5主要核查：用戶身份鑒別方式、賬號(hào)與用戶對(duì)應(yīng)關(guān)系和密碼安全強(qiáng)度，包括賬戶和口令長(zhǎng)度設(shè)置情況，口令更改周期等；登錄失敗處理功能設(shè)置情況。訪問控制4主要核查：特權(quán)用戶的權(quán)限分離情況；默認(rèn)賬戶的訪問權(quán)限；多余和過期的賬戶的處理情況；管理用戶最小授權(quán)原則落實(shí)情況。安

14、全審計(jì)4主要核查：安全審計(jì)的覆蓋范圍；記錄內(nèi)容完整性；審計(jì)記錄的分析能力；審計(jì)記錄的保護(hù)情況。入侵防范1+主要核查：重要服務(wù)器入侵行為的檢測(cè)/報(bào)警情況；重要程序的完整性保護(hù)情況；主機(jī)資源的使用情況；操作系統(tǒng)組件安裝和補(bǔ)丁升級(jí)情況。惡意代碼防范2主要核查：系統(tǒng)補(bǔ)丁安裝情況；防病毒和惡意代碼產(chǎn)品的使用情況及升級(jí)情況；核查系統(tǒng)是否有木馬程序。資源控制3主要核查：終端登錄限制方式；重要服務(wù)器資源的監(jiān)視情況；系統(tǒng)服務(wù)水平的核查和報(bào)警能力。應(yīng)用安全身份鑒別4主要核查：用戶身份鑒別方式、賬號(hào)與用戶對(duì)應(yīng)關(guān)系和密碼安全強(qiáng)度，包括賬戶和口令長(zhǎng)度設(shè)置情況，口令更改周期等；登錄失敗處理功能設(shè)置情況。訪問控制4主要核查

15、：特權(quán)用戶的權(quán)限分離情況；默認(rèn)賬戶的訪問權(quán)限；多余和過期的賬戶的處理情況；管理用戶最小授權(quán)原則落實(shí)情況。安全審計(jì)3主要核查：安全審計(jì)的覆蓋范圍；記錄內(nèi)容完整性；審計(jì)記錄的分析能力；審計(jì)記錄的保護(hù)情況。通信完整性1+主要核查：密碼在傳輸過程中所米用的技術(shù)是否能保證通信過程中數(shù)據(jù)的完整性。安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注通信保密性2主要核查：通信過程中信息的傳遞是否加密。軟件容錯(cuò)2主要核查：數(shù)據(jù)的校驗(yàn)功能以及恢復(fù)能力。資源控制3主要核查：終端登錄限制方式；重要服務(wù)器資源的監(jiān)視情況；系統(tǒng)服務(wù)水平的核查和報(bào)警能力。數(shù)據(jù)安全數(shù)據(jù)完整性1+主要核查：系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性和恢

16、復(fù)措施。數(shù)據(jù)保密性1主要核查：系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸保密性和存儲(chǔ)保密性。備份和恢復(fù)2主要核查：備份策略、介質(zhì)存放和數(shù)據(jù)恢復(fù)等。安全管理制度管理制度3+主要核查：總體安全策略建設(shè)情況；各類安全管理制度建設(shè)情況以及各類系統(tǒng)操作規(guī)范建設(shè)情況。制定和發(fā)布3主要核查：安全管理制度制定的責(zé)任部門設(shè)立情況；安全管理制度的制定過程以及發(fā)布方式。評(píng)審和修訂1主要核查：安全管理制度評(píng)審修訂時(shí)機(jī)以及目前安全管理制度修訂情況。安全管理機(jī)構(gòu)崗位設(shè)置2主要核查：安全管理崗位設(shè)立及職責(zé)明確情況。人員配備2主要核查：安全管理崗位人員配備情況。授權(quán)和審批2主要核查：針對(duì)重大系統(tǒng)操作的授權(quán)和審批情況。溝通和合

17、作2主要核查：與系統(tǒng)內(nèi)部以及外部相關(guān)部門、單位的日常溝通機(jī)制。審核和檢查1主要核查：系統(tǒng)安全檢查工作規(guī)范化程度和落實(shí)情況。安全人員管理人員錄用3+主要核查：人員錄用過程規(guī)范化管理；對(duì)錄用人員保密責(zé)任的約束方式以及對(duì)關(guān)鍵岡位職責(zé)約束的方式。人員離崗3主要核查：人員離崗過程控制；人員離崗的保密承諾控制。人員考核1主要核查：人員日常技能考核情況以及針對(duì)關(guān)鍵崗位的信用審查情況。安全意識(shí)教育和培訓(xùn)3+主要核查：安全培訓(xùn)計(jì)劃的制定情況和實(shí)施情況。外部人員訪問管理1+主要核查：對(duì)外部人員進(jìn)入重要區(qū)域的審批、控制管理。安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)3主要核查：信息系統(tǒng)是否明確其安全保護(hù)等級(jí)，

18、系統(tǒng)定級(jí)的相關(guān)情況。女全方案設(shè)計(jì)4主要核查：系統(tǒng)的信息安全工作的總體規(guī)劃設(shè)計(jì)情況。產(chǎn)品采購(gòu)和使用3主要核查：系統(tǒng)中信息安全產(chǎn)品的米購(gòu)和使用管理措施。自行軟件開發(fā)3主要核查：系統(tǒng)內(nèi)自行軟件開發(fā)工作的管理和控制措施。外包軟件開發(fā)4主要核查：外包開發(fā)的軟件質(zhì)量，保證外包軟件安全可用。工程實(shí)施2主要核查：信息系統(tǒng)工程的實(shí)施情況。測(cè)試驗(yàn)收3主要核查：信息系統(tǒng)工程的驗(yàn)收情況。系統(tǒng)父付3主要核查：信息系統(tǒng)工程的交付情況。安全服務(wù)商選擇3主要核查：對(duì)系統(tǒng)中相關(guān)的安全服務(wù)商選擇以及服務(wù)管理措施。系統(tǒng)運(yùn)維管理環(huán)境管理4主要核查：對(duì)機(jī)房基礎(chǔ)設(shè)施日常管理情況以及辦公環(huán)境的管理。資產(chǎn)管理4主要核查：對(duì)系統(tǒng)資產(chǎn)管理的制度

19、建設(shè)情況以及標(biāo)識(shí)管理。介質(zhì)管理4主要核查：對(duì)各類介質(zhì)的傳輸、使用、存儲(chǔ)和銷毀等環(huán)節(jié)的管理。設(shè)備管理4主要核查：對(duì)各類設(shè)備日常的使用、操作和維護(hù)維修的管理。網(wǎng)絡(luò)安全管理6主要核查：安全管理制度建設(shè)情況以及違規(guī)聯(lián)網(wǎng)檢查情況。系統(tǒng)安全管理6主要核查：對(duì)系統(tǒng)的訪問權(quán)限控制、補(bǔ)丁、日常漏洞掃描以及審計(jì)的管理。惡意代碼防范管理3主要核查：對(duì)惡意代碼的檢測(cè)、分析等防范工作的管理。密碼管理1主要核查：密碼使用的制度化建設(shè)及落實(shí)情況。變更管理2主要核查：變更活動(dòng)制度化建設(shè)情況以及變更前、變更中和變更后的規(guī)范化管理情況。備份與恢復(fù)管理3主要核查：系統(tǒng)數(shù)據(jù)的日常備份管理以及系統(tǒng)恢復(fù)管理。安全事件處置4主要核查：安全

