網(wǎng)絡(luò)安全服務(wù)項(xiàng)目服務(wù)質(zhì)量保障措施(實(shí)施方案)

安全服務(wù)項(xiàng)目實(shí)施方案目錄TOC\o"1-4"\h\z\u一、 項(xiàng)目實(shí)施方案 11.1 服務(wù)實(shí)施計(jì)劃 31.1.1 項(xiàng)目前期服務(wù)計(jì)劃 31.1.2 項(xiàng)目服務(wù)實(shí)施計(jì)劃 31.1.3 項(xiàng)目服務(wù)實(shí)施進(jìn)度計(jì)劃表 61.2 服務(wù)人員崗位設(shè)置及職責(zé)分工 71.3 服務(wù)質(zhì)量保證措施 91.3.1 服務(wù)質(zhì)量保障體系 101.3.2 服務(wù)質(zhì)量保障措施 11 質(zhì)量保障方針 11 建立質(zhì)量保證的組織 12 服務(wù)質(zhì)量保證策略 13 服務(wù)質(zhì)量保證過(guò)程 14 制定質(zhì)量保障計(jì)劃 15 質(zhì)量的控制：?jiǎn)栴}跟蹤與質(zhì)量改進(jìn) 15 質(zhì)量管理培訓(xùn) 15 服務(wù)質(zhì)量監(jiān)督 161.4 培訓(xùn)措施 171.4.1 培訓(xùn)內(nèi)容 171.4.2 培訓(xùn)方式 171.4.3 培訓(xùn)流程 181.4.4 培訓(xùn)課程安排（暫定） 191.4.5 培訓(xùn)安排計(jì)劃表 20安全服務(wù)項(xiàng)目實(shí)施方案項(xiàng)目概述本項(xiàng)目為落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》相關(guān)要求，進(jìn)一步加強(qiáng)xx數(shù)據(jù)中心安全防護(hù)能力，為xx數(shù)據(jù)中心提供網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷能力；基于公有威脅情報(bào)源及自定義情報(bào)源，針對(duì)不同的應(yīng)用場(chǎng)景、不同的應(yīng)用分組設(shè)置不同的監(jiān)測(cè)策略，對(duì)外到內(nèi)的惡意攻擊行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)或阻斷。項(xiàng)目總體設(shè)計(jì)思路（1）通過(guò)在xx數(shù)據(jù)中心部署網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)工具（以下簡(jiǎn)稱安全服務(wù)工具平臺(tái)），對(duì)xx數(shù)據(jù)中心網(wǎng)絡(luò)安全保護(hù)對(duì)象(網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、重要主機(jī)等)提供7*24H的全時(shí)段威脅監(jiān)控和防護(hù)能力；通過(guò)相關(guān)平臺(tái)運(yùn)維服務(wù)人員力量的配備，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行事前、事中、事后全生命周期閉環(huán)流程管理（監(jiān)測(cè)預(yù)警、響應(yīng)處置、修復(fù)加固、事件報(bào)告）；（2）通過(guò)常態(tài)化開(kāi)展網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)支撐能力，不斷提高xx數(shù)據(jù)中心局網(wǎng)絡(luò)安全整體保障水平。達(dá)到全面安全合規(guī)、無(wú)重大安全事件、無(wú)重大安全隱患的證建設(shè)目標(biāo)要求，形成全面覆蓋、持續(xù)不斷、動(dòng)態(tài)更新的網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)保障體系。（3）安全服務(wù)工具平臺(tái)通過(guò)內(nèi)置的WAF、IPS、語(yǔ)義檢測(cè)引擎結(jié)合威脅情報(bào)數(shù)據(jù)，對(duì)入網(wǎng)及出網(wǎng)流量進(jìn)行實(shí)時(shí)攻擊行為檢測(cè)，并按預(yù)先設(shè)立的相關(guān)策略處置威脅攻擊和受控外聯(lián)行為，可直接進(jìn)行旁路阻斷；同時(shí)針對(duì)安全事件提供全面的威脅溯源能力。