技術(shù)咨詢服務(wù)項(xiàng)目完成報(bào)告

1、信息安全技術(shù)咨詢服務(wù)項(xiàng)目完成報(bào)告項(xiàng)目名稱： 項(xiàng)目編號(hào)：技術(shù)咨詢服務(wù)對(duì)象： 項(xiàng)目負(fù)責(zé)人：項(xiàng)目組成員： 甲方：代表簽字：年月日乙方：代表簽字：年月日目 錄TOC o 1-3 h z u HYPERLINK l _TOC_250025 項(xiàng)目目的1 HYPERLINK l _TOC_250024 項(xiàng)目依據(jù)1 HYPERLINK l _TOC_250023 項(xiàng)目實(shí)施方案2 HYPERLINK l _TOC_250022 技術(shù)咨詢準(zhǔn)備階段2 HYPERLINK l _TOC_250021 確定技術(shù)咨詢范圍2 HYPERLINK l _TOC_250020 制定項(xiàng)目計(jì)劃書3 HYPERLINK l _TOC

2、_250019 信息系統(tǒng)現(xiàn)狀分析階段3 HYPERLINK l _TOC_250018 現(xiàn)場調(diào)研準(zhǔn)備活動(dòng)3 HYPERLINK l _TOC_250017 現(xiàn)場調(diào)研和結(jié)果記錄3 HYPERLINK l _TOC_250016 結(jié)果確認(rèn)和資料歸還3 HYPERLINK l _TOC_250015 技術(shù)咨詢報(bào)告編制階段4 HYPERLINK l _TOC_250014 項(xiàng)目組織方案4 HYPERLINK l _TOC_250013 項(xiàng)目組織結(jié)構(gòu)4 HYPERLINK l _TOC_250012 項(xiàng)目人員構(gòu)成和職責(zé)4 HYPERLINK l _TOC_250011 項(xiàng)目實(shí)施計(jì)劃6 HYPERLINK

3、 l _TOC_250010 項(xiàng)目質(zhì)量管理和控制8 HYPERLINK l _TOC_250009 過程質(zhì)量控制管理8 HYPERLINK l _TOC_250008 變更控制管理8 HYPERLINK l _TOC_250007 項(xiàng)目風(fēng)險(xiǎn)管理9 HYPERLINK l _TOC_250006 項(xiàng)目進(jìn)度風(fēng)險(xiǎn)的管理9 HYPERLINK l _TOC_250005 項(xiàng)目協(xié)作與溝通風(fēng)險(xiǎn)的管理9 HYPERLINK l _TOC_250004 調(diào)研工作引入風(fēng)險(xiǎn)的管理9 HYPERLINK l _TOC_250003 保密控制管理9 HYPERLINK l _TOC_250002 人員保密管理9 HY

4、PERLINK l _TOC_250001 設(shè)備保密管理10 HYPERLINK l _TOC_250000 文檔保密管理10-I- PAGE PAGE 10項(xiàng)目目的XXXXXX護(hù)能力，確保系統(tǒng)與網(wǎng)絡(luò)的安全性和可靠性，以提供安全和可靠的服務(wù)。通過對(duì)信息安全進(jìn)行現(xiàn)狀分析，判斷業(yè)務(wù)系統(tǒng)的防護(hù)能力是否滿足與安全保護(hù)等級(jí)相對(duì)應(yīng)的安全保護(hù)要求，分析總結(jié)系統(tǒng)現(xiàn)有安全防護(hù)措施存在的優(yōu)勢和不足， 并給出整改計(jì)劃，從而促進(jìn)系統(tǒng)安全防護(hù)工作的完善和提高，完善安全防護(hù)體系建設(shè)，保證信息系統(tǒng)的安全和有效運(yùn)行。項(xiàng)目依據(jù)山東省信息安全等級(jí)保護(hù)測評(píng)工作規(guī)范（試行)省公安廳關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字 2004

5、66 號(hào)）信息安全等級(jí)保護(hù)管理辦法（公通字 200743 號(hào)）信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008）信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-2008）信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(中辦發(fā)200327 號(hào)）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB/T 17859-1999）信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T 20271-2006）（GB/T 20270-2006）（GB/T 20272-2006）信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T 202

6、73-2006）信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GB/T 671-2006）信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T 20269-2006）信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T 20282-2006）信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T 20984-2007）項(xiàng)目實(shí)施方案技術(shù)咨詢準(zhǔn)備階段確定技術(shù)咨詢范圍為積極響應(yīng)國家政策要求，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，建立安全管理體系，完包括：信息安全等級(jí)保護(hù)服務(wù)咨詢、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)咨詢、信息安全管理體系建設(shè)咨詢、信息安全技術(shù)體系建設(shè)咨詢。技術(shù)咨詢服務(wù)范圍如下表所示：表 3-1 技術(shù)咨詢服務(wù)范圍咨詢范圍具體內(nèi)容信息系統(tǒng)