20、事件報(bào)告和處置的制度建設(shè)情況以及不同安全事件處理過程的規(guī)范化管理情況。安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注應(yīng)急預(yù)案管理2主要核查：應(yīng)急預(yù)案制定情況、人力、設(shè)備、技術(shù)、財(cái)務(wù)和外部協(xié)作等方面的資源保障情況以及對(duì)應(yīng)急預(yù)案的培訓(xùn)和日常演練情況。2.1.2測(cè)評(píng)對(duì)象選擇方法測(cè)評(píng)對(duì)象的確定采用抽查的方法，即：抽查信息系統(tǒng)中具有代表性的組件作為測(cè)評(píng)對(duì)象。并且，在測(cè)評(píng)對(duì)象確定任務(wù)中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。第二級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)，測(cè)評(píng)對(duì)象種類上基本覆蓋，數(shù)量進(jìn)行抽樣，重點(diǎn)抽查主要的設(shè)備、設(shè)施、人員和文檔等。抽查的測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：1）主機(jī)房（包括其環(huán)境、設(shè)備和設(shè)施等）和部分輔機(jī)房，應(yīng)將放

21、置了服務(wù)于信息系統(tǒng)的局部（包括整體）或?qū)π畔⑾到y(tǒng)的局部（包括整體）安全性起重要作用的設(shè)備、設(shè)施的輔機(jī)房選取作為測(cè)評(píng)對(duì)象；2）存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；3）辦公場(chǎng)地；4）整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；5）安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；6）邊界網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備），包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備（如樓層交換機(jī)）等；7）對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等；8）承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫(kù)）；9）管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；10）業(yè)務(wù)備份系統(tǒng)；11）信息安全主管人員、

22、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；12）涉及到信息系統(tǒng)安全的所有管理制度和記錄。在本級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，信息系統(tǒng)中配置相同的安全設(shè)備、邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備、服務(wù)器、終端以及備份終端，每類應(yīng)至少抽查一臺(tái)作為測(cè)評(píng)對(duì)象。2.1.3測(cè)評(píng)方法現(xiàn)場(chǎng)測(cè)評(píng)一般包括訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看五個(gè)方面訪談是指測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。文檔審查是指檢查GB/T22239-2008中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備，是否有完整的制度執(zhí)行情況記錄以及文件的完整性和這些文件之間的內(nèi)部一致性。實(shí)地察

23、看是指根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，測(cè)評(píng)人員到系統(tǒng)運(yùn)行現(xiàn)場(chǎng)通過實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的安全要求。配置檢查是根據(jù)測(cè)評(píng)結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等）。2.2工作范圍內(nèi)容最終內(nèi)容將通過現(xiàn)場(chǎng)需求調(diào)研、項(xiàng)目會(huì)議等方式與用戶方最終確認(rèn)，預(yù)計(jì)對(duì)xxxxxxxxxx進(jìn)行信息安全現(xiàn)狀與標(biāo)準(zhǔn)對(duì)照的符合性檢查和檢測(cè)。這些系統(tǒng)既相互獨(dú)立，又存在著一定的業(yè)務(wù)關(guān)聯(lián)。重點(diǎn)測(cè)

24、試和評(píng)估的區(qū)域是位于中心機(jī)房的主要設(shè)備和其所支撐的網(wǎng)絡(luò)和應(yīng)用環(huán)境。等級(jí)測(cè)評(píng)具體測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象內(nèi)容VP?IV冃-預(yù)抽樣數(shù)量物理安全測(cè)評(píng)對(duì)象xxxx研究院9樓機(jī)房、xxxx研究院B0201機(jī)房、xxxx研究院6樓機(jī)房網(wǎng)絡(luò)安全測(cè)評(píng)對(duì)象被測(cè)評(píng)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備邊界網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備），包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備（如樓層交換機(jī)）等對(duì)整個(gè)被測(cè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等。主機(jī)安全測(cè)評(píng)對(duì)象承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫(kù)）；管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端。應(yīng)用安全

25、測(cè)評(píng)對(duì)象能夠完成被測(cè)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)。管理安全測(cè)評(píng)對(duì)象信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；涉及到信息系統(tǒng)安全的所有管理制度和記錄。項(xiàng)目實(shí)施方案3.1項(xiàng)目實(shí)施過程項(xiàng)目實(shí)施過程共分為四項(xiàng)活動(dòng)，即測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)動(dòng)、分析與報(bào)告編制活動(dòng)，基本工作流程圖如下：現(xiàn)場(chǎng)測(cè)評(píng)活測(cè)評(píng)準(zhǔn)備活動(dòng)等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng)信息收集與分析工具和表單準(zhǔn)備測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)廿析與報(bào)告編制活動(dòng)測(cè)評(píng)工貝接入點(diǎn)確宦測(cè)耐容確定測(cè)評(píng)實(shí)施手冊(cè)開發(fā)測(cè)評(píng)肓案編制+測(cè)評(píng)實(shí)施準(zhǔn)備+現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄+結(jié)果確認(rèn)和資料歸還單項(xiàng)測(cè)評(píng)結(jié)果判定+單項(xiàng)測(cè)評(píng)結(jié)果匯總分析系統(tǒng)整悴測(cè)評(píng)分析風(fēng)險(xiǎn)

26、分析測(cè)用民告編制3.2階段工作產(chǎn)品1)測(cè)評(píng)準(zhǔn)備活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容項(xiàng)目啟動(dòng)項(xiàng)目計(jì)劃書項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等信息收集和分析被測(cè)系統(tǒng)基本情況分析報(bào)告說(shuō)明被測(cè)系統(tǒng)的范圍、安全保護(hù)等級(jí)、業(yè)務(wù)情況、保護(hù)情況、被測(cè)系統(tǒng)的管理模式和相關(guān)部門及角色等工具和表單準(zhǔn)備選用的測(cè)評(píng)工具清單；打印的各類表單：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、文檔交接單現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)、交接的文檔名稱2)方案編制活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容測(cè)評(píng)對(duì)象確定測(cè)評(píng)方案的測(cè)評(píng)對(duì)象部分被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)、測(cè)評(píng)對(duì)象等測(cè)評(píng)指標(biāo)確定測(cè)評(píng)方案的測(cè)評(píng)指標(biāo)部分被測(cè)系統(tǒng)定級(jí)結(jié)果、測(cè)評(píng)指標(biāo)測(cè)評(píng)內(nèi)容確定測(cè)評(píng)方案的單項(xiàng)測(cè)評(píng)實(shí)施和

27、系統(tǒng)測(cè)評(píng)實(shí)施部分單項(xiàng)測(cè)評(píng)實(shí)施內(nèi)容及系統(tǒng)測(cè)評(píng)實(shí)施內(nèi)容測(cè)評(píng)實(shí)施手冊(cè)開發(fā)測(cè)評(píng)方案的測(cè)評(píng)實(shí)施手冊(cè)部分各測(cè)評(píng)對(duì)象的測(cè)評(píng)內(nèi)容及方法測(cè)評(píng)方案編制測(cè)評(píng)方案文本項(xiàng)目概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、單項(xiàng)測(cè)評(píng)實(shí)施和系統(tǒng)測(cè)評(píng)實(shí)施內(nèi)容、測(cè)評(píng)實(shí)施手冊(cè)等現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備會(huì)議記錄、確認(rèn)的授權(quán)委托書、更新后的測(cè)評(píng)計(jì)劃和測(cè)評(píng)程序工作計(jì)劃和內(nèi)容安排，雙方人員的協(xié)調(diào)，被測(cè)單位應(yīng)提供的配合訪談技術(shù)安全和官理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音訪談結(jié)果文檔審查管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄管理制度和管理執(zhí)行過程文檔的符合情況配置檢查技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格檢查內(nèi)容的結(jié)果實(shí)地察看技術(shù)安全

