信息安全等級保護(hù)項目計劃書

文檔編號：zzzzzzxxxxxxxxxx信息系統(tǒng)等級保護(hù)測評項目項目計劃書授權(quán)方：xxxxxxxxxx被受權(quán)方：rrrrrr編制日期：2016年2月29日目錄1.概括項目背景依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、《信息安全技術(shù)信息安全等級保護(hù)管理規(guī)定》等一系列國家及信息安全技術(shù)針對信息系統(tǒng)等級保護(hù)公布的政策法例及文件要求，定級為等級保護(hù)二級的信息系統(tǒng)應(yīng)當(dāng)每年起碼進(jìn)行一次等級測評。目前xxxxxxxxxx信息系統(tǒng)還沒有進(jìn)行過等級保護(hù)專業(yè)測評。為進(jìn)一步增強(qiáng)XXXXXXXXXX信息系統(tǒng)等級保護(hù)工作，依照《信息安全技術(shù)信息安全等級保護(hù)管理規(guī)定》有關(guān)規(guī)定，計劃對XXXXXXXXXX重要的信息系統(tǒng)進(jìn)行等級保護(hù)專業(yè)測評。依照《信息安全等級保護(hù)管理方法》（公通字[2007]43號）的有關(guān)要求，也為了連續(xù)有效提高信息系統(tǒng)的安全防備能力，受XXXXXXXXXX拜托我中心計劃與2016年2月29日起對XXXXXXXXXX信息系統(tǒng)實(shí)行信息安全等級測評工作，以期經(jīng)過此次測評發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全防備舉措的單薄環(huán)節(jié)，為下一步的信息系統(tǒng)安全建設(shè)整頓供應(yīng)靠譜依照，以有效提高XXXXXXXXXX信息系統(tǒng)的安全運(yùn)轉(zhuǎn)能力。項目目的經(jīng)過對XXXXXXXXXX展開安全測評工作，能夠全面、完好地認(rèn)識目前XXXXXXXXXX的安全狀況，剖析系統(tǒng)所面對的各樣風(fēng)險。依據(jù)測評結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問題，并對嚴(yán)重的問題提出相應(yīng)的風(fēng)險控制策略，并為下一步進(jìn)行整個系統(tǒng)的信息系統(tǒng)安全建設(shè)做先期準(zhǔn)備。對信息系統(tǒng)進(jìn)行安全等級測評是國家實(shí)行等級保護(hù)制度的一個重要環(huán)節(jié)，也是對信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要構(gòu)成部分。經(jīng)過對XXXXXXXXXX實(shí)行等級測評能夠發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級或目標(biāo)的差別，能夠在技術(shù)和管理方面進(jìn)行有針對性的增強(qiáng)和完美，使XXXXXXXXXX安全工作有的放矢。XXXXXXXXXX可依照等級測評結(jié)果，并聯(lián)合單位的實(shí)質(zhì)狀況，區(qū)分輕重緩急，擬訂針對性的安全整頓建議，經(jīng)過安全整頓不停提高信息系統(tǒng)的整體安全保護(hù)水平。工作依照《計算機(jī)信息系統(tǒng)安全保護(hù)等級區(qū)分準(zhǔn)則》(GB17859-1999)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240-2008)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》(GB/T28448-2012)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》(GB/T28449-2012)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)行指南》(GB/T25058-2010)《信息安全技術(shù)?信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)《信息安全技術(shù)?網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)《信息安全技術(shù)?操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)《信息安全技術(shù)?數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)《信息安全技術(shù)?服務(wù)器技術(shù)要求》(GB/T21028-2007)《信息安全技術(shù)?終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)《信息安全風(fēng)險評估規(guī)范》(GB/T?20984-2007)2.技術(shù)思路和工作內(nèi)容技術(shù)思路測評指標(biāo)測評指標(biāo)暫定選用《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中2級系統(tǒng)基本要求指標(biāo)，包含《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》7.1節(jié)“技術(shù)要求”中的2級通用指標(biāo)類(G2),2級業(yè)務(wù)信息安全性指標(biāo)類(S2),和2級業(yè)務(wù)服務(wù)保證類(A2)，以及7.2節(jié)“管理要求”中的全部要求，安全控制指標(biāo)以下表：/口、安^全等^級/口、安^全等^級1/保護(hù)項、~計I人J書安全分類安全子類測評項數(shù)備注物理安全物理地點(diǎn)的選擇1測評物理機(jī)房所在的外面環(huán)境安全性。物理接見控制2測評進(jìn)出機(jī)房的審批控制手段以及機(jī)房進(jìn)出口的安全控制狀況。防偷竊和防破壞5測評機(jī)房內(nèi)設(shè)備和通信線纜的安全性以及監(jiān)控報警系統(tǒng)建設(shè)狀況。防雷擊2測評建筑防雷和防感覺雷的建設(shè)狀況。防火1+測評自動監(jiān)控防火系統(tǒng)設(shè)置狀況以及機(jī)房資料防火狀況。防水和防潮3測評機(jī)房內(nèi)水管設(shè)置狀況、防備結(jié)露所米納的舉措以及監(jiān)控報警系統(tǒng)建設(shè)狀況。防靜電1測評機(jī)房防靜電所米納的舉措。溫濕度控制1+測評機(jī)房溫濕度控制舉措。電力供應(yīng)2測評電力線路、備用電源以及發(fā)電機(jī)的裝備狀況。電磁防備1測評線纜電磁防備手段和設(shè)備電磁防備手段。構(gòu)造安全4+主要核查：主要網(wǎng)絡(luò)設(shè)備的辦理能力、業(yè)務(wù)頂峰期需求帶寬、路由控制、網(wǎng)絡(luò)拓?fù)錁?gòu)造圖能否一致、子網(wǎng)區(qū)分、技術(shù)隔絕手段和帶寬分派策略。接見控制4+主要核查：接見控制功能、協(xié)議深層檢測、網(wǎng)絡(luò)連結(jié)超時、流量限制和并發(fā)連結(jié)數(shù)限制等等。網(wǎng)絡(luò)安全安全審計2主要核查：網(wǎng)絡(luò)設(shè)備日記采集、剖析和統(tǒng)計以及保護(hù)等等。界限完好性檢查1主要核查：能否能夠?qū)Ψ鞘軝?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查并正確立位和阻斷；能否能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外面網(wǎng)絡(luò)的行為進(jìn)行檢查并正確定位和阻斷。入侵防備1主要核查：部署IDSIPS系統(tǒng)以及使用狀況。:網(wǎng)絡(luò)設(shè)備防備6主要核查：用戶身份鑒識、管理員登錄地址限制、用戶表記獨(dú)一性、組合鑒識技術(shù)、口令朿略、登錄朿略、遠(yuǎn)程管理和權(quán)限分別。主機(jī)安全身份鑒識5主要核查：用戶身份鑒識方式、賬號與用戶對應(yīng)關(guān)系和密碼安全強(qiáng)度，包含賬戶和口令長度設(shè)置狀況，口令改正周期等；登錄失敗辦理功能設(shè)置狀況。接見控制4主要核查：特權(quán)用戶的權(quán)限分別狀況；默認(rèn)賬戶的訪問權(quán)限；剩余和過期的賬戶的辦理狀況；管理用戶最小受權(quán)原則落真相況。