依據(jù)部署的網(wǎng)絡(luò)環(huán)境不同，安全服務(wù)工具平臺(tái)可以聯(lián)動(dòng)云端公有情報(bào)源（互聯(lián)網(wǎng)）和本地私有情報(bào)中心（本地私有化部署，不能聯(lián)通互聯(lián)網(wǎng)的場(chǎng)景下適用）；部署架構(gòu)圖如下所示：服務(wù)實(shí)施計(jì)劃項(xiàng)目前期服務(wù)計(jì)劃合同簽訂，確定項(xiàng)目服務(wù)所需訂購(gòu)的軟硬件設(shè)施及服務(wù)。成立項(xiàng)目小組：確定最終的項(xiàng)目組成員，并以書(shū)面形式正式通知用戶，公司及相關(guān)服務(wù)人員與采購(gòu)人簽訂項(xiàng)目保密協(xié)議。項(xiàng)目人員組織與落實(shí)；項(xiàng)目實(shí)施前雙方人員見(jiàn)面與交流，提供服務(wù)熱線及工程師聯(lián)系方式；介紹和討論技術(shù)服務(wù)方案、實(shí)施計(jì)劃和服務(wù)流程；首次服務(wù)，對(duì)運(yùn)行環(huán)境、設(shè)備情況、系統(tǒng)資源、主機(jī)情況、業(yè)務(wù)情況、網(wǎng)絡(luò)情況、資產(chǎn)情況等進(jìn)行詳細(xì)調(diào)研，建立網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)初步輸出文檔；根據(jù)實(shí)際項(xiàng)目情況，調(diào)整和準(zhǔn)備項(xiàng)目軟硬件基礎(chǔ)支撐和項(xiàng)目組人員，輸出網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)目標(biāo)、網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)范圍、絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)工作流程、網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)輸出材料等內(nèi)容。項(xiàng)目服務(wù)實(shí)施計(jì)劃服務(wù)工具交貨與上線：我司能夠在約定的時(shí)間內(nèi)將服務(wù)工具快速上線，按照招標(biāo)文件及合同要求提供對(duì)應(yīng)的服務(wù)內(nèi)容。服務(wù)工具上線后，通過(guò)策略的調(diào)試和服務(wù)人員的配備開(kāi)始全方位執(zhí)行網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)招標(biāo)文件和合同約定的內(nèi)容；日常服務(wù)開(kāi)展：我司服務(wù)人員通過(guò)服務(wù)工具，進(jìn)行持續(xù)日志分析、告警監(jiān)控，并結(jié)結(jié)合漏洞檢測(cè)情況，基于人工分析研判，排查梳理安全威脅線索，實(shí)時(shí)監(jiān)測(cè)整體網(wǎng)絡(luò)安全情況；針對(duì)網(wǎng)絡(luò)安全事件提供處置服務(wù)，包括但不限于告警監(jiān)測(cè)、日志分析、事件阻斷、事件處置報(bào)告、策略優(yōu)化、服務(wù)工具維護(hù)、特征庫(kù)升級(jí)、日常例行安全巡檢等內(nèi)容；我司負(fù)責(zé)保證本項(xiàng)目所涉及的各項(xiàng)服務(wù)正常，并提供7×24小時(shí)的技術(shù)支持。采購(gòu)人如遇技術(shù)故障，我司會(huì)在接到采購(gòu)人通知后1小時(shí)內(nèi)響應(yīng)，并安排相關(guān)技術(shù)人員2小時(shí)內(nèi)到場(chǎng)處理，4小時(shí)內(nèi)負(fù)責(zé)功能恢復(fù)。采購(gòu)人提出的問(wèn)題、故障解決時(shí)間最長(zhǎng)不超過(guò)24小時(shí)。服務(wù)輸出材料：依據(jù)日常監(jiān)測(cè)和日志分析情況，提供包括但不限于如下內(nèi)容：服務(wù)期內(nèi)提供網(wǎng)絡(luò)安全事件統(tǒng)計(jì)分析報(bào)表（每月一次）；提供弱口令登錄監(jiān)測(cè)分析報(bào)表（每月一次）；在重保期間提供網(wǎng)絡(luò)安全攻擊溯源畫(huà)像報(bào)表（按需提供，不限制次數(shù)）。