28、測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄檢查內(nèi)容的結(jié)果測(cè)評(píng)結(jié)果確認(rèn)現(xiàn)場(chǎng)核查中發(fā)現(xiàn)的問題匯總、證據(jù)和證據(jù)源記錄、被測(cè)單位的書面認(rèn)可文件測(cè)評(píng)活動(dòng)中發(fā)現(xiàn)的問題、問題的證據(jù)和證據(jù)源、每項(xiàng)檢查活動(dòng)中被測(cè)單位配合人員的書面認(rèn)可4）分析與報(bào)告編制活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容單項(xiàng)測(cè)評(píng)結(jié)果判定等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果部分分析被測(cè)系統(tǒng)的安全現(xiàn)狀（各個(gè)層面的基本安全狀況）與標(biāo)準(zhǔn)中相應(yīng)等級(jí)的基本要求的符合情況，給出單項(xiàng)測(cè)評(píng)結(jié)果單項(xiàng)測(cè)評(píng)結(jié)果匯總分析等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果匯總分析部分匯總統(tǒng)計(jì)分析單項(xiàng)測(cè)評(píng)結(jié)果系統(tǒng)整體測(cè)評(píng)分析等級(jí)測(cè)評(píng)報(bào)告的系統(tǒng)整體測(cè)評(píng)分析部分分析系統(tǒng)整體安全狀況及對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的修訂情況綜合測(cè)評(píng)結(jié)論形成等

29、級(jí)測(cè)評(píng)報(bào)告的等級(jí)測(cè)評(píng)結(jié)論部分對(duì)各項(xiàng)結(jié)果進(jìn)行分析，形成測(cè)評(píng)結(jié)論測(cè)評(píng)報(bào)告編制等級(jí)測(cè)評(píng)報(bào)告單項(xiàng)測(cè)評(píng)記錄和結(jié)果，單項(xiàng)測(cè)評(píng)結(jié)果匯總分析，系統(tǒng)整體測(cè)評(píng)結(jié)果及分析，等級(jí)測(cè)評(píng)結(jié)論，改進(jìn)建議等項(xiàng)目組織方案4.1項(xiàng)目組織結(jié)構(gòu)項(xiàng)目管理組：負(fù)責(zé)人為雙方項(xiàng)目負(fù)責(zé)人，負(fù)責(zé)整個(gè)項(xiàng)目的工作進(jìn)展、時(shí)間、人員的安排及雙方的協(xié)調(diào)工作。管理測(cè)評(píng)組：負(fù)責(zé)管理方面的測(cè)評(píng)工作，包括：機(jī)構(gòu)管理、人員管理、制度管理、建設(shè)管理、運(yùn)維管理。技術(shù)測(cè)評(píng)組：對(duì)物理、網(wǎng)絡(luò)安全方面的進(jìn)行測(cè)評(píng)，并做好現(xiàn)場(chǎng)記錄，負(fù)責(zé)測(cè)評(píng)報(bào)告的編寫等。質(zhì)量監(jiān)督組：負(fù)責(zé)對(duì)整個(gè)項(xiàng)目的質(zhì)量監(jiān)督，包括方案、計(jì)劃、報(bào)告等評(píng)審工作，針對(duì)測(cè)評(píng)工作中的異議問題進(jìn)行核查解決。業(yè)務(wù)專項(xiàng)配合組：由被

30、測(cè)評(píng)單位組織，針對(duì)被測(cè)系統(tǒng)情況給予說(shuō)明和配合。4.2人員構(gòu)成和職責(zé)組別分工姓名職責(zé)對(duì)方配合人員項(xiàng)目管理組項(xiàng)目經(jīng)理商務(wù)經(jīng)理項(xiàng)目助理質(zhì)量管理組組長(zhǎng)組員組員組員管理測(cè)評(píng)組組長(zhǎng)組員技術(shù)測(cè)評(píng)組組長(zhǎng)組員組員組員組員組員組員業(yè)務(wù)專項(xiàng)配合組組長(zhǎng)待定組員待定4.3項(xiàng)目實(shí)施計(jì)劃階段工作內(nèi)容時(shí)間計(jì)劃對(duì)方配合內(nèi)容階段輸出項(xiàng)目準(zhǔn)備起草項(xiàng)目計(jì)劃XXX個(gè)工作日項(xiàng)目計(jì)劃書評(píng)審論證項(xiàng)目計(jì)劃分解評(píng)審論證系統(tǒng)調(diào)查準(zhǔn)備調(diào)查表XXX個(gè)工作日信息系統(tǒng)調(diào)查表收集調(diào)查結(jié)果調(diào)查材料分析整理測(cè)評(píng)準(zhǔn)備制定核查方案XXX個(gè)工作日測(cè)評(píng)方案評(píng)審論證制定測(cè)試方案評(píng)審論證準(zhǔn)備測(cè)試工具模擬環(huán)境測(cè)試現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備委托書等現(xiàn)場(chǎng)文檔XXX個(gè)工作日現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書、

31、測(cè)試計(jì)劃、測(cè)試報(bào)告測(cè)試方案調(diào)整和確認(rèn)制定核查計(jì)劃現(xiàn)場(chǎng)核查記錄核查結(jié)果制定測(cè)試計(jì)劃現(xiàn)場(chǎng)測(cè)試記錄測(cè)試結(jié)果萬(wàn)案編制核查材料整理XXX個(gè)工作日等級(jí)測(cè)評(píng)報(bào)告測(cè)試材料整理撰寫測(cè)評(píng)報(bào)告評(píng)審論證總結(jié)整個(gè)工作過程 1）測(cè)評(píng)準(zhǔn)備階段 項(xiàng)目質(zhì)量管理和控制5.1過程質(zhì)量控制管理5.1.1過程質(zhì)量管理風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)項(xiàng)目的質(zhì)量是整個(gè)測(cè)評(píng)工作的核心，如測(cè)評(píng)質(zhì)量沒有保障，整個(gè)測(cè)評(píng)工作的意義就無(wú)從談起。在質(zhì)量管理方面，主要從以下幾點(diǎn)進(jìn)行說(shuō)明：1）測(cè)評(píng)準(zhǔn)備階段本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過程有效性的保證測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，為實(shí)施測(cè)評(píng)做

32、好文檔及測(cè)試工具等方面的準(zhǔn)備。2）方案編制階段本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是開發(fā)與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)內(nèi)容、測(cè)評(píng)實(shí)施手冊(cè)等，形成測(cè)評(píng)方案。3）現(xiàn)場(chǎng)測(cè)評(píng)階段本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)實(shí)施手冊(cè)，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單項(xiàng)測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。4）分析與報(bào)告編制階段本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和信息系統(tǒng)安全等級(jí)保