安全分類安全子類測評項數(shù)備注安全審計4主要核查：安全審計的覆蓋范圍；記錄內(nèi)容完好性；審計記錄的剖析能力；審計記錄的保護(hù)狀況。入侵防備1+主要核查：重要服務(wù)器入侵行為的檢測/報警狀況；重要程序的完好性保護(hù)狀況；主機(jī)資源的使用狀況；操作系統(tǒng)組件安裝和補(bǔ)丁升級狀況。歹意代碼防備2主要核查：系統(tǒng)補(bǔ)丁安裝狀況；防病毒和歹意代碼產(chǎn)品的使用狀況及升級狀況；核查系統(tǒng)能否有木馬程序。資源控制3主要核查：終端登錄限制方式；重要服務(wù)器資源的監(jiān)視狀況；系統(tǒng)服務(wù)水平的核查和報警能力。應(yīng)用安全身份鑒識4主要核查：用戶身份鑒識方式、賬號與用戶對應(yīng)關(guān)系和密碼安全強(qiáng)度，包含賬戶和口令長度設(shè)置狀況，口令改正周期等；登錄失敗辦理功能設(shè)置狀況。接見控制4主要核查：特權(quán)用戶的權(quán)限分別狀況；默認(rèn)賬戶的訪問權(quán)限；剩余和過期的賬戶的辦理狀況；管理用戶最小受權(quán)原則落真相況。安全審計3主要核查：安全審計的覆蓋范圍；記錄內(nèi)容完好性；審計記錄的剖析能力；審計記錄的保護(hù)狀況。通信完好性1+主要核查：密碼在傳輸過程中所米納的技術(shù)能否能保證通信過程中數(shù)據(jù)的完好性。通信保密性2主要核查：通信過程中信息的傳達(dá)能否加密。軟件容錯2主要核查：數(shù)據(jù)的校驗功能以及恢復(fù)能力。資源控制3主要核查：終端登錄限制方式；重要服務(wù)器資源的監(jiān)視狀況；系統(tǒng)服務(wù)水平的核查和報警能力。數(shù)據(jù)安全數(shù)據(jù)完好性1+主要核查：系統(tǒng)管理數(shù)據(jù)、鑒識信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完好性和恢復(fù)舉措。數(shù)據(jù)保密性1主要核查：系統(tǒng)管理數(shù)據(jù)、鑒識信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸保密性和儲存保密性。備份和恢復(fù)2主要核查：備份策略、介質(zhì)寄存和數(shù)據(jù)恢復(fù)等。安全管理制度管理制度3+主要核查：整體安全策略建設(shè)狀況；各種安全管理制度建設(shè)狀況以及各種系統(tǒng)操作規(guī)范建設(shè)狀況。擬訂和發(fā)布3主要核查：安全管理制度擬訂的責(zé)任部門建立狀況；安全管理制度的擬訂過程以及公布方式。評審和修訂1主要核查：安全管理制度評審訂正機(jī)遇以及目前安全管理制度訂正狀況。

安全分類1安全子類測評項數(shù)備注安全管理機(jī)構(gòu)J-XJ［亠>rr岡位設(shè)置2主要核查：安全管理崗位建立及職責(zé)明確狀況。人員裝備2主要核查：安全管理崗位人員裝備狀況。受權(quán)和審批2主要核查：針對重要系統(tǒng)操作的受權(quán)和審批狀況。交流和合作2主要核查：與系統(tǒng)內(nèi)部以及外面有關(guān)部門、單位的日常交流體制。審察和檢查1主要核查：系統(tǒng)安全檢查工作規(guī)范化程度和落真相況。安全人員管理人員錄取3+主要核查：人員錄取過程規(guī)范化管理；對錄取人員保密責(zé)任的拘束方式以及對要點(diǎn)岡位職責(zé)拘束的方式。人員離崗3主要核查：人員離崗過程控制；人員離崗的保密承諾控制。人員查核1主要核查：人員平時技術(shù)查核狀況以及針對要點(diǎn)崗位的信用審察狀況。安全意識教育和培訓(xùn)3+主要核查：安全培訓(xùn)計劃的擬訂狀況和實(shí)行狀況。外面人員接見管理1+主要核查：對外面人員進(jìn)入重要地區(qū)的審批、控制管理。系統(tǒng)建設(shè)管理系統(tǒng)定級3主要核查：信息系統(tǒng)能否明確其安全保護(hù)等級，系統(tǒng)定級的有關(guān)狀況。安全方案設(shè)計4主要核杳：系統(tǒng)的信息安全工作的整體規(guī)劃設(shè)計情況。產(chǎn)品采買和使用3主要核查：系統(tǒng)中信息安全產(chǎn)品的采買和使用管理措施。自行軟件開發(fā)3主要核查：系統(tǒng)內(nèi)自行軟件開發(fā)工作的管理和控制措施。外包軟件開發(fā)4主要核查：外包開發(fā)的軟件質(zhì)量，保證外包軟件安全可用。工程實(shí)行2主要核查：信息系統(tǒng)工程的實(shí)行狀況。測試查收3主要核查：信息系統(tǒng)工程的查收狀況。系統(tǒng)交托3主要核查：信息系統(tǒng)工程的交托狀況。安全服務(wù)商選擇3主要核查：對系統(tǒng)中有關(guān)的安全服務(wù)商選擇以及服務(wù)管理舉措。系統(tǒng)運(yùn)維管理環(huán)境管理4主要核查：對機(jī)房基礎(chǔ)設(shè)備平時管理狀況以及辦公環(huán)境的管理。

安全分類安全子類測評項數(shù)備注財產(chǎn)管理4主要核查：對系統(tǒng)財產(chǎn)管理的制度建設(shè)狀況以及表記管理。介質(zhì)管理4主要核查：對各種介質(zhì)的傳輸、使用、儲存和銷毀等環(huán)節(jié)的管理。設(shè)備管理4主要核查：對各種設(shè)備平時的使用、操作和保護(hù)維修的管理。網(wǎng)絡(luò)安全管理6主要核查：安全管理制度建設(shè)狀況以及違規(guī)聯(lián)網(wǎng)檢查狀況。系統(tǒng)安全管理6主要核查：對系統(tǒng)的接見權(quán)限控制、補(bǔ)丁、平時破綻掃描以及審計的管理。歹意代碼防備管理3主要核查：對歹意代碼的檢測、剖析等防備工作的管理。密碼管理1主要核查：密碼使用的制度化建設(shè)及落真相況。改正管理2主要核查：改正活動制度化建設(shè)狀況以及改正前、變更中和改正后的規(guī)范化管理狀況。備份與恢復(fù)管理3主要核查：系統(tǒng)數(shù)據(jù)的平時備份管理以及系統(tǒng)恢復(fù)管理。安全事件處理4主要核查：安全事件報告和處理的制度建設(shè)狀況以及不一樣安全事件辦理過程的規(guī)范化管理狀況。應(yīng)急方案管理2主要核查：應(yīng)急方案擬訂狀況、人力、設(shè)備、技術(shù)、財務(wù)和外面協(xié)作等方面的資源保障狀況以及對應(yīng)急方案的培訓(xùn)和平時操練狀況。測評對象選擇方法測評對象的確定采納抽查的方法，即：抽查信息系統(tǒng)中擁有代表性的組件作為測評對象。而且，在測評對象確立任務(wù)中應(yīng)兼?zhèn)涔ぷ魍度肱c結(jié)果產(chǎn)出二者的均衡關(guān)系。第二級信息系統(tǒng)的等級測評，測評對象種類上基本覆蓋，數(shù)目進(jìn)行抽樣，要點(diǎn)抽查主要的設(shè)備、設(shè)備、人員和文檔等。抽查的測評對象種類主要考慮以下幾個方面：1）主機(jī)房（包含其環(huán)境、設(shè)備和設(shè)備等）和部分輔機(jī)房，應(yīng)將擱置了服務(wù)于信息系統(tǒng)的局部（包含整體）或?qū)π畔⑾到y(tǒng)的局部（包含整體）安全性起重要作用的設(shè)備、設(shè)備的輔機(jī)房選用作為測評對象；/口、安^全等^級/口、安^全等^級1/保護(hù)項、~計I人J書息安全等級保護(hù)項目計劃書息安全等級保護(hù)項目計劃書2)儲存被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的寄存環(huán)境；3)辦公場所；整個系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造；安全設(shè)備，包含防火墻、入侵檢測設(shè)備和防病毒網(wǎng)關(guān)等；界限網(wǎng)絡(luò)設(shè)備(可能會包含安全設(shè)備)，包含路由器、防火墻、認(rèn)證網(wǎng)關(guān)和界限接入設(shè)備(如樓層互換機(jī))等；對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心互換機(jī)、匯聚層互換機(jī)、路由器等；承載被測系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器(包含其操作系統(tǒng)和數(shù)據(jù)庫)；管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；10)業(yè)務(wù)備份系統(tǒng)；11)信息安全主管人員、各方面的負(fù)責(zé)人員、詳細(xì)負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；12)波及到信息系統(tǒng)安全的全部管理制度和記錄。