提供的服務(wù)內(nèi)容如下：（1）提供的威脅情報(bào)阻斷服務(wù)旁路阻斷率≥99%；（2）提供的威脅情報(bào)阻斷服務(wù)能對(duì)流量進(jìn)行實(shí)時(shí)檢測(cè)，并阻斷異常訪問(wèn)行為；（3）提供的威脅情報(bào)阻斷服務(wù)支持多情報(bào)源接入，至少包含正向攻擊情報(bào)源、受控外聯(lián)情報(bào)源、IP畫(huà)像情報(bào)源及自定義情報(bào)源等類(lèi)型；（4）提供正向攻擊類(lèi)情報(bào)源，并支持行業(yè)分類(lèi)，覆蓋教育、金融、電力、能源等不少于30個(gè)行業(yè)的攻擊類(lèi)情報(bào)；（5）提供第三方互聯(lián)網(wǎng)公司情報(bào)源接入能力，包含但不限于騰訊、阿里、華為、360、奇安信情報(bào)源等；（6）提供資產(chǎn)測(cè)繪類(lèi)情報(bào)源和IP畫(huà)像溯源類(lèi)情報(bào)能力；（7）提供受控外聯(lián)類(lèi)情報(bào)源能力，受控外聯(lián)情報(bào)類(lèi)型至少包含IP類(lèi)、URL類(lèi)和域名類(lèi)情報(bào)；（8）提供情報(bào)源的基礎(chǔ)屬性畫(huà)像能力，包含歸屬地、歸屬地、經(jīng)緯度、運(yùn)營(yíng)商等屬性；（9）提供情報(bào)源的資產(chǎn)屬性畫(huà)像能力，包含資產(chǎn)標(biāo)簽、組件標(biāo)簽、開(kāi)放端口等屬性；（10）提供最近三個(gè)月的攻擊軌跡溯源能力，包含歷史攻擊單位、攻擊類(lèi)型、被攻擊單位所屬行業(yè)等屬性；（11）提供自定義私有情報(bào)源能力，接入方式至少包含F(xiàn)TP、FTPS等類(lèi)型，且更新頻率可自定義設(shè)置；（12） 提供策略配置能力，支持基于不同資產(chǎn)、情報(bào)源、情報(bào)行業(yè)、情報(bào)類(lèi)型、情報(bào)碰撞策略及情報(bào)威脅等級(jí)等維度設(shè)置策略匹配條件；（13） 提供基于正向攻擊類(lèi)情報(bào)的威脅監(jiān)測(cè)與阻斷能力；（14） 提供設(shè)置日常和重要時(shí)期保障策略模板能力，并支持自定義模板配置；（15） 提供配置阻斷范圍能力，至少包含單IP和網(wǎng)段；（16）提供基于受控外聯(lián)類(lèi)情報(bào)的外聯(lián)檢測(cè)與阻斷能力，支持針對(duì)不同資產(chǎn)設(shè)置對(duì)應(yīng)的外聯(lián)監(jiān)控策略；（17） 提供自定義添加外聯(lián)情報(bào)能力，且支持批量導(dǎo)入、導(dǎo)出、刪除等操作；（18） 提供精確匹配及正則表達(dá)式匹配能力；（19）提供弱口令登錄檢測(cè)與阻斷能力，支持自定義弱口令檢測(cè)強(qiáng)度，至少包含高、中、低3種不同級(jí)別；（20） 提供針對(duì)不同資產(chǎn)設(shè)置對(duì)應(yīng)的弱口令監(jiān)控策略能力；（21） 提供自定義口令字典能力，可進(jìn)行批量導(dǎo)入、導(dǎo)出、刪除等操作；（22） 提供通過(guò)軟件定義邊界的方式授權(quán)可信訪問(wèn)終端能力，對(duì)應(yīng)用進(jìn)行隱身保護(hù)；（23） 提供IP黑白名單及訪問(wèn)控制策略配置能力，支持按照分、時(shí)、天、月及永久等不同級(jí)別設(shè)定生效周期，并支持配置導(dǎo)入導(dǎo)出；（24） 提供IP仿冒、MAC仿冒溯源與阻斷能力；（25） 提供系統(tǒng)備份及恢復(fù)能力，可選擇手動(dòng)備份或定期自動(dòng)備份兩種方式；（26） 提供可視化能力，能展示CPU、內(nèi)存、硬盤(pán)資源占用率及網(wǎng)絡(luò)接口流量情況；（27） 提供自定義遠(yuǎn)程管理地址段權(quán)限設(shè)置能力；（28） 提供賬號(hào)密碼有效期設(shè)置能力；（29） 提供規(guī)則庫(kù)遠(yuǎn)程在線升級(jí)能力；項(xiàng)目服務(wù)實(shí)施進(jìn)度計(jì)劃表時(shí)間進(jìn)度項(xiàng)目?jī)?nèi)容合同簽訂7天內(nèi)項(xiàng)目人員組織與落實(shí)。雙方交流，介紹和討論服務(wù)計(jì)劃、服務(wù)方法、服務(wù)方案和流程合同簽訂15天內(nèi)建立服務(wù)檔案；服務(wù)人員到位，配套服務(wù)工具設(shè)施到位，并完成相關(guān)服務(wù)準(zhǔn)備工作和調(diào)研工作合同簽訂20天內(nèi)完成網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)的初始化工作，通過(guò)服務(wù)平臺(tái)、服務(wù)工具、人員配備、工作流程和機(jī)制的組合，正式開(kāi)始整體服務(wù)。