33、護(hù)測(cè)評(píng)要求的有關(guān)要求，通過單項(xiàng)測(cè)評(píng)結(jié)果判定和系統(tǒng)整體測(cè)評(píng)分析等方法，分析整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，綜合評(píng)價(jià)被測(cè)信息系統(tǒng)保護(hù)狀況，并形成測(cè)評(píng)報(bào)告文本。5.1.2過程質(zhì)量風(fēng)險(xiǎn)控制未填寫測(cè)評(píng)任務(wù)流程卡的風(fēng)險(xiǎn)項(xiàng)目流程卡是在進(jìn)行測(cè)評(píng)活動(dòng)之前對(duì)整個(gè)測(cè)評(píng)活動(dòng)的流程進(jìn)行一個(gè)大體的描述，從中可以對(duì)被測(cè)單位的基本資料進(jìn)行了解，包括：被測(cè)系統(tǒng)總體描述文件，被測(cè)系統(tǒng)詳細(xì)描述文件，被測(cè)系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)告，被測(cè)系統(tǒng)安全總體方案等。另外也能初步了解被測(cè)單位的信息化建設(shè)狀況與發(fā)展，被測(cè)系統(tǒng)，包括被測(cè)系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置體系結(jié)構(gòu)、主要功能

34、等被測(cè)系統(tǒng)基本情況，獲得被測(cè)系統(tǒng)的背景信息和聯(lián)絡(luò)方式等。測(cè)評(píng)人員還能從中得知整個(gè)測(cè)評(píng)工作的任務(wù)，在什么階段、什么時(shí)間、什么地點(diǎn)應(yīng)該做什么樣的測(cè)評(píng)任務(wù)。風(fēng)險(xiǎn)點(diǎn)：未填寫測(cè)評(píng)任務(wù)流程卡將造成不夠了解被測(cè)單位的基本信息系統(tǒng)對(duì)信息系統(tǒng)測(cè)評(píng)不全面，測(cè)評(píng)范圍不明確，甚至造成誤操作，從而使測(cè)評(píng)數(shù)據(jù)不準(zhǔn)確，更可能會(huì)造成測(cè)評(píng)結(jié)果與想要得到的完全不符，影響整個(gè)測(cè)評(píng)工作的進(jìn)展，耗費(fèi)了人力、物力、財(cái)力、給公司造成不必要的損失。還可能造成對(duì)測(cè)評(píng)任務(wù)不了解，不知道如何進(jìn)展，或進(jìn)展工作混亂，可能會(huì)使一部分系統(tǒng)沒有測(cè)評(píng)到，或在規(guī)定的時(shí)間內(nèi)不能完成指定的任務(wù)，是整個(gè)測(cè)評(píng)工期延長(zhǎng)，影響測(cè)評(píng)任務(wù)。這些情況都會(huì)影響到測(cè)評(píng)結(jié)果，跟定級(jí)內(nèi)

35、容不相符，造成無(wú)法定級(jí)，影響被側(cè)單位，也會(huì)損害到公司的榮譽(yù)。控制方法：在進(jìn)行測(cè)評(píng)之前要認(rèn)真填寫好測(cè)評(píng)任務(wù)流程卡，組建測(cè)評(píng)項(xiàng)目組，從資料、人員、計(jì)劃安排等方面為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)施做好準(zhǔn)備，熟悉被測(cè)單位信息系統(tǒng)的基本信息，并編制項(xiàng)目計(jì)劃書。項(xiàng)目計(jì)劃書應(yīng)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等了解整個(gè)測(cè)評(píng)任務(wù)，把握好測(cè)評(píng)工作的進(jìn)展。使用的測(cè)評(píng)工具沒有校準(zhǔn)測(cè)評(píng)工具是在對(duì)被側(cè)單位信息系統(tǒng)、設(shè)備等進(jìn)行測(cè)試其是否能正常使用的一種工具。在測(cè)試的廣度上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試，功能測(cè)試可能涉及機(jī)制的功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程

36、等文檔，滲透測(cè)試可能涉及機(jī)制的所有可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)涉及到漏洞掃描工具、滲透測(cè)評(píng)工具集和協(xié)議分析工具等多種測(cè)試工具。風(fēng)險(xiǎn)點(diǎn)：如果沒有進(jìn)行測(cè)評(píng)工具的校準(zhǔn)，或者測(cè)評(píng)工具準(zhǔn)備不齊，測(cè)評(píng)結(jié)果將無(wú)法真實(shí)，全面反映出來(lái)，致使有些系統(tǒng)無(wú)法進(jìn)行測(cè)評(píng)，不能全面了解到系統(tǒng)的情況和系統(tǒng)存在的潛在問題，造成一定的安全隱患。如果測(cè)評(píng)工具出現(xiàn)故障，會(huì)使整個(gè)測(cè)評(píng)工作受到影響，使正常的工作無(wú)法進(jìn)行，不能對(duì)系統(tǒng)進(jìn)行測(cè)試，影響測(cè)評(píng)進(jìn)度，可能會(huì)對(duì)系統(tǒng)的負(fù)載、服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害?？刂品椒ǎ涸谶M(jìn)行測(cè)評(píng)之前應(yīng)對(duì)測(cè)評(píng)工具進(jìn)行校準(zhǔn)，確保其正常運(yùn)行，根據(jù)測(cè)評(píng)活動(dòng)確定所需要準(zhǔn)備的測(cè)評(píng)工具，按

37、照測(cè)評(píng)工具清單進(jìn)行清點(diǎn)，確保所要用到的測(cè)評(píng)工具已經(jīng)準(zhǔn)備齊全，另外準(zhǔn)備部分備用工具作為備用。c）沒有項(xiàng)目計(jì)劃項(xiàng)目計(jì)劃是對(duì)整個(gè)測(cè)評(píng)工作進(jìn)行項(xiàng)目描述、工作流程、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織，時(shí)間控制等控制，保證項(xiàng)目能夠按期順利的完成。風(fēng)險(xiǎn)點(diǎn):如果沒有制作項(xiàng)目計(jì)劃，會(huì)導(dǎo)致后期項(xiàng)目任務(wù)不明確、管理無(wú)序、失控，工作不能按期完成?？刂品椒ǎ涸谶M(jìn)行測(cè)評(píng)工作之前，做好項(xiàng)目計(jì)劃，對(duì)每個(gè)測(cè)評(píng)人員明確分功。2）方案編制階段a）測(cè)評(píng)指標(biāo)選取不準(zhǔn)確測(cè)評(píng)指標(biāo)是在被測(cè)系統(tǒng)基本情況分析后，得出被測(cè)系統(tǒng)的定級(jí)結(jié)果，包括業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)。從GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中選擇相應(yīng)

38、等級(jí)的安全，包括對(duì)ASG三類安全要求的選擇。風(fēng)險(xiǎn)點(diǎn)：如果測(cè)評(píng)指標(biāo)選取不明確，會(huì)造成錯(cuò)誤定級(jí)，按照錯(cuò)誤的等級(jí)進(jìn)行測(cè)評(píng)工作，使用錯(cuò)誤的測(cè)評(píng)方法，將造成測(cè)評(píng)結(jié)果偏離，例如：某單位系統(tǒng)服務(wù)安全保護(hù)等級(jí)為2級(jí)；則該系統(tǒng)的測(cè)評(píng)指標(biāo)將包括GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求“技術(shù)要求”中的2級(jí)通用指標(biāo)類（G2）,2級(jí)業(yè)務(wù)信息安全指標(biāo)類（S2）,2級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A2），以及第2級(jí)“管理要求”中的所有指標(biāo)類。如果指標(biāo)錯(cuò)誤,會(huì)影響到后期的所有工作,耗費(fèi)了各方面的資源,使項(xiàng)目不能按期順利完成,同時(shí)也給公司帶來(lái)巨大的損失?？刂品椒ǎ和ㄟ^召開評(píng)審會(huì),詳細(xì)分析被測(cè)單位的信息系統(tǒng),對(duì)被測(cè)單位做好