在本級信息系統(tǒng)測評時，信息系統(tǒng)中配置相同的安全設(shè)備、界限網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備、服務(wù)器、終端以及備份終端，每類應(yīng)起碼抽查一臺作為測評對象。測評方法現(xiàn)場測評一般包含訪談、文檔審察、配置檢查、工具測試和實(shí)地觀察五個方面。訪談是指測評人員與被測系統(tǒng)有關(guān)人員(個人/集體)進(jìn)行交流、議論等活動獲取有關(guān)憑證，認(rèn)識有關(guān)信息。文檔審察是指檢查GB/T22239-2008中規(guī)定的一定擁有的制度、策略、操作規(guī)程等文檔能否齊備，能否有完好的制度履行狀況記錄以及文件的完好性和這些文件之間的內(nèi)部一致性。實(shí)地觀察是指依據(jù)被測系統(tǒng)的實(shí)質(zhì)狀況，測評人員到系統(tǒng)運(yùn)轉(zhuǎn)現(xiàn)場經(jīng)過實(shí)地的觀察人員行為、技術(shù)設(shè)備和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全狀況，測評其能否達(dá)到了相應(yīng)等級的安全要求。

配置檢查是依據(jù)測評結(jié)果記錄表格內(nèi)容，利用上機(jī)考證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置能否正確，能否與文檔、有關(guān)設(shè)備和部件保持一致，對文檔審察的內(nèi)容進(jìn)行核實(shí)（包含日記審計等）。2.2工作范圍內(nèi)容2.2工作范圍內(nèi)容最后內(nèi)容將經(jīng)過現(xiàn)場需求調(diào)研、項目會議等方式與用戶方最后確認(rèn)，估計對XXXXXXXXXX進(jìn)行信息安全現(xiàn)狀與標(biāo)準(zhǔn)比較的切合性檢查和檢測。這些系統(tǒng)既相互獨(dú)立，又存在著必定的業(yè)務(wù)關(guān)系。要點(diǎn)測試和評估的地區(qū)是位于中心計房的主要設(shè)備和其所支撐的網(wǎng)絡(luò)和應(yīng)用環(huán)境。等級測評詳細(xì)測評對象測評對象內(nèi)容預(yù)抽樣數(shù)目物理安全測評對象XXXX研究院9樓機(jī)房、XXXX研究院B0201機(jī)房、xxxx研究院6樓機(jī)房網(wǎng)絡(luò)安全測評對象被測評信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造安全設(shè)備，包含防火墻、入侵檢測設(shè)備界限網(wǎng)絡(luò)設(shè)備（可能會包含安全設(shè)備），包含路由器、防火墻、認(rèn)證網(wǎng)關(guān)和界限接入設(shè)備（如樓層互換機(jī)）等對整個被測信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心互換機(jī)、匯聚層互換機(jī)、

路由器等。主機(jī)安全測評對象承載被測系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包含其操作系統(tǒng)和數(shù)據(jù)庫）；管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端。應(yīng)用安全測評對象能夠達(dá)成被測系統(tǒng)不一樣業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)。管理安全測評對象信息安全主管人員、各方面的負(fù)責(zé)人員、詳細(xì)負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；波及到信息系統(tǒng)安全的全部管理制度和記錄。3?項目實(shí)行方案項目實(shí)行過程項目實(shí)行過程共分為四項活動，即測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、剖析與報告編制活動，基本工作流程圖以下:階段工作產(chǎn)品1）測評準(zhǔn)備活動階段任務(wù)輸出文檔文檔內(nèi)容項目啟動項目計劃書項目概括、工作依照、技

術(shù)思路、工作內(nèi)容和項目組織等信息采集和剖析被測系統(tǒng)基本狀況剖析報告1說明被測系統(tǒng)的范圍、安全保護(hù)等級、業(yè)務(wù)狀況、保護(hù)狀況、被測系統(tǒng)的爭理模式和有關(guān)部門及角色等工具和表單準(zhǔn)備采納的測評工具清單；打印的各種表單：現(xiàn)場測評受權(quán)書、文檔交接單現(xiàn)場測評受權(quán)、交接的文檔名稱2）方案編制活動階段任務(wù)輸出文檔文檔內(nèi)容測評對象確立測評方案的測評對象部分被測系統(tǒng)的整體構(gòu)造、邊界、網(wǎng)絡(luò)地區(qū)、重要節(jié)點(diǎn)、測評對象等測評指標(biāo)確立測評方案的測評指標(biāo)部分被測系統(tǒng)定級結(jié)果、測評指標(biāo)測評內(nèi)容確立測評方案的單項測評實(shí)行和系統(tǒng)測評實(shí)行部分單項測評實(shí)行內(nèi)容及系統(tǒng)測評實(shí)行內(nèi)容測評實(shí)行手冊開發(fā)測評方案的測評實(shí)行手冊部分各測評對象的測評內(nèi)容及方法測評方案編制測評方案文本項目概括、測評對象、測

評指標(biāo)、測試工具接入點(diǎn)、單項測評實(shí)行和系統(tǒng)測評實(shí)行內(nèi)容、測評實(shí)行手冊等3）現(xiàn)場測評活動階段任務(wù)輸出文檔文檔內(nèi)容會議記錄、確認(rèn)的受權(quán)拜托工作計劃和內(nèi)容安排，雙現(xiàn)場測評準(zhǔn)備書、更新后的測評計劃和測方人員的協(xié)調(diào)，被測單位評程序應(yīng)供應(yīng)的配合訪談技術(shù)安全和管理安全測評的測評結(jié)果記錄或錄音訪談結(jié)果文檔審察管理安全測評的測評結(jié)果記錄管理制度和管理履行過程文檔的切合狀況配置檢杳技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記錄表格檢查內(nèi)容的結(jié)果實(shí)地觀察技術(shù)安全測評的物理安全和管理安全測評結(jié)果記錄檢查內(nèi)容的結(jié)果測評結(jié)果確認(rèn)現(xiàn)場核查中發(fā)現(xiàn)的問題匯總、憑證和憑證源記錄、被測單位的書面認(rèn)同文件測評活動中發(fā)現(xiàn)的問題、問題的憑證和憑證源、每項檢查活動中被測單位配合人員的書面認(rèn)同4）剖析與報告編制活動階段