7*24小時(shí)技術(shù)服務(wù)服務(wù)器內(nèi)我司負(fù)責(zé)保證本項(xiàng)目所涉及的各項(xiàng)服務(wù)正常，并提供7×24小時(shí)的技術(shù)支持。采購(gòu)人如遇技術(shù)故障，我司在接到采購(gòu)?fù)ㄖ?小時(shí)內(nèi)響應(yīng)，并安排相關(guān)技術(shù)人員2小時(shí)內(nèi)到場(chǎng)處理，4小時(shí)內(nèi)負(fù)責(zé)功能恢復(fù)。采購(gòu)人提出的問(wèn)題、故障解決時(shí)間最長(zhǎng)不超過(guò)24小時(shí)。服務(wù)期內(nèi)技術(shù)交流與培訓(xùn)，時(shí)間雙方協(xié)商，提供課程培訓(xùn)、技術(shù)咨詢、升級(jí)服務(wù)、應(yīng)急響應(yīng)和安全服務(wù)等支持服務(wù)。合同期滿后5日內(nèi)服務(wù)驗(yàn)收，組織項(xiàng)目的驗(yàn)收，提交服務(wù)總結(jié)和驗(yàn)收?qǐng)?bào)告服務(wù)人員崗位設(shè)置及職責(zé)分工我方積累了豐富的項(xiàng)目經(jīng)驗(yàn)并總結(jié)出了一套切實(shí)可行的項(xiàng)目實(shí)施流程，在本項(xiàng)目的實(shí)施過(guò)程中，充分繼承和發(fā)揚(yáng)我們的經(jīng)驗(yàn)和特長(zhǎng)，并在項(xiàng)目實(shí)施過(guò)程中不斷創(chuàng)新發(fā)展。項(xiàng)目組成員分工明確，責(zé)任到人，同時(shí)還應(yīng)發(fā)揚(yáng)相互協(xié)作精神，嚴(yán)格按照各項(xiàng)規(guī)章制度.工作流程開(kāi)展工作。為確保本次項(xiàng)目工作的開(kāi)展和順利完成，擬成立項(xiàng)目領(lǐng)導(dǎo)小組和項(xiàng)目工作組，組織架構(gòu)如下圖所示：領(lǐng)導(dǎo)小組，由采購(gòu)人相關(guān)項(xiàng)目負(fù)責(zé)人主持，我司與項(xiàng)目有關(guān)的項(xiàng)目經(jīng)理、商務(wù)負(fù)責(zé)人為領(lǐng)導(dǎo)小組成員。領(lǐng)導(dǎo)小組的主要職責(zé)是：制定方針策略，負(fù)責(zé)領(lǐng)導(dǎo)、指揮和協(xié)調(diào)本次項(xiàng)目工作的開(kāi)展。項(xiàng)目工作組，由我司項(xiàng)目經(jīng)理總體牽頭，相關(guān)技術(shù)負(fù)責(zé)人、商務(wù)負(fù)責(zé)人為小組成員，負(fù)責(zé)全面開(kāi)展項(xiàng)目工作，包括設(shè)定工作目標(biāo)、進(jìn)度計(jì)劃、質(zhì)量管控、人員組織安排、項(xiàng)目驗(yàn)收、項(xiàng)目培訓(xùn)、合同、服務(wù)工作開(kāi)展、售后服務(wù)等工作。保證項(xiàng)目能正常進(jìn)行，對(duì)項(xiàng)目成敗全面負(fù)責(zé)。我司針對(duì)本次項(xiàng)目專門(mén)抽調(diào)公司資質(zhì)深厚的項(xiàng)目經(jīng)理來(lái)承擔(dān)此次項(xiàng)目工程實(shí)施與組織管理工作。除項(xiàng)目經(jīng)理以外，公司目前準(zhǔn)備有10名工程師待命，在中標(biāo)以后公司將邀請(qǐng)采購(gòu)單位的負(fù)責(zé)人一道做好項(xiàng)目實(shí)施與管理監(jiān)督工作，在項(xiàng)目具體實(shí)施過(guò)程中，我公司將配備1名項(xiàng)目經(jīng)理、質(zhì)量監(jiān)督員1名、工程師8人，服務(wù)工具廠商工程師若干。我司已建立有良好的項(xiàng)目管理組織機(jī)構(gòu)和管理體系，實(shí)施了有效的項(xiàng)目管理辦法，并運(yùn)用在公司承擔(dān)的大型項(xiàng)目實(shí)施過(guò)程中，使工程取得了極大的成功，發(fā)揮管理優(yōu)勢(shì)，保障此次項(xiàng)目能夠按時(shí)圓滿完成。