39、準(zhǔn)確定級(jí),明確測(cè)評(píng)指標(biāo),順利做好測(cè)評(píng)工作。b）項(xiàng)目組每個(gè)成員包括工具測(cè)試人員開發(fā)測(cè)評(píng)實(shí)施手冊(cè)時(shí)對(duì)測(cè)評(píng)方法選取不當(dāng)測(cè)評(píng)實(shí)施手冊(cè)是具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)的文件,是現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等的詳細(xì)描述，是保證測(cè)評(píng)活動(dòng)可以重現(xiàn)的根本。因此，測(cè)評(píng)實(shí)施手冊(cè)應(yīng)當(dāng)盡可能詳盡、充分。風(fēng)險(xiǎn)點(diǎn)：如果測(cè)評(píng)實(shí)施手冊(cè)不使用，會(huì)直接導(dǎo)致測(cè)評(píng)工作的錯(cuò)誤進(jìn)行，包括測(cè)評(píng)項(xiàng)（每個(gè)測(cè)評(píng)項(xiàng)可能對(duì)應(yīng)多個(gè)測(cè)評(píng)方法）、測(cè)評(píng)方法（訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看等多種方法）、操作步驟和預(yù)期結(jié)果等。這樣所做的整個(gè)過程都將是一個(gè)錯(cuò)誤的過程，所做的工作也就沒有應(yīng)用價(jià)值，會(huì)延長(zhǎng)工期，會(huì)造成違約賠償問題，在人員、財(cái)力、時(shí)間的

40、浪費(fèi)上都無(wú)法彌補(bǔ)，也會(huì)影響到公司的榮譽(yù)控制方法：具體做法就是把各層面上的測(cè)評(píng)指標(biāo)結(jié)合到具體測(cè)評(píng)對(duì)象上，并說(shuō)明具體的測(cè)評(píng)方法，如此構(gòu)成一個(gè)個(gè)可以具體測(cè)評(píng)實(shí)施的單元。參照信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求，結(jié)合已選定的測(cè)評(píng)指標(biāo)和測(cè)評(píng)對(duì)象，概要說(shuō)明現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施的工作內(nèi)容來(lái)編制測(cè)評(píng)實(shí)施手冊(cè)，完成之后，對(duì)其進(jìn)行評(píng)審，通過以后，由總工技術(shù)負(fù)責(zé)人簽字確認(rèn)。c）測(cè)評(píng)實(shí)施工期時(shí)間測(cè)算不準(zhǔn)確測(cè)評(píng)實(shí)施工期是對(duì)整個(gè)項(xiàng)目進(jìn)行的一個(gè)時(shí)間控制，這樣便于把握整個(gè)項(xiàng)目的進(jìn)展。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)施工期不準(zhǔn)，使整個(gè)項(xiàng)目的工期延后，測(cè)評(píng)質(zhì)量下降，影響后續(xù)項(xiàng)目的開展?？刂品椒ǎ赫匍_評(píng)審會(huì)，由專家選取項(xiàng)目實(shí)施工期。d）測(cè)評(píng)現(xiàn)場(chǎng)人員分工計(jì)劃不合理風(fēng)

41、險(xiǎn)點(diǎn)：專業(yè)技術(shù)人員分配不合理，會(huì)造成對(duì)測(cè)評(píng)的測(cè)評(píng)不夠全面、深入，不能得到完整要的數(shù)據(jù)，不能站在合適的技術(shù)人員的角度去測(cè)評(píng)系統(tǒng)。另外，現(xiàn)場(chǎng)測(cè)評(píng)人員分工不合理，影響項(xiàng)目的進(jìn)展，人員太多造成現(xiàn)場(chǎng)混亂，現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間浪費(fèi)，工作質(zhì)量下降，人員太少會(huì)使測(cè)評(píng)任務(wù)無(wú)法按期完成?？刂品椒ǎ和ㄟ^評(píng)審會(huì)，對(duì)項(xiàng)目進(jìn)行分析，合理的安排測(cè)評(píng)人員。e）測(cè)評(píng)方案沒有評(píng)審測(cè)評(píng)方案是等級(jí)測(cè)評(píng)工作實(shí)施的基礎(chǔ)，指導(dǎo)等級(jí)測(cè)評(píng)工作的現(xiàn)場(chǎng)實(shí)施活動(dòng)。測(cè)評(píng)方案應(yīng)包括但不局限于以下內(nèi)容：項(xiàng)目概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)工具的接入點(diǎn)、單項(xiàng)測(cè)評(píng)實(shí)施、系統(tǒng)測(cè)評(píng)實(shí)施以及配套的測(cè)評(píng)實(shí)施手冊(cè)等。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒有經(jīng)過評(píng)審就投入使用，其中有些信息可能不準(zhǔn)確

42、、不全面或者是錯(cuò)誤的，如果按照這樣的測(cè)評(píng)方案進(jìn)行，就會(huì)造成誤操作，效率降低，測(cè)評(píng)結(jié)果也會(huì)有偏差，將不能得到準(zhǔn)確可靠的數(shù)據(jù)?？刂品椒ǎ赫匍_方案評(píng)審會(huì)，詳細(xì)分析被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。初步判斷被測(cè)系統(tǒng)的安全薄弱點(diǎn)。分析確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)試工具接入點(diǎn)，確定測(cè)評(píng)內(nèi)容及方法。編制測(cè)評(píng)方案文本，并對(duì)其內(nèi)部評(píng)審。取得被測(cè)機(jī)構(gòu)對(duì)測(cè)評(píng)方案所有內(nèi)容的簽字確認(rèn)，對(duì)測(cè)評(píng)方案進(jìn)行認(rèn)可，并簽字確認(rèn)。測(cè)評(píng)方案在內(nèi)部評(píng)審時(shí)沒有簽字和批準(zhǔn)風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒有經(jīng)過簽字和批準(zhǔn)就進(jìn)行測(cè)評(píng)，如果方案發(fā)生變化，而測(cè)評(píng)人員又不知道，這樣就會(huì)造成不必要的損害，已經(jīng)做過的測(cè)評(píng)工作就需要重新進(jìn)行?？刂品椒ǎ簻y(cè)評(píng)方

43、案在內(nèi)部評(píng)審時(shí)簽字批準(zhǔn)后再投入項(xiàng)目中?，F(xiàn)場(chǎng)測(cè)評(píng)階段測(cè)評(píng)方案未經(jīng)被測(cè)單位簽字認(rèn)可就開展實(shí)施風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒有經(jīng)過被測(cè)方簽字和批準(zhǔn)就進(jìn)行測(cè)評(píng)，會(huì)使公司承擔(dān)一定的法律和事故責(zé)任，對(duì)公司在信譽(yù)、財(cái)力上造成一定的損害?？刂品椒ǎ簻y(cè)評(píng)方案經(jīng)過被測(cè)單位簽字確認(rèn)后在進(jìn)行項(xiàng)目的實(shí)施?，F(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前未與委托方簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書風(fēng)險(xiǎn)點(diǎn)：現(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前未與委托方簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書，造成對(duì)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括被測(cè)單位的配合人員和需要提供的測(cè)評(píng)條件，現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施具體時(shí)間不明確，無(wú)法確定測(cè)評(píng)項(xiàng)目雙方責(zé)任?？刂品椒ǎ含F(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前與委托方簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書。項(xiàng)目負(fù)責(zé)人沒有根據(jù)委托方提出的意見