任務(wù)輸出文檔文檔內(nèi)容單項測評結(jié)果判斷等級測評報告的單項測評結(jié)果部分剖析被測系統(tǒng)的安全現(xiàn)狀（各個層面的基本安全狀況）與標(biāo)準(zhǔn)中相應(yīng)等級的基本要求的切合狀況，給出單項測評結(jié)果單項測評結(jié)果匯總剖析等級測評報告的單項測評結(jié)果匯總剖析部分匯總統(tǒng)計剖析單項測評結(jié)果系統(tǒng)整體測評剖析等級測評報告的系統(tǒng)整體測評剖析部分剖析系統(tǒng)整體安全狀況及對單項測評結(jié)果的修訂狀況綜合測評結(jié)論形成等級測評報告的等級測評結(jié)論部分對各項結(jié)果進(jìn)行剖析，形成測評結(jié)論測評報告編制等級測評報告單項測評記錄和結(jié)果，單項測評結(jié)果匯總分析，系統(tǒng)整體測評結(jié)果及剖析，等級測評結(jié)論，改良建議等項目組織方案組別分工姓名職責(zé)組別分工姓名職責(zé)對方配合人員4.1項目組織構(gòu)造項目管理組：負(fù)責(zé)人為兩方項目負(fù)責(zé)人，負(fù)責(zé)整個項目的工作進(jìn)展、時間、人員的安排及兩方的協(xié)調(diào)工作。管理測評組：負(fù)責(zé)管理方面的測評工作，包含：機(jī)構(gòu)管理、人員管理、制度管理、建設(shè)管理、運(yùn)維管理。技術(shù)測評組：對物理、網(wǎng)絡(luò)安全方面的進(jìn)行測評，并做好現(xiàn)場記錄，負(fù)責(zé)測評報告的編寫等。質(zhì)量監(jiān)察組：負(fù)責(zé)對整個項目的質(zhì)量監(jiān)察，包含方案、計劃、報告等評審工作，針對測評工作中的異議問題進(jìn)行核查解決。業(yè)務(wù)專項配合組：由被測評單位組織，針對被測系統(tǒng)狀況賜予說明和配合。人員構(gòu)成和職責(zé)

項目管理組項目經(jīng)理商務(wù)經(jīng)理項目助理質(zhì)量管理組組長組員組員組員管理測評組組長組員技術(shù)測評組組長組員組員組員組員組員組員業(yè)務(wù)專項配合組組長待定組員待定階段工作內(nèi)容時間計劃對方配合內(nèi)容階段輸出4.3項目實(shí)行計劃階段工作內(nèi)容時間計劃對方配合內(nèi)容階段輸出

項目準(zhǔn)備草擬項目計劃XXX個工作日項目計劃書評審論證項目計區(qū)分解評審論證系統(tǒng)檢查準(zhǔn)備檢查表XXX個工作日信息系統(tǒng)調(diào)查表采集檢查結(jié)果檢查資料剖析整理測評準(zhǔn)備擬訂核查方案評審XXX個工作日測評方案論證擬訂測試方案評審論證準(zhǔn)備測試工具模擬環(huán)境測試現(xiàn)場測評準(zhǔn)備拜托書等現(xiàn)場文檔XXX個工作日現(xiàn)場測評授權(quán)拜托書、測試計劃、測試報告測試方案調(diào)整和確認(rèn)擬訂核查計劃現(xiàn)場核查記錄核查結(jié)果擬訂測試計劃現(xiàn)場測試記錄測試結(jié)果方案編制核查資料整理XXX個工作日等級測評報告測試資料整理撰寫測評報告評審論證總結(jié)整個工作過程息安全等級保護(hù)項目計劃書息安全等級保護(hù)項目計劃書項目質(zhì)量管理和控制5.1過程質(zhì)量控制管理過程質(zhì)量管理風(fēng)險等級測評項目的質(zhì)量是整個測評工作的核心，如測評質(zhì)量沒有保障，整個測評工作的意義就無從談起。在質(zhì)量管理方面，主要從以下幾點(diǎn)進(jìn)行說明：1）測評準(zhǔn)備階段本活動是展開等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證測評準(zhǔn)備工作能否充足直接關(guān)系到后續(xù)工作可否順利展開。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)狀況，為實(shí)行測評做好文檔及測試工具等方面的準(zhǔn)備。2）方案編制階段本活動是展開等級測評工作的要點(diǎn)活動，為現(xiàn)場測評供應(yīng)最基本的文檔和指導(dǎo)方案。本活動的主要任務(wù)是開發(fā)與被測信息系統(tǒng)相適應(yīng)的測評內(nèi)容、測評實(shí)行手冊等，形成測評方案。3）現(xiàn)場測評階段本活動是展開等級測評工作的核心活動。本活動的主要任務(wù)是依照測評方案的整體要求，嚴(yán)格履行測評實(shí)行手冊，分步實(shí)行全部測評項目，包含單項測評和系統(tǒng)整體測評兩個方面，以認(rèn)識系統(tǒng)的真切保護(hù)狀況，獲取足夠憑證，發(fā)現(xiàn)系統(tǒng)存在的安全問題。4）剖析與報告編制階段本活動是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護(hù)能力的綜合評論活動。本活動的主要任務(wù)是依據(jù)現(xiàn)場測評結(jié)果和《信息系統(tǒng)安全等級保護(hù)測評要求》的有關(guān)要求，經(jīng)過單項測評結(jié)果判斷和系統(tǒng)整體測評剖析等方法，剖析整個系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級的保護(hù)要求之間的差距，綜合評論被測信息系統(tǒng)保護(hù)狀況，并形成測評報告文本。過程質(zhì)量風(fēng)險控制1）測評準(zhǔn)備階段未填寫《測評任務(wù)流程卡》的風(fēng)險項目流程卡是在進(jìn)行測評活動以前對整個測評活動的流程進(jìn)行一個大概的描述，從中能夠?qū)Ρ粶y單位的基本資料進(jìn)行認(rèn)識，包含：被測系統(tǒng)整體描述文件，被測系統(tǒng)詳細(xì)描述文件，被測系統(tǒng)安全保護(hù)等級定級報告，系統(tǒng)查收報告，安全需求剖析報告被測系統(tǒng)安全整體方案等。此外也能初步認(rèn)識被測單位的信息化建設(shè)狀況與發(fā)展，被測系統(tǒng)，包含被測系統(tǒng)的行業(yè)特色、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理地點(diǎn)、系統(tǒng)構(gòu)造、主要功能等被測系統(tǒng)基本狀況，獲取被測系統(tǒng)的背景信息和聯(lián)系方式等。測評人員還可以從中得悉整個測評工作的任務(wù)，在什么階段、什么時間、什么地址應(yīng)當(dāng)做什么樣的測評任務(wù)。風(fēng)險點(diǎn)：未填寫《測評任務(wù)流程卡》將造成不夠認(rèn)識被測單位的基本信息系統(tǒng)，對信息系統(tǒng)測評不全面，測評范圍不明確，甚至造成誤操作，進(jìn)而使測評數(shù)據(jù)不正確，更可能會造成測評結(jié)果與想要獲取的完好不符，影響整個測評工作的進(jìn)展，耗資了人力、物力、財力、給企業(yè)造成不用要的損失。還可能造成對測評任務(wù)不認(rèn)識，不知道怎樣進(jìn)展，或進(jìn)展工作雜亂，可能會使一部分系統(tǒng)沒有測評到，或在規(guī)定的時間內(nèi)不可以達(dá)成指定的任務(wù)，是整個測評工期延伸，影響測評任務(wù)。這些狀況都會影響到測評結(jié)果，跟定級內(nèi)容不符合，造成沒法定級，影響被側(cè)單位，也會傷害到企業(yè)的榮譽(yù)。控制方法：在進(jìn)行測評以前要仔細(xì)填寫好《測評任務(wù)流程卡》，組建測評項目組，從資料、人員、計劃安排等方面為整個等級測評項目的實(shí)行做好準(zhǔn)備，熟習(xí)被測單位信息系統(tǒng)的基本信息，并編制項目計劃書。項目計劃書應(yīng)包含項目概括、工作依照、技術(shù)思路、工作內(nèi)容和項目組織等認(rèn)識整個測評任務(wù)，掌握好測評工作的進(jìn)展。使用的測評工具沒有校準(zhǔn)測評工具是在對被側(cè)單位信息系統(tǒng)、設(shè)備等進(jìn)行測試其能否能正常使用的一種工具。在測試的廣度上，應(yīng)基本覆蓋不一樣種類的體制，在數(shù)目、范圍上能夠抽樣；在測試的深度上，應(yīng)履行功能測試和浸透測試，功能測試可能波及體制的功能規(guī)范、高級設(shè)計和操作規(guī)程等文檔，浸透測試可能波及體制的全部可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。，對其進(jìn)行測評，應(yīng)波及到破綻掃描工具、浸透測評工具集和協(xié)議剖析工具等多種測試工具。風(fēng)險點(diǎn)：假如沒有進(jìn)行測評工具的校準(zhǔn)，或許測評工具準(zhǔn)備不齊，測評結(jié)果將沒法真切，全面反應(yīng)出來，以致有些系統(tǒng)沒法進(jìn)行測評，不可以全面認(rèn)識到系統(tǒng)的情況和系統(tǒng)存在的潛伏問題，造成必定的安全隱患。