7、定級(jí)信息系統(tǒng)備案信息系統(tǒng)安全現(xiàn)狀分析信息安全等級(jí)保護(hù)信息系統(tǒng)建設(shè)整改信息系統(tǒng)等級(jí)咨詢等級(jí)咨詢報(bào)告編制風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資產(chǎn)識(shí)別信息安全風(fēng)險(xiǎn)評(píng)估威脅識(shí)別脆弱性識(shí)別已有安全措施確認(rèn)安全管理制度安全管理機(jī)信息安全管理體系建設(shè)人員安全管系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理信息安全技術(shù)措施建設(shè)信息安全技術(shù)措施建設(shè)物理安全網(wǎng)絡(luò)安全主機(jī)安全制定項(xiàng)目計(jì)劃書在項(xiàng)目計(jì)劃書中明確項(xiàng)目實(shí)施流程、項(xiàng)目實(shí)施人員和項(xiàng)目實(shí)施時(shí)間。信息系統(tǒng)現(xiàn)狀分析階段現(xiàn)場調(diào)研準(zhǔn)備活動(dòng)現(xiàn)場調(diào)研準(zhǔn)備活動(dòng)的目標(biāo)是最終審定項(xiàng)目實(shí)施方案、協(xié)調(diào)各種資源，正式啟動(dòng)現(xiàn)場調(diào)研工作。主要工作包括：簽署現(xiàn)場調(diào)研授權(quán)書；召開首次會(huì)議，確定實(shí)施方案；協(xié)調(diào)各種資源，包括配合人員和需要提供

8、的材料等。本活動(dòng)中涉及的輸出主要是更新后的實(shí)施方案及項(xiàng)目實(shí)施計(jì)劃書、現(xiàn)場調(diào)研授權(quán)書和配合人員列表。現(xiàn)場調(diào)研和結(jié)果記錄現(xiàn)場調(diào)研活動(dòng)的目標(biāo)是調(diào)研人員嚴(yán)格按照調(diào)研指導(dǎo)書，對(duì)信息系統(tǒng)的調(diào)研對(duì)象進(jìn)行現(xiàn)場調(diào)研、記錄結(jié)果，并保證記錄結(jié)果的真實(shí)、準(zhǔn)確、及時(shí)和規(guī)范性。主要工作包括：進(jìn)程確認(rèn)、實(shí)施現(xiàn)場調(diào)研、記錄調(diào)研證據(jù)、離場確認(rèn)。本活動(dòng)中涉及的輸出主要是現(xiàn)場調(diào)研獲取的各種證據(jù)。結(jié)果確認(rèn)和資料歸還本任務(wù)的目標(biāo)是對(duì)調(diào)研證據(jù)進(jìn)行匯總，查漏補(bǔ)缺，并對(duì)發(fā)現(xiàn)的問題進(jìn)行現(xiàn)場確查漏補(bǔ)缺，歸還所有的資料文檔。本活動(dòng)中涉及的輸出主要是匯總的現(xiàn)場調(diào)研證據(jù)源記錄、文檔交接單。技術(shù)咨詢報(bào)告編制階段在報(bào)告編制活動(dòng)中，調(diào)研人員通過分析現(xiàn)場調(diào)研

9、獲得的證據(jù)和資料，判定信息系統(tǒng)是否達(dá)到相應(yīng)安全等級(jí)的安全要求，然后進(jìn)行整體分析和風(fēng)險(xiǎn)分析，并提出信息系統(tǒng)整體改進(jìn)方案。項(xiàng)目組織方案項(xiàng)目組織結(jié)構(gòu)PTO組、技術(shù)調(diào)研組和質(zhì)量保證組。項(xiàng)目組織結(jié)構(gòu)如下圖所示：圖 4-1 項(xiàng)目組織結(jié)構(gòu)圖項(xiàng)目人員構(gòu)成和職責(zé)在項(xiàng)目啟動(dòng)任務(wù)中，XXX表為項(xiàng)目組成員列表：表 4-2 項(xiàng)目組成員列表擔(dān)任職務(wù)擔(dān)任職務(wù)序號(hào)姓名從業(yè)資格從業(yè)年限相關(guān)經(jīng)驗(yàn)項(xiàng)目總監(jiān)1PTO 專員2管理調(diào)研組管理調(diào)研組組長3管理調(diào)研組成員4技術(shù)調(diào)研組組長56技術(shù)調(diào)研組成員7質(zhì)量保證組8質(zhì)量保證組成員9項(xiàng)目實(shí)施計(jì)劃表 4-3 技術(shù)咨詢項(xiàng)目計(jì)劃表工作階段工作小組工作內(nèi)容工作日項(xiàng)目啟動(dòng)成立項(xiàng)目組及成員分工項(xiàng)目準(zhǔn)備階