44、和建議，對(duì)測(cè)評(píng)方案進(jìn)行必要的更新風(fēng)險(xiǎn)點(diǎn)：如果沒有按照委托方的意見對(duì)測(cè)評(píng)方案進(jìn)行更新，項(xiàng)目將不能順利的往下開展，委托方將會(huì)不配合測(cè)評(píng)工作的開展，另外測(cè)評(píng)結(jié)果也會(huì)有偏差，甚至造成測(cè)評(píng)項(xiàng)目停止?？刂品椒ǎ焊鶕?jù)委托方提出的意見和建議，項(xiàng)目負(fù)責(zé)人對(duì)測(cè)評(píng)方案進(jìn)行必要的更新，并做更新記錄，重新進(jìn)行內(nèi)部評(píng)審并獲得批準(zhǔn)后重新裝訂測(cè)評(píng)方案。測(cè)評(píng)結(jié)果的記錄不準(zhǔn)確測(cè)評(píng)結(jié)果是整個(gè)測(cè)評(píng)過程的一個(gè)記錄，測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員(個(gè)人/群體)進(jìn)行交流、討論、檢查等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息的數(shù)據(jù)反映。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)結(jié)果錯(cuò)誤，將不能給被測(cè)單位信息做一個(gè)正確的反映，對(duì)所做的訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看等這些

45、方面的數(shù)據(jù)都不能真實(shí)體現(xiàn)，嚴(yán)重的話可能需要重新進(jìn)行測(cè)評(píng)，那將會(huì)造成不可估量的損失。控制方法：可以通過現(xiàn)場(chǎng)錄音，校準(zhǔn)員對(duì)結(jié)果進(jìn)行校準(zhǔn)。測(cè)評(píng)結(jié)果沒有用戶簽字確認(rèn)風(fēng)險(xiǎn)點(diǎn)：沒有經(jīng)過用戶簽字的測(cè)評(píng)結(jié)果是沒有可信度的，如果其中存在問題，用戶可能會(huì)否認(rèn)，降低對(duì)測(cè)評(píng)結(jié)果的可信度，影響到后續(xù)的工作?？刂品椒ǎ含F(xiàn)場(chǎng)測(cè)評(píng)后的記錄應(yīng)及時(shí)讓用戶簽字確認(rèn)。管理類測(cè)評(píng)文檔審查中，測(cè)評(píng)人員對(duì)文檔審查的覆蓋面不全管理類測(cè)評(píng)文檔是對(duì)測(cè)評(píng)流程進(jìn)行記錄的一個(gè)過程，包括現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、訪談文檔審查、配置檢查、工具測(cè)試、實(shí)地察看、測(cè)評(píng)結(jié)果確認(rèn)。風(fēng)險(xiǎn)點(diǎn)：管理類測(cè)評(píng)文檔審查中，測(cè)評(píng)人員對(duì)文檔審查的覆蓋面不全，這樣會(huì)缺少某方面的資料，使測(cè)評(píng)結(jié)果

46、參考不夠全面，影響后續(xù)工作。控制方法：建立管理類文檔審查清單。測(cè)評(píng)核查表審查結(jié)果記錄落實(shí)核查表是按照被測(cè)單位的等級(jí)要求進(jìn)行核查的測(cè)評(píng)項(xiàng)清單。風(fēng)險(xiǎn)點(diǎn)：如果不對(duì)測(cè)評(píng)核查表審核的結(jié)果進(jìn)行記錄，就不知道哪些設(shè)備核查過哪些沒有核查，不便于結(jié)果的統(tǒng)計(jì)，容易造成漏查?？刂品椒ǎ簩?duì)已查設(shè)備做好記錄，制作補(bǔ)查表，進(jìn)行補(bǔ)查。管理類測(cè)評(píng)應(yīng)根據(jù)系統(tǒng)等級(jí)確定不同的測(cè)評(píng)強(qiáng)度不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的強(qiáng)度要求不同。一級(jí)：滿足GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的一級(jí)要求二級(jí)：滿足GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的二級(jí)要求并且所有文檔之間應(yīng)保持一致性，要求有執(zhí)行過程記錄的，

47、過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)際情況保持一致。三級(jí)：滿足GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的三級(jí)要求所有文檔應(yīng)具備且完整，并且所有文檔之間應(yīng)保持一致性，要求有執(zhí)行過程記錄的過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)際情況保持一致，安全管理過程應(yīng)與系統(tǒng)設(shè)計(jì)方案保持一致且能夠有效管理系統(tǒng)。四級(jí)：滿足GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的四級(jí)要求，所有文檔應(yīng)具備且完整，并且所有文檔之間應(yīng)保持一致性，要求有執(zhí)行過程記錄的，過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)際情況保持一致，安全管理過程

48、應(yīng)與系統(tǒng)設(shè)計(jì)方案保持一致且能夠有效管理系統(tǒng)。風(fēng)險(xiǎn)點(diǎn)：在測(cè)評(píng)過程中如果對(duì)測(cè)評(píng)信息系統(tǒng)所使用的強(qiáng)度不合理，會(huì)造成錯(cuò)誤的測(cè)評(píng)結(jié)果，對(duì)被測(cè)單位制定安全方針文件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等文件造成影響。控制方法：開評(píng)審會(huì)，按照相應(yīng)的強(qiáng)度要求來(lái)做測(cè)評(píng)。配置檢查應(yīng)根據(jù)系統(tǒng)等級(jí)確定不同的測(cè)評(píng)強(qiáng)度技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。下面列出對(duì)不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的不同強(qiáng)度要求。一級(jí)：滿足GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的一級(jí)要求二級(jí)：滿足G

49、B/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的二級(jí)要求測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則的一致性。三級(jí)：滿足GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的三級(jí)要求測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則的一致性，測(cè)試系統(tǒng)是否達(dá)到可用性和可靠性的要求。四級(jí)：滿足GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的四級(jí)要求測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則的一致性，測(cè)試系統(tǒng)是否達(dá)到可用性和可靠性的要求。風(fēng)險(xiǎn)點(diǎn)：不同等級(jí)，沒有使用相對(duì)應(yīng)的測(cè)評(píng)強(qiáng)度，同樣會(huì)造成錯(cuò)誤的測(cè)評(píng)結(jié)果如果系統(tǒng)在輸入無(wú)效

50、命令時(shí)不能完成其功能，將要對(duì)其進(jìn)行錯(cuò)誤測(cè)試，針對(duì)網(wǎng)絡(luò)連接，應(yīng)對(duì)連接規(guī)則進(jìn)行驗(yàn)證，如果方法錯(cuò)誤，將使驗(yàn)證結(jié)果不正確?？刂品椒ǎ洪_評(píng)審會(huì)，給被測(cè)單位做好測(cè)評(píng)等級(jí)，按照相應(yīng)的強(qiáng)度要求來(lái)做。上機(jī)驗(yàn)證存在誤操作的風(fēng)險(xiǎn)風(fēng)險(xiǎn)點(diǎn)：上機(jī)誤操作會(huì)得到錯(cuò)誤的數(shù)據(jù)，使測(cè)評(píng)結(jié)果不準(zhǔn)確，可能會(huì)對(duì)系統(tǒng)造成一定的影響，造成系統(tǒng)數(shù)據(jù)丟失，或損害到了其中的某些配置?？刂品椒ǎ簻y(cè)評(píng)人員要有一定的專業(yè)技術(shù)知識(shí)儲(chǔ)備，原則上由被測(cè)單位技術(shù)人員按照作業(yè)指導(dǎo)書進(jìn)行操作，要有一定的應(yīng)急預(yù)案，在上機(jī)操作之前對(duì)機(jī)器上的資料進(jìn)行備份。分析與報(bào)告階段測(cè)評(píng)分析應(yīng)根據(jù)信息系統(tǒng)的不同等級(jí)進(jìn)行不同強(qiáng)度的分析和概括在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，測(cè)評(píng)機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得