假如測評工具出現(xiàn)故障，會使整個測評工作遇到影響，使正常的工作沒法進(jìn)行，不可以對系統(tǒng)進(jìn)行測試，影響測評進(jìn)度，可能會對系統(tǒng)的負(fù)載、服務(wù)器和網(wǎng)絡(luò)通信造成必定影響甚至傷害?？刂品椒ǎ涸谶M(jìn)行測評以前對付測評工具進(jìn)行校準(zhǔn)，保證其正常運(yùn)轉(zhuǎn)，依據(jù)測評活動確立所需要準(zhǔn)備的測評工具，依照測評工具清單進(jìn)行盤點(diǎn)，保證所要用到的測評工具已經(jīng)準(zhǔn)備齊備，此外準(zhǔn)備部分備用工具作為備用。c）沒有項目計劃項目計劃是對整個測評工作進(jìn)行項目描述、工作流程、技術(shù)思路、工作內(nèi)容和項目組織，時間控制等控制，保證項目能夠如期順利的達(dá)成。風(fēng)險點(diǎn):假如沒有制作項目計劃，會以致后期項目任務(wù)不明確、管理無序、失控，工作不可以如期達(dá)成?？刂品椒ǎ涸谶M(jìn)行測評工作以前，做好項目計劃，對每個測評人員明確分功。2）方案編制階段a）測評指標(biāo)選用不正確測評指標(biāo)是在被測系統(tǒng)基本狀況剖析后，得出被測系統(tǒng)的定級結(jié)果，包含業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級。從GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中選擇相應(yīng)等級的安全，包含對ASG三類安全要求的選擇。風(fēng)險點(diǎn)：假如測評指標(biāo)選用不明確，會造成錯誤定級，依照錯誤的等級進(jìn)行測評工作，使用錯誤的測評方法，將造成測評結(jié)果偏離，比如：某單位系統(tǒng)服務(wù)安全保護(hù)等級為2級；則該系統(tǒng)的測評指標(biāo)將包含GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》“技術(shù)要求”中的2級通用指標(biāo)類（G2），2級業(yè)務(wù)信息安全指標(biāo)類（S2），2級系統(tǒng)服務(wù)安全指標(biāo)類（A2），以及第2級“管理要求”中的全部指標(biāo)類。假如指標(biāo)錯誤，會影響到后期的全部工作，耗資了各方面的資源，使項目不可以如期順利達(dá)成，同時也給企業(yè)帶來巨大的損失?？刂品椒ǎ航?jīng)過召開評審會，詳細(xì)剖析被測單位的信息系統(tǒng)，對被測單位做好正確立級，明確測評指標(biāo)，順利做好測評工作。b）項目組每個成員包含工具測試人員開發(fā)測評實(shí)行手冊時對測評方法選用不妥測評實(shí)行手冊是詳細(xì)指導(dǎo)測評人員怎樣進(jìn)行測評活動的文件，是現(xiàn)場測評的工具、方法和操作步驟等的詳細(xì)描述，是保證測評活動能夠重現(xiàn)的根本。所以，測評實(shí)行手冊應(yīng)當(dāng)盡可能詳細(xì)、充足。風(fēng)險點(diǎn)：假如測評實(shí)行手冊不使用，會直接以致測評工作的錯誤進(jìn)行，包含測評項（每個測評項可能對應(yīng)多個測評方法）、測評方法（訪談、文檔審察、配置檢查、工具測試和實(shí)地觀察等多種方法）、操作步驟和預(yù)期結(jié)果等。這樣所做的整個過程都將是一個錯誤的過程，所做的工作也就沒有應(yīng)用價值，會延伸工期，會造成違約補(bǔ)償問題，在人員、財力、時間的浪費(fèi)上都沒法填補(bǔ)，也會影響到企業(yè)的榮譽(yù)?？刂品椒ǎ涸敿?xì)做法就是把各層面上的測評指標(biāo)聯(lián)合到詳細(xì)測評對象上，并說明詳細(xì)的測評方法，這樣構(gòu)成一個個能夠詳細(xì)測評實(shí)行的單元。參照《信息系統(tǒng)安全等級保護(hù)測評要求》，聯(lián)合已選定的測評指標(biāo)和測評對象，綱要說明現(xiàn)場測評實(shí)行的工作內(nèi)容來編制測評實(shí)行手冊，達(dá)成以后，對其進(jìn)行評審，經(jīng)過此后，由總工、技術(shù)負(fù)責(zé)人署名確認(rèn)。c）測評實(shí)行工期時間測算不正確測評實(shí)行工期是對整個項目進(jìn)行的一個時間控制，這樣便于掌握整個項目的進(jìn)展。風(fēng)險點(diǎn)：測評實(shí)行工期嚴(yán)禁，使整個項目的工期延后，測評質(zhì)量降落，影響后續(xù)項目的展開?？刂品椒ǎ赫匍_評審會，由專家選用項目實(shí)行工期。d）測評現(xiàn)場人員分工計劃不合理風(fēng)險點(diǎn)：專業(yè)技術(shù)人員分派不合理，會造成對測評的測評不夠全面、深入，不可以獲取完好要的數(shù)據(jù)，不可以站在適合的技術(shù)人員的角度去測評系統(tǒng)。此外，現(xiàn)場測評人員分工不合理，影響項目的進(jìn)展，人員太多造成現(xiàn)場雜亂，現(xiàn)場測評時間浪費(fèi)，工作質(zhì)量降落，人員太少會使測評任務(wù)沒法如期達(dá)成?？刂品椒ǎ航?jīng)過評審會，對項目進(jìn)行剖析，合理的安排測評人員。e）測評方案沒有評審測評方案是等級測評工作實(shí)行的基礎(chǔ)，指導(dǎo)等級測評工作的現(xiàn)場實(shí)行活動。測評方案應(yīng)包含但不限制于以下內(nèi)容：項目概括、測評對象、測評指標(biāo)、測評工具的接入點(diǎn)、單項測評實(shí)行、系統(tǒng)測評實(shí)行以及配套的測評實(shí)行手冊等。風(fēng)險點(diǎn)：測評方案沒有經(jīng)過評審就投入使用，此中有些信息可能不正確、不全面或許是錯誤的，假如依照這樣的測評方案進(jìn)行，就會造成誤操作，效率降低，測評結(jié)果也會有誤差，將不可以獲取正確靠譜的數(shù)據(jù)。控制方法：召開方案評審會，詳細(xì)剖析被測系統(tǒng)的整體構(gòu)造、界限、網(wǎng)絡(luò)地區(qū)重要節(jié)點(diǎn)等。初步判斷被測系統(tǒng)的安全單薄點(diǎn)。剖析確立測評對象、測評指標(biāo)和測試工具接入點(diǎn)，確立測評內(nèi)容及方法。編制測評方案文本，并對其內(nèi)部評審。獲得被測機(jī)構(gòu)對測評方案全部內(nèi)容的署名確認(rèn)，對測評方案進(jìn)行認(rèn)同，并署名確認(rèn)。測評方案在內(nèi)部評審時沒有署名和贊同風(fēng)險點(diǎn)：測評方案沒有經(jīng)過署名和贊同就進(jìn)行測評，假如方案發(fā)生變化，而測評人員又不知道，這樣就會造成不用要的傷害，已經(jīng)做過的測評工作就需要從頭進(jìn)行?？刂品椒ǎ簻y評方案在內(nèi)部評審時署名贊同后再投入項目中?，F(xiàn)場測評階段測評方案未經(jīng)被測單位署名認(rèn)同就展開實(shí)行風(fēng)險點(diǎn)：測評方案沒有經(jīng)過被測方署名和贊同就進(jìn)行測評，會使企業(yè)肩負(fù)必定的法律和事故責(zé)任，對企業(yè)在信用、財力上造成必定的傷害?？刂品椒ǎ簻y評方案經(jīng)過被測單位署名確認(rèn)后在進(jìn)行項目的實(shí)行。現(xiàn)場測評正式進(jìn)場前未與拜托方簽訂《現(xiàn)場測評受權(quán)拜托書》風(fēng)險點(diǎn)：現(xiàn)場測評正式進(jìn)場前未與拜托方簽訂《現(xiàn)場測評受權(quán)拜托書》，造成對現(xiàn)場測評需要的各樣資源，包含被測單位的配合人員和需要供應(yīng)的測評條件，現(xiàn)場測評實(shí)行詳細(xì)時間不明確，沒法確立測評項目兩方責(zé)任。控制方法：現(xiàn)場測評正式進(jìn)場前與拜托方簽訂《現(xiàn)場測評受權(quán)拜托書》。項目負(fù)責(zé)人沒有依據(jù)拜托方提出的建議和建議，對測評方案進(jìn)行必需的更新風(fēng)險點(diǎn)：假如沒有依照拜托方的建議對測評方案進(jìn)行更新，項目將不可以順利的往下展開，拜托方將會不配合測評工作的展開，此外測評結(jié)果也會有誤差，甚至造成測評項目停止?？