服務(wù)人員崗位設(shè)置及職責(zé)分工如下表所示：服務(wù)人員崗位設(shè)置及職責(zé)分工表類(lèi)別崗位姓名職責(zé)分工備注現(xiàn)場(chǎng)項(xiàng)目負(fù)責(zé)人項(xiàng)目經(jīng)理**包括設(shè)定工作目標(biāo)、進(jìn)度計(jì)劃、質(zhì)量管控、人員組織安排、項(xiàng)目驗(yàn)收、項(xiàng)目培訓(xùn)、合同、服務(wù)工作開(kāi)展、售后服務(wù)等工作。/項(xiàng)目服務(wù)團(tuán)隊(duì)質(zhì)量監(jiān)督員**開(kāi)展日常服務(wù)和技術(shù)支撐工作/服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作/服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作/服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作/服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作/服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作/服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作/服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作/廠商服務(wù)工程師**開(kāi)展日常服務(wù)和技術(shù)支撐工作若干，簽訂合同后我司與服務(wù)工具廠商約定售后服務(wù)人員商務(wù)經(jīng)理**/成都服務(wù)質(zhì)量保證措施本次用戶單位項(xiàng)目服務(wù)管理體系以ITSS為基礎(chǔ)，以信息化項(xiàng)目服務(wù)為目標(biāo)，以管理支撐工具為手段，以流程化、規(guī)范化、標(biāo)準(zhǔn)化管理為方法，以全生命周期的PDCA循環(huán)為提升途徑，實(shí)現(xiàn)對(duì)本次用戶單位項(xiàng)目服務(wù)全過(guò)程的體系化管理。服務(wù)質(zhì)量保障體系（1）支持保障體系我公司協(xié)同服務(wù)工具制造商家建立起由一線工程師、知識(shí)庫(kù)和二線技術(shù)專家、國(guó)外合作伙伴知識(shí)庫(kù)和二線技術(shù)專家構(gòu)成的三級(jí)支持保障體系，以保證客戶在服務(wù)工程中的各項(xiàng)事件和問(wèn)題得到徹底解決。一級(jí)支持：我司成都本地工程師和制造商家本地化工程師作為一線工程師，對(duì)外提供服務(wù)熱線電話，為客戶提供7*24小時(shí)、本地化的技術(shù)支持。二級(jí)支持：一線工程師可通過(guò)INTERNET訪問(wèn)服務(wù)工具制造商家公司的知識(shí)庫(kù)，必要時(shí)，可獲得服務(wù)工具制造商家二線技術(shù)專家的遠(yuǎn)程技術(shù)支持或現(xiàn)場(chǎng)技術(shù)支持。三級(jí)支持：我公司與許多技術(shù)實(shí)力雄厚的安全廠商（啟明、安恒、綠盟、網(wǎng)御、亞信等）建立了長(zhǎng)期合作伙伴關(guān)系，實(shí)現(xiàn)雙方技術(shù)資源的利用與共享。工程師可通過(guò)INTERNET訪問(wèn)相關(guān)知識(shí)庫(kù)，必要時(shí)，可獲得合作伙伴技術(shù)專家的遠(yuǎn)程技術(shù)支持或現(xiàn)場(chǎng)技術(shù)支持。（2）支持成長(zhǎng)與后援體系我公司為工程師提供良好的的內(nèi)部研討、學(xué)習(xí)、培訓(xùn)機(jī)制。工程師可通過(guò)公司的技術(shù)論壇進(jìn)行技術(shù)研究、討論；可通過(guò)公司的博客、知識(shí)庫(kù)進(jìn)行技術(shù)學(xué)習(xí)、積累；可通過(guò)外聘或公司技術(shù)專家的授課接受技術(shù)培訓(xùn)。我司工程師長(zhǎng)期參加各安全廠商的技術(shù)培訓(xùn)、技術(shù)交流會(huì)，具備豐富的技術(shù)知識(shí)儲(chǔ)備。服務(wù)質(zhì)量保障措施我司對(duì)網(wǎng)絡(luò)攻擊監(jiān)測(cè)與阻斷服務(wù)開(kāi)展的全過(guò)程提供完整的質(zhì)量保證方案，以保證安全防護(hù)效果和技術(shù)服務(wù)的質(zhì)量。