10、段咨詢小組1編制項(xiàng)目計(jì)劃相關(guān)資料收集 系統(tǒng)調(diào)研系統(tǒng)調(diào)研階段咨詢小組系統(tǒng)資料整理和分析3編制系統(tǒng)調(diào)研報(bào)告確定咨詢范圍確定具體的咨詢對(duì)象確定咨詢工作的方法咨詢方案準(zhǔn)備階段咨詢小組準(zhǔn)備咨詢工具2編制咨詢方案編制咨詢現(xiàn)場工作計(jì)劃咨詢方案和現(xiàn)場工作計(jì)劃確認(rèn)管理咨詢組管理訪談管理文件查閱現(xiàn)場咨詢階段技術(shù)訪談4技術(shù)咨詢組人工配置核查工具測試工作階段工作小組工作內(nèi)容工作訪談結(jié)果整理和分析查閱結(jié)果整理和分析管理咨詢組不符合項(xiàng)整理改進(jìn)建議分析現(xiàn)狀分析階段訪談結(jié)果分析9防范手段分析完成咨詢報(bào)告技術(shù)部分和管理部分報(bào)告評(píng)審和修改技術(shù)咨詢報(bào)告編制咨詢小組編制技術(shù)咨詢服務(wù)報(bào)告3項(xiàng)目驗(yàn)收合計(jì)項(xiàng)目材料和文檔移交咨詢小組2項(xiàng)目驗(yàn)

11、收總結(jié)24項(xiàng)目質(zhì)量管理和控制過程質(zhì)量控制管理過程自檢始終穿插在過程質(zhì)量控制管理體系中，它是保證過程質(zhì)量的最重要方PTOPTOPTO負(fù)責(zé)。變更控制管理對(duì)處于項(xiàng)目質(zhì)量和控制管理下的變更進(jìn)行控制，確保相關(guān)工作產(chǎn)品和項(xiàng)目活動(dòng)狀態(tài)與其保持一致，使其合理、可控制、可追溯。變更申請一般包括以下幾個(gè)步驟：提交變更申請審核變更申請識(shí)別變更可行性批準(zhǔn)變更申請實(shí)施變更申請PTO負(fù)責(zé)。PTO理項(xiàng)目變更。項(xiàng)目風(fēng)險(xiǎn)管理項(xiàng)目進(jìn)度風(fēng)險(xiǎn)的管理在與質(zhì)量、費(fèi)用、安全目標(biāo)協(xié)調(diào)的基礎(chǔ)上，實(shí)現(xiàn)工期目標(biāo)。編制進(jìn)度計(jì)劃前進(jìn)行詳細(xì)的項(xiàng)目結(jié)構(gòu)分析，系統(tǒng)地剖析整個(gè)項(xiàng)目結(jié)構(gòu)構(gòu)成，包括實(shí)施過程和細(xì)節(jié)，系統(tǒng)規(guī)則地分解項(xiàng)目。做到明確單元之間的邏輯關(guān)系與工

12、作關(guān)系，作到每個(gè)單元具體地落實(shí)到責(zé)任者，并能進(jìn)行各部門、各專業(yè)的協(xié)調(diào)。項(xiàng)目協(xié)作與溝通風(fēng)險(xiǎn)的管理保證項(xiàng)目成功的重要因素。項(xiàng)目總監(jiān)負(fù)責(zé)建立項(xiàng)目溝通機(jī)制，保持暢通的項(xiàng)目溝通渠道。調(diào)研工作引入風(fēng)險(xiǎn)的管理調(diào)研工作的開展應(yīng)該以不對(duì)被測系統(tǒng)造成不良影響為前提。在調(diào)研工作中要遵循以下要求：XXX 加強(qiáng)對(duì)本公司調(diào)研人員安全意識(shí)教育，提高調(diào)研實(shí)施人員主動(dòng)規(guī)避風(fēng)險(xiǎn)的能力；調(diào)研開始前調(diào)研人員需要被測單位確認(rèn)調(diào)研對(duì)象中的關(guān)鍵數(shù)據(jù)已經(jīng)備份。如沒有備份則不進(jìn)行核查；調(diào)研工作開始前對(duì)調(diào)研可能對(duì)被測系統(tǒng)造成的影響進(jìn)行評(píng)估，如有潛在風(fēng)險(xiǎn)則不允許在被測生產(chǎn)系統(tǒng)上核查，可協(xié)調(diào)被測單位搭建測試環(huán)境進(jìn)行核查；對(duì)于調(diào)研過程中可能對(duì)被測系統(tǒng)產(chǎn)生較大壓力的調(diào)研動(dòng)作要求必須避開業(yè)務(wù)高峰期進(jìn)行；嚴(yán)格執(zhí)行保密協(xié)議和文檔交接送還制度，保證被測單位重要信息不外泄，調(diào)研過程由被測單位相關(guān)技術(shù)人員陪同，嚴(yán)格遵守被測單位工作紀(jì)律和操作規(guī)程。保密控制管理人員保密管理調(diào)研活動(dòng)開始前調(diào)研人員需要與被測單位簽訂保密協(xié)議。調(diào)研過程中嚴(yán)格執(zhí)行保密協(xié)議規(guī)定保證被測單位信息不被披露或使用，包括意外或過失。對(duì)違反保密協(xié)議的人員依法追究法律責(zé)任。設(shè)備保密管理調(diào)研活