刂品椒ǎ阂罁?jù)拜托方提出的建議和建議，項目負(fù)責(zé)人對測評方案進(jìn)行必需的更新，并做更新記錄，從頭進(jìn)行內(nèi)部評審并獲取贊同后從頭裝訂測評方案。測評結(jié)果的記錄不正確測評結(jié)果是整個測評過程的一個記錄，測評人員與被測系統(tǒng)有關(guān)人員(個人/群體)進(jìn)行交流、議論、檢查等活動，獲取有關(guān)憑證，認(rèn)識有關(guān)信息的數(shù)據(jù)反應(yīng)。風(fēng)險點(diǎn)：測評結(jié)果錯誤，將不可以給被測單位信息做一個正確的反應(yīng)，對所做的訪談、文檔審察、配置檢查、工具測試和實(shí)地觀察等這些方面的數(shù)據(jù)都不可以真切體現(xiàn)，嚴(yán)重的話可能需要從頭進(jìn)行測評，那將會造成不行估計的損失?？刂品椒ǎ耗軌蚪?jīng)過現(xiàn)場錄音，校準(zhǔn)員對結(jié)果進(jìn)行校準(zhǔn)。測評結(jié)果沒實(shí)用戶署名確認(rèn)風(fēng)險點(diǎn)：沒有經(jīng)過用戶署名的測評結(jié)果是沒有可信度的，假如此中存在問題，用戶可能會否定，降低對測評結(jié)果的可信度，影響到后續(xù)的工作。控制方法：現(xiàn)場測評后的記錄應(yīng)實(shí)時讓用戶署名確認(rèn)。管理類測評文檔審察中，測評人員對文檔審察的覆蓋面不全管理類測評文檔是對測評流程進(jìn)行記錄的一個過程，包含現(xiàn)場測評準(zhǔn)備、訪談、文檔審察、配置檢查、工具測試、實(shí)地觀察、測評結(jié)果確認(rèn)。風(fēng)險點(diǎn)：管理類測評文檔審察中，測評人員對文檔審察的覆蓋面不全，這樣會缺乏某方面的資料，使測評結(jié)果參照不夠全面，影響后續(xù)工作?？刂品椒ǎ撼闪⒐芾眍愇臋n審察清單。測評核查表審察結(jié)果記錄落實(shí)核查表是依照被測單位的等級要求進(jìn)行核查的測評項清單。風(fēng)險點(diǎn)：假如不對測評核查表審察的結(jié)果進(jìn)行記錄，就不知道哪些設(shè)備核查過，哪些沒有核查，不便于結(jié)果的統(tǒng)計，簡單造成漏查?？刂品椒ǎ簩σ巡樵O(shè)備做好記錄，制作補(bǔ)查表，進(jìn)行補(bǔ)查。管理類測評應(yīng)依據(jù)系統(tǒng)等級確立不一樣的測評強(qiáng)度不一樣樣級信息系統(tǒng)在測評實(shí)行時的強(qiáng)度要求不一樣。一級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的一級要求二級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的二級要求，而且全部文檔之間應(yīng)保持一致性，要求有履行過程記錄的，過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)質(zhì)狀況保持一致。三級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的三級要求，全部文檔應(yīng)具備且完好，而且全部文檔之間應(yīng)保持一致性，要求有履行過程記錄的，過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)質(zhì)狀況保持一致，安全管理過程應(yīng)與系統(tǒng)設(shè)計方案保持一致且能夠有效管理系統(tǒng)。四級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的四級要求，全部文檔應(yīng)具備且完好，而且全部文檔之間應(yīng)保持一致性，要求有履行過程記錄的，過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)質(zhì)狀況保持一致，安全管理過程應(yīng)與系統(tǒng)設(shè)計方案保持一致且能夠有效管理系統(tǒng)。風(fēng)險點(diǎn)：在測評過程中假如對測評信息系統(tǒng)所使用的強(qiáng)度不合理，會造成錯誤的測評結(jié)果，對被測單位擬訂安全目標(biāo)文件、安全管理制度、安全管理的履行過程文檔、系統(tǒng)設(shè)計方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)質(zhì)配置說明、系統(tǒng)的各樣運(yùn)轉(zhuǎn)記錄文檔、機(jī)房建設(shè)有關(guān)資料、機(jī)房進(jìn)出記錄等文件造成影響。控制方法：開評審會，依照相應(yīng)的強(qiáng)度要求來做測評。配置檢查應(yīng)依據(jù)系統(tǒng)等級確立不一樣的測評強(qiáng)度技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記錄表格。下邊列出對不一樣樣級信息系統(tǒng)在測評實(shí)行時的不一樣強(qiáng)度要求。一級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的一級要求。二級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的二級要求，測評其實(shí)行的正確性和有效性，檢查配置的完好性，測試網(wǎng)絡(luò)連結(jié)規(guī)則的一致性。三級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的三級要求測評其實(shí)行的正確性和有效性，檢查配置的完好性，測試網(wǎng)絡(luò)連結(jié)規(guī)則的一致性，測試系統(tǒng)能否達(dá)到可用性和靠譜性的要求。四級：知足GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》中的四級要求測評其實(shí)行的正確性和有效性，檢查配置的完好性，測試網(wǎng)絡(luò)連結(jié)規(guī)則的一致性，測試系統(tǒng)能否達(dá)到可用性和靠譜性的要求。風(fēng)險點(diǎn)：不一樣樣級，沒有使用相對應(yīng)的測評強(qiáng)度，相同會造成錯誤的測評結(jié)果，假如系統(tǒng)在輸入無效命令時不可以達(dá)成其功能，將要對其進(jìn)行錯誤測試，針對網(wǎng)絡(luò)連結(jié)，對付連結(jié)規(guī)則進(jìn)行考證，假如方法錯誤，將使考證結(jié)果不正確?？刂品椒ǎ洪_評審會，給被測單位做好測評等級，依照相應(yīng)的強(qiáng)度要求來做。上機(jī)考證存在誤操作的風(fēng)險風(fēng)險點(diǎn)：上機(jī)誤操作會獲取錯誤的數(shù)據(jù)，使測評結(jié)果不正確，可能會對系統(tǒng)造成必定的影響，造成系統(tǒng)數(shù)據(jù)丟掉，或傷害到了此中的某些配置?？刂品椒ǎ簻y評人員要有必定的專業(yè)技術(shù)知識貯備，原則上由被測單位技術(shù)人員依照作業(yè)指導(dǎo)書進(jìn)行操作，要有必定的應(yīng)急方案，在上機(jī)操作以前對機(jī)器上的資料進(jìn)行備份。剖析與報告階段測評剖析應(yīng)依據(jù)信息系統(tǒng)的不一樣樣級進(jìn)行不一樣強(qiáng)度的剖析和歸納在現(xiàn)場測評工作結(jié)束后，測評機(jī)構(gòu)對付現(xiàn)場測評獲取的測評結(jié)果進(jìn)行匯總剖析，形成等級測評結(jié)論，并編制測評報告。測評人員在初步判斷單項測評結(jié)果后，還需進(jìn)行系統(tǒng)整體測評，經(jīng)過系統(tǒng)整體測評后，有的單項測評結(jié)果可能會有所變化，需進(jìn)一步訂正單項測評結(jié)果，爾后形成等級測評結(jié)論。風(fēng)險點(diǎn)：不一樣信息系統(tǒng)被定為不一樣的等級，應(yīng)進(jìn)行不一樣強(qiáng)度的剖析和歸納，等級、強(qiáng)度不可以夠相適應(yīng)的進(jìn)行剖析，會對測評最后的測評報告造成誤差，影響被測單位的系統(tǒng)結(jié)果剖析?？