51、的測(cè)評(píng)結(jié)果進(jìn)行匯總分析，形成等級(jí)測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告。測(cè)評(píng)人員在初步判定單項(xiàng)測(cè)評(píng)結(jié)果后，還需進(jìn)行系統(tǒng)整體測(cè)評(píng)，經(jīng)過系統(tǒng)整體測(cè)評(píng)后，有的單項(xiàng)測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂單項(xiàng)測(cè)評(píng)結(jié)果，而后形成等級(jí)測(cè)評(píng)結(jié)論。風(fēng)險(xiǎn)點(diǎn)：不同信息系統(tǒng)被定為不同的等級(jí)，應(yīng)進(jìn)行不同強(qiáng)度的分析和概括，等級(jí)、強(qiáng)度不能夠相適應(yīng)的進(jìn)行分析，會(huì)對(duì)測(cè)評(píng)最終的測(cè)評(píng)報(bào)告造成偏差，影響被測(cè)單位的系統(tǒng)結(jié)果分析。控制方法：按照不同等級(jí)測(cè)評(píng)強(qiáng)度的要求，進(jìn)行不同等級(jí)強(qiáng)度的分析和概括。整體測(cè)評(píng)不應(yīng)只考慮單項(xiàng)測(cè)評(píng)結(jié)果風(fēng)險(xiǎn)點(diǎn)：系統(tǒng)整體測(cè)評(píng)如果只考慮單項(xiàng)測(cè)評(píng)結(jié)果，不能針對(duì)單項(xiàng)測(cè)評(píng)的不符合項(xiàng)，采取逐條判定的方法，也不能夠從安全控制間、層面間和區(qū)域間

52、出發(fā)考慮，給出系統(tǒng)整體測(cè)評(píng)的具體結(jié)果和結(jié)論，會(huì)影響到系統(tǒng)結(jié)構(gòu)的整體安全測(cè)評(píng)。不對(duì)其他相關(guān)項(xiàng)進(jìn)行分析，無(wú)法正確判斷該測(cè)評(píng)項(xiàng)與其他相關(guān)安全控制項(xiàng)能否發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足。不能分析出與該測(cè)評(píng)項(xiàng)相關(guān)的其他層面測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足。不能分析出該測(cè)評(píng)項(xiàng)相關(guān)的其他區(qū)域測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足?？刂品椒ǎ簭陌踩嵌确治霰粶y(cè)系統(tǒng)整體結(jié)構(gòu)的安全性，從系統(tǒng)角度分析被測(cè)系統(tǒng)整體安全防范的合

53、理性。整體測(cè)評(píng)除要考慮單項(xiàng)測(cè)評(píng)結(jié)果之外，應(yīng)根據(jù)不同信息系統(tǒng)的特點(diǎn)，進(jìn)行有針對(duì)性的分析，召開內(nèi)部專家人員會(huì)議共同分析討論，對(duì)測(cè)評(píng)結(jié)果進(jìn)行補(bǔ)充。單項(xiàng)測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果判定不準(zhǔn)確風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果情況不準(zhǔn)確，對(duì)測(cè)評(píng)結(jié)果將不能給出真實(shí)的反映，會(huì)對(duì)下面的整體測(cè)評(píng)造成一定的影響?？刂品椒ǎ喊磳用娣謩e匯總不同測(cè)評(píng)對(duì)象對(duì)應(yīng)測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果情況，包括測(cè)評(píng)多少項(xiàng)，符合要求的多少項(xiàng)等內(nèi)容，一般以表格形式列出。表格中清楚的描繪出測(cè)評(píng)對(duì)象，測(cè)評(píng)指標(biāo)。并以“”表示“符合”，“”表示部分符合，“X”表示“不符合”，“N/A”表示“不適用”。這樣對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的判斷就很清晰準(zhǔn)確了，另外由質(zhì)量監(jiān)督員對(duì)判定結(jié)果進(jìn)

54、行審核，出現(xiàn)爭(zhēng)議，由技術(shù)負(fù)責(zé)人進(jìn)行仲裁。對(duì)測(cè)評(píng)報(bào)告的審核沒有通過評(píng)審會(huì)進(jìn)行風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)報(bào)告的審核如果沒有通過評(píng)審會(huì)進(jìn)行，中間存在的問題可能就無(wú)法體現(xiàn)出來(lái)，對(duì)被測(cè)單位的系統(tǒng)狀況也無(wú)法清晰的了解，可能會(huì)得到不準(zhǔn)確的結(jié)論?？刂品椒ǎ簩?duì)測(cè)評(píng)報(bào)告的審核應(yīng)通過評(píng)審會(huì)進(jìn)行，應(yīng)選擇具有高職稱的技術(shù)人員實(shí)施參加。沒有對(duì)測(cè)評(píng)報(bào)告的編制格式統(tǒng)一風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)報(bào)告的編制格式不統(tǒng)一，容易造成文檔混亂，不便于管理，也不方便查詢?？刂品椒ǎ憾ㄖ平y(tǒng)一的文檔編號(hào)規(guī)范，文檔蓋章規(guī)范。5.2變更控制管理變更管理存在的風(fēng)險(xiǎn)項(xiàng)目組成員受外部因素影響出現(xiàn)變動(dòng)在項(xiàng)目進(jìn)行過程中，項(xiàng)目組成員因工作調(diào)動(dòng)、外出學(xué)習(xí)、身體健康等原因，需要變更人員、調(diào)

55、整成員分工的情況，會(huì)對(duì)測(cè)評(píng)按時(shí)保質(zhì)完成造成影響。變更管理控制方法風(fēng)險(xiǎn)點(diǎn)：在項(xiàng)目進(jìn)行過程中，項(xiàng)目組成員因工作調(diào)動(dòng)、外出學(xué)習(xí)、身體健康等原因，需要變更人員、調(diào)整成員分工的情況，會(huì)對(duì)測(cè)評(píng)按時(shí)保質(zhì)完成造成影響。控制方法：在項(xiàng)目組成立后，原則不允許人員中途退出。確實(shí)無(wú)法避免，由項(xiàng)目經(jīng)理指派其他有能力的人員代替，相關(guān)人員需寫出工作移交報(bào)告，妥善完成工作交接程序。5.3項(xiàng)目風(fēng)險(xiǎn)管理5.3.1項(xiàng)目進(jìn)度風(fēng)險(xiǎn)的管理5.3.1.1項(xiàng)目進(jìn)度管理存在的風(fēng)險(xiǎn)項(xiàng)目進(jìn)度管理在項(xiàng)目管理體系中是比較重要的一個(gè)方面，要求在保證項(xiàng)目質(zhì)量的前提下按時(shí)完成項(xiàng)目是項(xiàng)目進(jìn)度管理的主要目的。項(xiàng)目進(jìn)度管理主要從項(xiàng)目時(shí)間計(jì)劃和項(xiàng)目時(shí)間控制等方面對(duì)