我們認(rèn)為：過(guò)程質(zhì)量與服務(wù)質(zhì)量存在因果關(guān)系，如果工作過(guò)程不符合既定規(guī)范，工作成果/服務(wù)的質(zhì)量也無(wú)從保證。因此，我們的質(zhì)量保證體系方案，既關(guān)心過(guò)程質(zhì)量又關(guān)心服務(wù)質(zhì)量。依照ISO9001質(zhì)量體系要求，我司在多年大量的實(shí)施咨詢、設(shè)計(jì)、集成、服務(wù)項(xiàng)目的成功經(jīng)驗(yàn)基礎(chǔ)上，都遵循此服務(wù)質(zhì)量保證體。質(zhì)量保障方針為確保本項(xiàng)目的高質(zhì)量完成，我司將遵守有關(guān)國(guó)際標(biāo)準(zhǔn)(ISO9000)和國(guó)內(nèi)服務(wù)質(zhì)量標(biāo)準(zhǔn)，在服務(wù)實(shí)施過(guò)程中，從服務(wù)規(guī)劃，人員安排、進(jìn)度計(jì)劃、服務(wù)材料輸出、事件響應(yīng)報(bào)告、例行安全維護(hù)等全部過(guò)程進(jìn)行嚴(yán)格的質(zhì)量控制，強(qiáng)化管理，加強(qiáng)合作，責(zé)權(quán)明確，按照“創(chuàng)新、高效、優(yōu)質(zhì)、規(guī)范”質(zhì)量方針，保證服務(wù)管理均衡有序，保證服務(wù)質(zhì)量。質(zhì)量標(biāo)準(zhǔn)體系與制度規(guī)范本公司針對(duì)本項(xiàng)目服務(wù)的質(zhì)量管理主要依據(jù)ISO9001來(lái)進(jìn)行管理。相關(guān)的質(zhì)量標(biāo)準(zhǔn)體系與制度規(guī)范如下：運(yùn)行維護(hù)流程機(jī)制和工作制度；項(xiàng)目服務(wù)文檔管理制度；項(xiàng)目服務(wù)實(shí)施過(guò)程中的抽檢制度；項(xiàng)目服務(wù)實(shí)施效果后評(píng)估制度；項(xiàng)目服務(wù)變更設(shè)計(jì)制度；項(xiàng)目服務(wù)質(zhì)量檢驗(yàn)制度；事件處理制度；進(jìn)度監(jiān)督級(jí)報(bào)告制度；運(yùn)行維護(hù)和會(huì)議制度等。項(xiàng)目評(píng)估組織（質(zhì)量監(jiān)督人員）評(píng)估原則根據(jù)不同IT項(xiàng)目的特點(diǎn)，對(duì)項(xiàng)目進(jìn)行針對(duì)性分析評(píng)估，包括：服務(wù)背景要求；服務(wù)技術(shù)特點(diǎn)要求；服務(wù)工作具體內(nèi)容要求；服務(wù)項(xiàng)目階段性要求；非技術(shù)背景要求，如管理能力、綜合素質(zhì)、經(jīng)驗(yàn)要求等。在項(xiàng)目的組織結(jié)構(gòu)設(shè)計(jì)過(guò)程中，充分考慮如下因素：組織機(jī)構(gòu)（組）總體的合理性；服務(wù)所需各個(gè)相關(guān)專業(yè)的齊備性；項(xiàng)目服務(wù)中各個(gè)專業(yè)人員的配置比例；專業(yè)崗位職責(zé)明確；各個(gè)崗位人員的綜合背景和經(jīng)驗(yàn)；對(duì)本項(xiàng)目的需求的匹配性。建立質(zhì)量保證的組織在項(xiàng)目的管理過(guò)程中，通過(guò)質(zhì)量監(jiān)督人員對(duì)項(xiàng)目質(zhì)量進(jìn)行監(jiān)控，質(zhì)量監(jiān)督人員與項(xiàng)目組相對(duì)獨(dú)立，客觀地檢查和監(jiān)控“過(guò)程及服務(wù)的質(zhì)量”。具體工作包括：負(fù)責(zé)項(xiàng)目客戶意見(jiàn)的征集和反饋；負(fù)責(zé)服務(wù)工程師工作質(zhì)量的評(píng)測(cè)與績(jī)效考核；負(fù)責(zé)項(xiàng)目工作規(guī)范符合性評(píng)測(cè)制度的執(zhí)行情況檢查；負(fù)責(zé)項(xiàng)目標(biāo)準(zhǔn)化流程的執(zhí)行情況的檢查；負(fù)責(zé)項(xiàng)目工作制度的執(zhí)行情況的檢查；負(fù)責(zé)項(xiàng)目文檔管理情況的檢查；負(fù)責(zé)項(xiàng)目階段實(shí)施效果的評(píng)估；質(zhì)量監(jiān)督人員具有越級(jí)上報(bào)的權(quán)利，隨時(shí)向高層報(bào)告項(xiàng)目的質(zhì)量狀況。