刂品椒ǎ阂勒詹灰粯訕蛹墱y評強(qiáng)度的要求，進(jìn)行不一樣樣級強(qiáng)度的剖析和歸納整體測評不該只考慮單項測評結(jié)果風(fēng)險點(diǎn)：系統(tǒng)整體測評假如只考慮單項測評結(jié)果，不可以針對單項測評的不切合項，采納逐條判斷的方法，也不可以夠從安全控制間、層面間和地區(qū)間出發(fā)考慮，給出系統(tǒng)整體測評的詳細(xì)結(jié)果和結(jié)論，會影響到系統(tǒng)構(gòu)造的整體安全測評。不對其余有關(guān)項進(jìn)行剖析，沒法正確判斷該測評項與其余有關(guān)安全控制項可否發(fā)生關(guān)系關(guān)系，發(fā)生什么樣的關(guān)系關(guān)系，這些關(guān)系關(guān)系產(chǎn)生的作用能否能夠“填補(bǔ)”該測評項的不足。不可以剖析出與該測評項有關(guān)的其余層面測評對象可否和它發(fā)生關(guān)系關(guān)系，發(fā)生什么樣的關(guān)系關(guān)系，這些關(guān)系關(guān)系產(chǎn)生的作用能否能夠“填補(bǔ)”該測評項的不足。不可以剖析出該測評項有關(guān)的其余地區(qū)測評對象可否和它發(fā)生關(guān)系關(guān)系，發(fā)生什么樣的關(guān)系關(guān)系，這些關(guān)系關(guān)系產(chǎn)生的作用能否能夠“填補(bǔ)”該測評項的不足?？刂品椒ǎ簭陌踩嵌绕饰霰粶y系統(tǒng)整體構(gòu)造的安全性，從系統(tǒng)角度剖析被測系統(tǒng)整體安全防備的合理性。整體測評除要考慮單項測評結(jié)果以外，應(yīng)依據(jù)不一樣信息系統(tǒng)的特色，進(jìn)行有針對性的剖析，召開內(nèi)部專家人員會議共同剖析議論，對測評結(jié)果進(jìn)行增補(bǔ)。單項測評項的測評結(jié)果判斷不正確風(fēng)險點(diǎn)：測評指標(biāo)的單項測評結(jié)果狀況不正確，對測評結(jié)果將不可以給出真切的反應(yīng)，會對下邊的整體測評造成必定的影響?？刂品椒ǎ喊磳用娣謩e匯總不一樣測評對象對應(yīng)測評指標(biāo)的單項測評結(jié)果狀況，包含測評多少項，切合要求的多少項等內(nèi)容，一般以表格形式列出。表格中清楚的描述出測評對象，測評指標(biāo)。并以“”表示“切合”，“”表示部分切合，“X”表示“不切合”，“N/A”表示“不合用”。這樣對單項測評結(jié)果的判斷就很清楚正確了，此外由質(zhì)量監(jiān)察員對判斷結(jié)果進(jìn)行審察，出現(xiàn)爭議，由技術(shù)負(fù)責(zé)人進(jìn)行仲裁。對測評報告的審察沒有經(jīng)過評審會進(jìn)行風(fēng)險點(diǎn)：測評報告的審察假如沒有經(jīng)過評審會進(jìn)行，中間存在的問題可能就無法表現(xiàn)出來，對被測單位的系統(tǒng)狀況也沒法清楚的認(rèn)識，可能會獲取不正確的結(jié)論?？刂品椒ǎ簩y評報告的審察應(yīng)經(jīng)過評審會進(jìn)行，應(yīng)選擇擁有高職稱的技術(shù)人員實(shí)行參加。沒有對測評報告的編制格式一致風(fēng)險點(diǎn)：測評報告的編制格式不一致，簡單造成文檔雜亂，不便于管理，也不方便查問?？刂品椒ǎ憾ㄖ埔恢碌奈臋n編號規(guī)范，文檔蓋印規(guī)范。5.2改正控制管理改正管理存在的風(fēng)險項目構(gòu)成員受外面要素影響出現(xiàn)改動在項目進(jìn)行過程中，項目構(gòu)成員因工作調(diào)換、出門學(xué)習(xí)、身體健康等原由，需要改正人員、調(diào)整成員分工的狀況，會對測評準(zhǔn)時保質(zhì)達(dá)成造成影響。改正管理控制方法風(fēng)險點(diǎn)：在項目進(jìn)行過程中，項目構(gòu)成員因工作調(diào)換、出門學(xué)習(xí)、身體健康等原由，需要改正人員、調(diào)整成員分工的狀況，會對測評準(zhǔn)時保質(zhì)達(dá)成造成影響。控制方法：在項目構(gòu)成立后，原則不一樣意人員半途退出。的確沒法防止，由項目經(jīng)理指派其余有能力的人員取代，有關(guān)人員需寫出工作移交報告，妥當(dāng)達(dá)成工作交接程序。5.3項目風(fēng)險管理項目進(jìn)度風(fēng)險的管理5.3.1.1項目進(jìn)度管理存在的風(fēng)險項目進(jìn)度管理在項目管理系統(tǒng)中是比較重要的一個方面，要求在保證項目質(zhì)量的前提下準(zhǔn)時達(dá)成項目是項目進(jìn)度管理的主要目的。項目進(jìn)度管理主要從項目時間計劃和項目時間控制等方面對項目進(jìn)行管理，保證測評項目準(zhǔn)時達(dá)成。等級測評項目管理中應(yīng)關(guān)注以下幾點(diǎn)：與拜托方交涉過程中拜托方不重視等級測評造成的項目時間遲延，如需要拜托方確認(rèn)的項目計劃書拜托方遲遲不給回復(fù)，需要拜托方供應(yīng)的資料拜托方嚴(yán)禁時交給項目組等；沒有合理安排現(xiàn)場測評活動時間，造成沒法進(jìn)行現(xiàn)場測評和造成拜托方損失等狀況。如安排在拜托方工作忙碌階段做測評、安排在被測系統(tǒng)業(yè)務(wù)頂峰期做浸透測試等活動；沒有合理計劃項目周期造成成本增添影響其余項目工作進(jìn)行；項目中時間掌握不正確造成項目時間延遲，如在現(xiàn)場測評階段和方案編制階段時間的掌握不正確，以致階段工作沒有準(zhǔn)時達(dá)成等。5.3.1.2項目進(jìn)度管理控制方法時間管理關(guān)系效益，所以需要在項目的啟動階段時對項目合理的計劃，與拜托方交流使其對測評工作充足重視，并與其磋商合理安排現(xiàn)場測評時間，掌握階段時間控制。詳細(xì)方法以下：現(xiàn)場準(zhǔn)備階段風(fēng)險點(diǎn)：被測單位為測評項目組供應(yīng)其所需要的各樣資料，包含被測單位的各種目標(biāo)文件、規(guī)章制度及有關(guān)過程管理記錄、被測系統(tǒng)整體描述文件網(wǎng)絡(luò)拓?fù)鋱D、管理記錄文檔等。若拜托方提交有關(guān)信息系統(tǒng)資料超期、不實(shí)時將以致項目整體工期遲延?？刂品椒ǎ簩Ω栋萃蟹皆敿?xì)介紹測評的重要性和必需性，說明供應(yīng)信息資料對整個測評過程的重要性。供應(yīng)詳細(xì)的信息系統(tǒng)資準(zhǔn)備清單，指導(dǎo)被測單位準(zhǔn)備有關(guān)信息資料。方案編制階段風(fēng)險點(diǎn)：測評方案草稿應(yīng)經(jīng)過測評項目組全體成員評審，若評審時間過長將影響項目后續(xù)工作展開。測評項目組將確立的測評方案提交給被測單位后，被測單位對付該測評方案進(jìn)行署名認(rèn)同，但若遲遲未認(rèn)同署名，將以致后續(xù)工作沒有方法進(jìn)行，影響項目整體進(jìn)度?？刂品椒ǎ?、項目組擬訂會議日程，對計劃內(nèi)的任務(wù)要準(zhǔn)時達(dá)成。2、方案經(jīng)與拜托方磋商確立后，跟著項目的展開，應(yīng)合時提示拜托方供應(yīng)時間、人員等的配合。風(fēng)險點(diǎn)：安排工具測試時沒有避開被測系統(tǒng)的業(yè)務(wù)頂峰期?？刂品椒ǎ簩?shí)行現(xiàn)場測評或工具測試前應(yīng)充足與被測單位進(jìn)行磋商，確立適合的時間點(diǎn)實(shí)行測評。風(fēng)險點(diǎn)：測評實(shí)行整體工期測算不正確以致工期遲延項目成本提高、影響其余后續(xù)項目工作安排。控制方法：測評方案草稿形成后應(yīng)召開內(nèi)部專家評審會，針對時間安排、測評對象等要點(diǎn)點(diǎn)進(jìn)行評審并署名確認(rèn)?，F(xiàn)場測評階段風(fēng)險點(diǎn)：現(xiàn)場測評階段需召開現(xiàn)場測評首次會，測評項目組介紹測評工作，交流測評信息，進(jìn)一步明確測評計劃和方案中的內(nèi)容。測評兩方確認(rèn)現(xiàn)場測評需要的各樣資源，包含被測單位的配合人員和需要供應(yīng)的測評條件等。被測單位簽訂現(xiàn)場測評受權(quán)拜托書。但現(xiàn)場準(zhǔn)備階段時間控制不好耗資了很長時間，造成的項目工期的延遲。控制方法：對項目準(zhǔn)備階段進(jìn)行時間計劃，擬訂首次測評現(xiàn)場會會議日程。