56、項(xiàng)目進(jìn)行管理，保證測(cè)評(píng)項(xiàng)目按時(shí)完成。等級(jí)測(cè)評(píng)項(xiàng)目管理中應(yīng)關(guān)注以下幾點(diǎn)：與委托方交涉過程中委托方不重視等級(jí)測(cè)評(píng)造成的項(xiàng)目時(shí)間拖延，如需要委托方確認(rèn)的項(xiàng)目計(jì)劃書委托方遲遲不給答復(fù)，需要委托方提供的資料委托方不按時(shí)交給項(xiàng)目組等；沒有合理安排現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)時(shí)間，造成無(wú)法進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)和造成委托方損失等情況。如安排在委托方工作繁忙階段做測(cè)評(píng)、安排在被測(cè)系統(tǒng)業(yè)務(wù)高峰期做滲透測(cè)試等活動(dòng)；沒有合理計(jì)劃項(xiàng)目周期造成成本增加影響其他項(xiàng)目工作進(jìn)行；項(xiàng)目中時(shí)間把握不準(zhǔn)確造成項(xiàng)目時(shí)間延誤，如在現(xiàn)場(chǎng)測(cè)評(píng)階段和方案編制階段時(shí)間的把握不準(zhǔn)確，導(dǎo)致階段工作沒有按時(shí)完成等。5.3.1.2項(xiàng)目進(jìn)度管理控制方法時(shí)間管理關(guān)系效益，因此需要

57、在項(xiàng)目的啟動(dòng)階段時(shí)對(duì)項(xiàng)目合理的計(jì)劃，與委托方溝通使其對(duì)測(cè)評(píng)工作充分重視，并與其協(xié)商合理安排現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間，把握階段時(shí)間控制。具體方法如下：現(xiàn)場(chǎng)準(zhǔn)備階段風(fēng)險(xiǎn)點(diǎn)：被測(cè)單位為測(cè)評(píng)項(xiàng)目組提供其所需要的各種資料，包括被測(cè)單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測(cè)系統(tǒng)總體描述文件網(wǎng)絡(luò)拓?fù)鋱D、管理記錄文檔等。若委托方提交相關(guān)信息系統(tǒng)資料超期、不及時(shí)將導(dǎo)致項(xiàng)目整體工期拖延?？刂品椒ǎ簯?yīng)對(duì)委托方詳細(xì)介紹測(cè)評(píng)的重要性和必要性，說(shuō)明提供信息資料對(duì)整個(gè)測(cè)評(píng)過程的重要性。提供詳細(xì)的信息系統(tǒng)資準(zhǔn)備清單，指導(dǎo)被測(cè)單位準(zhǔn)備相關(guān)信息資料。方案編制階段風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案初稿應(yīng)通過測(cè)評(píng)項(xiàng)目組全體成員評(píng)審，若評(píng)審時(shí)間過長(zhǎng)將影響

58、項(xiàng)目后續(xù)工作開展。測(cè)評(píng)項(xiàng)目組將確定的測(cè)評(píng)方案提交給被測(cè)單位后，被測(cè)單位應(yīng)對(duì)該測(cè)評(píng)方案進(jìn)行簽字認(rèn)可，但若遲遲未認(rèn)可簽字，將致使后續(xù)工作沒有辦法進(jìn)行，影響項(xiàng)目整體進(jìn)度?？刂品椒ǎ?、項(xiàng)目組制定會(huì)議日程，對(duì)計(jì)劃內(nèi)的任務(wù)要準(zhǔn)時(shí)完成。2、方案經(jīng)與委托方協(xié)商確定后，隨著項(xiàng)目的開展，應(yīng)適時(shí)提醒委托方提供時(shí)間、人員等的配合。風(fēng)險(xiǎn)點(diǎn)：安排工具測(cè)試時(shí)沒有避開被測(cè)系統(tǒng)的業(yè)務(wù)高峰期?？刂品椒ǎ簩?shí)施現(xiàn)場(chǎng)測(cè)評(píng)或工具測(cè)試前應(yīng)充分與被測(cè)單位進(jìn)行協(xié)商，確定合適的時(shí)間點(diǎn)實(shí)施測(cè)評(píng)。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)施整體工期測(cè)算不準(zhǔn)確導(dǎo)致工期拖延項(xiàng)目成本提高、影響其它后續(xù)項(xiàng)目工作安排。控制方法：測(cè)評(píng)方案初稿形成后應(yīng)召開內(nèi)部專家評(píng)審會(huì)，針對(duì)時(shí)間安排、測(cè)

59、評(píng)對(duì)象等關(guān)鍵點(diǎn)進(jìn)行評(píng)審并簽字確認(rèn)?，F(xiàn)場(chǎng)測(cè)評(píng)階段風(fēng)險(xiǎn)點(diǎn)：現(xiàn)場(chǎng)測(cè)評(píng)階段需召開現(xiàn)場(chǎng)測(cè)評(píng)首次會(huì)，測(cè)評(píng)項(xiàng)目組介紹測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)計(jì)劃和方案中的內(nèi)容。測(cè)評(píng)雙方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括被測(cè)單位的配合人員和需要提供的測(cè)評(píng)條件等。被測(cè)單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書。但現(xiàn)場(chǎng)準(zhǔn)備階段時(shí)間控制不好耗費(fèi)了很長(zhǎng)時(shí)間，造成的項(xiàng)目工期的延誤?？刂品椒ǎ簩?duì)項(xiàng)目準(zhǔn)備階段進(jìn)行時(shí)間計(jì)劃，制定首次測(cè)評(píng)現(xiàn)場(chǎng)會(huì)會(huì)議日程。分析報(bào)告階段風(fēng)險(xiǎn)點(diǎn)：在分析報(bào)告階段要進(jìn)行單項(xiàng)測(cè)評(píng)結(jié)果判定、單項(xiàng)測(cè)評(píng)結(jié)果匯總分析、系統(tǒng)整體測(cè)評(píng)分析、綜合測(cè)評(píng)結(jié)論形成、測(cè)評(píng)報(bào)告編制等五個(gè)階段。階段間的工作環(huán)環(huán)相扣，如果時(shí)間安排不合理將導(dǎo)致下一階段的

60、工作無(wú)法繼續(xù)或整體工期拖延?？刂品椒ǎ褐贫ㄔ敿?xì)的分析報(bào)告階段時(shí)間計(jì)劃。項(xiàng)目組成員間積極溝通，協(xié)調(diào)工作開展。5.3.2項(xiàng)目協(xié)作與溝通風(fēng)險(xiǎn)的管理5.3.2.1協(xié)作與溝通原則為保證項(xiàng)目順利實(shí)施，項(xiàng)目組成員應(yīng)遵循互相協(xié)作、主動(dòng)溝通和盡早溝通的原則。項(xiàng)目實(shí)施中，只有互相協(xié)作、盡早溝通、主動(dòng)溝通才能及時(shí)發(fā)現(xiàn)問題和解決問題，保證項(xiàng)目的順利實(shí)施。5.3.2.2溝通管理方法為避免項(xiàng)目人員被動(dòng)式、應(yīng)付式溝通，隨意而行、混亂無(wú)序，為讓項(xiàng)目人員明確自己的溝通職責(zé)，特制定下列溝通計(jì)劃：與委托方的溝通在測(cè)評(píng)準(zhǔn)備階段，業(yè)務(wù)受理人員應(yīng)告知委托方信息系統(tǒng)等級(jí)測(cè)評(píng)所必須提交的詳細(xì)資料；項(xiàng)目負(fù)責(zé)人應(yīng)在測(cè)評(píng)項(xiàng)目立項(xiàng)后，應(yīng)向委托方揭示