通過(guò)上述管理機(jī)制，我司將項(xiàng)目的質(zhì)量控制與如上所述的員工個(gè)人績(jī)效考評(píng)密切結(jié)合起來(lái)；并通過(guò)一系列的工作制度，保證了工作流程的規(guī)范化；通過(guò)階段性檢查等措施，對(duì)具體工作的開(kāi)展質(zhì)量進(jìn)行綜合評(píng)估，確保項(xiàng)目整體目標(biāo)的實(shí)現(xiàn)。服務(wù)質(zhì)量保證策略我司作為本項(xiàng)目的實(shí)施單位，施工中負(fù)責(zé)項(xiàng)目管理和服務(wù)工作的開(kāi)展：制定服務(wù)實(shí)施計(jì)劃，服務(wù)人員安排、服務(wù)體制、工作流程等。我司在服務(wù)實(shí)施之前、實(shí)施之中及實(shí)施完成后，都提供優(yōu)良的技術(shù)支持與技術(shù)服務(wù)。我司始終把為用戶提供全面、及時(shí)、優(yōu)質(zhì)的服務(wù)作為公司的基本宗旨。我公司依據(jù)ISO9001質(zhì)量認(rèn)證體系要求培養(yǎng)了一支強(qiáng)大的技術(shù)服務(wù)隊(duì)伍，并積極與廠家配合為用戶提供優(yōu)質(zhì)的服務(wù)，贏得了廣大客戶的好評(píng)。多年來(lái)我公司一直注重質(zhì)量第一，為此我公司制訂了相應(yīng)措施。制定有關(guān)的執(zhí)行技術(shù)服務(wù)準(zhǔn)則、管理制度和控制措施，保證項(xiàng)目提供的硬件、軟件和整個(gè)服務(wù)內(nèi)容等的質(zhì)量達(dá)到合同規(guī)定的要求。我公司保證從事本次服務(wù)人員均具有相當(dāng)?shù)馁Y格或服務(wù)經(jīng)驗(yàn)。在服務(wù)實(shí)施中，我司將提供以下服務(wù)以保證項(xiàng)目的質(zhì)量：項(xiàng)目管理建立項(xiàng)目管理小組：為保證對(duì)本項(xiàng)目的順利實(shí)施,我司就此項(xiàng)目成立項(xiàng)目管理小組,由此小組專職負(fù)責(zé)該服務(wù)項(xiàng)目的執(zhí)行。組織技術(shù)培訓(xùn)我司將安排對(duì)用戶技術(shù)人員的培訓(xùn)，包括服務(wù)工具使用、日常安全處置、網(wǎng)絡(luò)安全意識(shí)、網(wǎng)絡(luò)安全攻防技術(shù)理念、網(wǎng)絡(luò)安全攻防實(shí)操等，以加強(qiáng)客戶技術(shù)人員對(duì)我司提供的產(chǎn)品和服務(wù)的認(rèn)識(shí)。技術(shù)聯(lián)絡(luò)群我司將與用戶項(xiàng)目的相關(guān)人員在服務(wù)開(kāi)始前以及服務(wù)工程中進(jìn)行技術(shù)溝通，保證服務(wù)開(kāi)展中的良好配合，以及解決服務(wù)中可能出現(xiàn)的問(wèn)題。服務(wù)方案設(shè)計(jì)實(shí)施方案、服務(wù)方案設(shè)計(jì)由我司富有經(jīng)驗(yàn)的專家負(fù)責(zé)，并同客戶一起討方案設(shè)計(jì)的細(xì)節(jié)。服務(wù)實(shí)施和督導(dǎo)我司將提供有經(jīng)驗(yàn)的工程師進(jìn)行整體服務(wù)質(zhì)量的把控和監(jiān)督。服務(wù)質(zhì)量保證過(guò)程針對(duì)本項(xiàng)目的質(zhì)量管理可以分為兩大部分，第一部分主要是質(zhì)量監(jiān)督人員對(duì)項(xiàng)目各階段的過(guò)程及服務(wù)質(zhì)量的監(jiān)控與評(píng)審，第二部分主要是完善質(zhì)量監(jiān)督人員內(nèi)部的管理機(jī)制，使其對(duì)項(xiàng)目實(shí)現(xiàn)有效管理。面向服務(wù)過(guò)程質(zhì)量管理流程如下：制定質(zhì)量保障計(jì)劃質(zhì)量保障計(jì)劃與整個(gè)項(xiàng)目的服務(wù)內(nèi)容計(jì)劃相一致，在項(xiàng)目計(jì)劃階段予以確定，由項(xiàng)目經(jīng)理及質(zhì)量監(jiān)督人員審批及核對(duì)。質(zhì)量保障計(jì)劃確定需要檢查的服務(wù)工作過(guò)程和服務(wù)工作成果，預(yù)估檢查時(shí)間節(jié)點(diǎn)和檢查方式，確定各階段相應(yīng)的檢查表和輸出材料。某些檢查是周期性的，如：設(shè)備策略調(diào)優(yōu)配置、安全事件處置報(bào)告、運(yùn)行維護(hù)記錄等。