剖析報告階段風(fēng)險點(diǎn)：在剖析報告階段要進(jìn)行單項測評結(jié)果判斷、單項測評結(jié)果匯總剖析、系統(tǒng)整體測評剖析、綜合測評結(jié)論形成、測評報告編制等五個階段。階段間的工作環(huán)環(huán)相扣，假如時間安排不合理將以致下一階段的工作沒法連續(xù)或整體工期遲延。控制方法：擬訂詳細(xì)的剖析報告階段時間計劃。項目構(gòu)成員間踴躍交流，協(xié)調(diào)工作展開。項目協(xié)作與交流風(fēng)險的管理5.3.2.1協(xié)作與交流原則為保證項目順利實(shí)行，項目構(gòu)成員應(yīng)依照相互協(xié)作、主動交流和盡早交流的原則。項目實(shí)行中，只有相互協(xié)作、盡早交流、主動交流才能實(shí)時發(fā)現(xiàn)問題和解決問題，保證項目的順利實(shí)行。5.3.2.2交流管理方法為防止項目人員被動式、對付式交流，任意而行、雜亂無序，為讓項目人員明確自己的交流職責(zé)，特擬訂以下交流計劃：1）與拜托方的交流a）在測評準(zhǔn)備階段，業(yè)務(wù)受理人員應(yīng)見告拜托方信息系統(tǒng)等級測評所一定提交的詳細(xì)資料；b）項目負(fù)責(zé)人應(yīng)在測評項目立項后，應(yīng)向拜托方揭露測評風(fēng)險，說明測評過程中可能帶來的風(fēng)險，并說明風(fēng)險躲避的方法；C）在測評項目準(zhǔn)備階段，項目負(fù)責(zé)人應(yīng)與拜托方交流，對測評時間、人員等做出合理安排，以保證測評實(shí)行工期避開被測系統(tǒng)的業(yè)務(wù)頂峰期，保證測評項目順利達(dá)成；d）項目負(fù)責(zé)人在測評方案經(jīng)過內(nèi)部評審后，實(shí)時與拜托方交流，明確見告拜托方測評范圍，以便拜托方供應(yīng)與測評方案符合的配合資源（人力場所）；e）測評核查表審察結(jié)果記錄必定要由拜托方人員署名，保證記錄結(jié)果的有效性；f）現(xiàn)場測評時，項目構(gòu)成員與拜托方人員交流時，應(yīng)采納對方能接受的溝通風(fēng)格。注意肢體語言、語態(tài)給對方的感覺。一直向拜托方傳達(dá)一種誠實(shí)，公正態(tài)度。無論在何種狀況下，都要防止與拜托方人員產(chǎn)生語言上的矛盾；g）測評組作為一個整體對外建議要一致，一個團(tuán)隊要用一種聲音說話，防止拜托方對測評人員公正公正度產(chǎn)生誤會；h）現(xiàn)場測評時，假如出現(xiàn)測評人員與拜托方交流成效不理想，要實(shí)時認(rèn)識問題，追求有關(guān)領(lǐng)導(dǎo)和職能部門的輔助，合理的借用外面力量達(dá)到項目組的既定目標(biāo)。2）部門間交流a）在拜托方提交信息系統(tǒng)等級測評所必需的資料后，系統(tǒng)測評部應(yīng)會同業(yè)務(wù)受理部，組織專家對拜托方供應(yīng)的資料做詳細(xì)剖析和整理。判斷測評項目能否能夠立項，以保證測評工作順利展開；b）系統(tǒng)測評部應(yīng)按期與質(zhì)量保障部交流，以便質(zhì)量保障部供應(yīng)相應(yīng)的軟、硬件保障，保證測評質(zhì)量。3）項目構(gòu)成員間交流a）項目構(gòu)成員內(nèi)部交流應(yīng)著重文檔化，實(shí)現(xiàn)團(tuán)隊項目經(jīng)驗的有效累積；b）項目構(gòu)成員在項目實(shí)行中應(yīng)著重技術(shù)性交流，方便項目新成員提高技術(shù)水平；C）項目負(fù)責(zé)人經(jīng)過各樣門路將企圖傳達(dá)給項目履行人員并使項目履行人員理解和履行。防止項目履行人員理解不清最后以致項目雜亂甚至項目失?。籨）項目構(gòu)成員在達(dá)成各自的測評工作后，應(yīng)以項目日報形式向項目負(fù)責(zé)人報告，以便項目負(fù)責(zé)人掌握項目進(jìn)度；e）項目構(gòu)成員達(dá)成測評報告后，報告所得出的結(jié)論應(yīng)磋商一致，防止拜托方對測評報告的結(jié)果提出異議。4）與領(lǐng)導(dǎo)的交流a）應(yīng)清楚各級領(lǐng)導(dǎo)的權(quán)限和角色，解決問題時必定是要找到要點(diǎn)路徑上的要點(diǎn)領(lǐng)導(dǎo)，防止將問題同時拋給多個領(lǐng)導(dǎo)，造成領(lǐng)導(dǎo)之間的交流成本加大，影響問題的解決效率；b）關(guān)于項目中不行能達(dá)成的工作，不要一味的向領(lǐng)導(dǎo)妥協(xié)，這既是對工作的負(fù)責(zé)，也是對項目組的負(fù)責(zé)。經(jīng)過多方面的交流管理，為提高信用度，與客戶成立優(yōu)秀的合作關(guān)系，打好堅固的基礎(chǔ)。測評工作引入風(fēng)險的管理5.3.3.1測評工作過程的風(fēng)險考證測試影響系統(tǒng)正常運(yùn)轉(zhuǎn)在現(xiàn)場測評時，需要對設(shè)備和系統(tǒng)進(jìn)行必定的考證測試工作，部分測試內(nèi)容需要上機(jī)查察一些信息，這便可能對系統(tǒng)的運(yùn)轉(zhuǎn)造成必定的影響，甚至存在誤操作的可能。敏感信息泄漏泄漏被測系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全體制、安全隱患和有關(guān)文檔信息。對測評結(jié)果存有爭議測評機(jī)構(gòu)和被測單位對測評結(jié)果可能存在爭議。5.3.3.2風(fēng)險管理控制方法為了對測評過程存在的風(fēng)險進(jìn)行有效躲避，將針對測評流程經(jīng)過以下幾個階段實(shí)行風(fēng)險管理：測評準(zhǔn)備階段a)風(fēng)險點(diǎn)：準(zhǔn)備階段在與拜托方進(jìn)行首次交流磋商后，需要拜托方供應(yīng)必定量的信息系統(tǒng)有關(guān)資料，以便經(jīng)過這些資料的認(rèn)識研究，確立下一步測評工作的展開方法，而這些資料可能波及到拜托方的內(nèi)部機(jī)密，假如此類資料丟掉或泄漏，將對拜托方產(chǎn)生較大影響及造成經(jīng)濟(jì)損失?？刂品椒ǎ涸谂c拜托方首次交流時，簽訂《拜托階段保密協(xié)議》；從拜托方獲取資料時，應(yīng)填寫《資料交接單》，并經(jīng)拜托方署名確認(rèn)后方可使用。b)風(fēng)險點(diǎn)：測評實(shí)行過程中可能需要對設(shè)備和系統(tǒng)進(jìn)行上機(jī)檢查，浸透測試等而這些操作可能會對拜托方的系統(tǒng)運(yùn)轉(zhuǎn)設(shè)備安全等造成必定威迫，假如在測評項目準(zhǔn)備階段沒有向拜托方陳說此類題，可能將以致實(shí)行過程中的拜托方系統(tǒng)服務(wù)中止，設(shè)備宕機(jī)等問題?？刂品椒ǎ涸谂c拜托方交流協(xié)調(diào)時，一定將上述隱患見告拜托方，并建議其做相應(yīng)的保護(hù)舉措。風(fēng)險點(diǎn)：測評工作是一項嚴(yán)實(shí)而又復(fù)雜的工作，其內(nèi)容波及信息系統(tǒng)的各個方面，假如測評準(zhǔn)備階段沒有將測評工作的意義及流程見告拜托方，將造成后期配合上的隱患，以致項目進(jìn)展遲緩，或沒法有序展開?？刂品椒ǎ号c拜托方交流協(xié)調(diào)時，有必需對項目目的、流程及需要配合的事宜完好的見告拜托方，防止由此引起的不理解，不配合。風(fēng)險點(diǎn)：測評工作需要有相當(dāng)專業(yè)技術(shù)能力的人員和有關(guān)測評工具的配合，假如測評工具準(zhǔn)備不妥或測評人員知識貯備量不足，都將對測評工作的展開及測評結(jié)果造成影響?？刂品椒ǎ航M織測評隊伍時對付有關(guān)人員資格進(jìn)行審察，有關(guān)設(shè)備的操作人員需按期培訓(xùn)，并在確立了測評所需設(shè)備后，對所需設(shè)備進(jìn)行校準(zhǔn)。風(fēng)險點(diǎn)：因為測評過程中波及到上機(jī)檢查，實(shí)地查察等，檢查過程中如遇突發(fā)狀況或突發(fā)威迫，如沒有對此類狀況進(jìn)行充足考慮，必然造成測評過程的中止、造成設(shè)備破壞甚至人身事故?？刂品椒ǎ簩赡懿暗降陌踩鹿蕬?yīng)擬