質(zhì)量的控制：?jiǎn)栴}跟蹤與質(zhì)量改進(jìn)對(duì)于各種方式發(fā)現(xiàn)的問(wèn)題，都將建立項(xiàng)目問(wèn)題日志，通過(guò)項(xiàng)目日志，跟蹤問(wèn)題解決的過(guò)程，記錄問(wèn)題狀態(tài)，直至問(wèn)題被解決為止。項(xiàng)目日志由質(zhì)量監(jiān)督人員負(fù)責(zé)維護(hù)和跟蹤。質(zhì)量監(jiān)督人員識(shí)別出在項(xiàng)目?jī)?nèi)難以解決的質(zhì)量問(wèn)題，將問(wèn)題遞交給上級(jí)領(lǐng)導(dǎo)，由上級(jí)領(lǐng)導(dǎo)給出解決措施。質(zhì)量管理培訓(xùn)質(zhì)量管理狀況監(jiān)督的目的在于改進(jìn)質(zhì)量保證過(guò)程，提高項(xiàng)目的服務(wù)質(zhì)量。質(zhì)量監(jiān)督人員通過(guò)統(tǒng)計(jì)的相關(guān)問(wèn)題和數(shù)據(jù)，定期召開(kāi)項(xiàng)目?jī)?nèi)部會(huì)議，不斷的完善和優(yōu)化質(zhì)量問(wèn)題。服務(wù)質(zhì)量監(jiān)督有成熟保障體系和質(zhì)量控制體系的管理機(jī)制保證，技術(shù)服務(wù)項(xiàng)目有了科學(xué)的監(jiān)督體系。針對(duì)于本項(xiàng)目的工作，質(zhì)量難于量化，質(zhì)量管理也因此變得非常重要。信息技術(shù)服務(wù)質(zhì)量管理我司是通過(guò)記錄追蹤、服務(wù)監(jiān)督和考核管理等方法實(shí)現(xiàn)對(duì)技術(shù)工作的質(zhì)量進(jìn)行監(jiān)督、檢查，從中發(fā)現(xiàn)質(zhì)量問(wèn)題，提出改進(jìn)方案，做出質(zhì)量評(píng)價(jià)。服務(wù)質(zhì)量監(jiān)督是一種常用的質(zhì)量管理辦法，目的是通過(guò)監(jiān)督來(lái)促進(jìn)服務(wù)質(zhì)量，發(fā)現(xiàn)質(zhì)量問(wèn)題。監(jiān)督也是服務(wù)質(zhì)量考核的一種手段。1）用戶監(jiān)督對(duì)于服務(wù)技術(shù)支持人員和服務(wù)技術(shù)支持小組的工作能力、工作態(tài)度、工作效率，用戶最有發(fā)言權(quán)。用戶的評(píng)價(jià)將直接與技術(shù)服務(wù)人員的工作質(zhì)量考核掛鉤。2）領(lǐng)導(dǎo)監(jiān)督逐級(jí)監(jiān)督是質(zhì)量監(jiān)督的另一種常用方法。技術(shù)支持人員和技術(shù)支持小組成員受上級(jí)領(lǐng)導(dǎo)監(jiān)督，上級(jí)領(lǐng)導(dǎo)可以從技術(shù)支持小組的匯報(bào)中，從用戶的反饋中，從技術(shù)服務(wù)的效果進(jìn)行監(jiān)督。每位工程師受項(xiàng)目經(jīng)理監(jiān)督，監(jiān)督小組成員的工作效率、工作能力和工作態(tài)度。領(lǐng)導(dǎo)監(jiān)督也同樣需要與考核掛鉤。3）自我監(jiān)督相信人的主觀能動(dòng)性，是現(xiàn)代企業(yè)管理理論的重要部分。相信人的自我價(jià)值追求，培養(yǎng)人的主動(dòng)性，是現(xiàn)代管理方法的一種重要思路。通過(guò)指導(dǎo)、教育，協(xié)助每位工程師提高自身的質(zhì)量意識(shí)，實(shí)現(xiàn)自我監(jiān)督。服務(wù)質(zhì)量考核與評(píng)價(jià)采用目標(biāo)管理法來(lái)進(jìn)行技術(shù)服務(wù)的質(zhì)量考核，對(duì)達(dá)到考核目標(biāo)的給予認(rèn)可。目標(biāo)管理法是企業(yè)經(jīng)營(yíng)管理的一項(xiàng)基本管理辦法，在技術(shù)服務(wù)中引入該方法是為了更好的提升服務(wù)質(zhì)量，做到對(duì)工作的正確評(píng)價(jià)。另外，考核不是為了懲罰而是為了促進(jìn)更好的工作，正確、公平的評(píng)價(jià)同樣也會(huì)促進(jìn)技術(shù)服務(wù)的管理工作。培訓(xùn)措施培訓(xùn)內(nèi)容我司在服務(wù)期內(nèi)針對(duì)服務(wù)內(nèi)容免費(fèi)對(duì)用戶提供如下培訓(xùn)內(nèi)容：安全管理培訓(xùn)。內(nèi)容主要包括：安全形勢(shì)分析，安全意識(shí)與安全管理，常見(jiàn)安全問(wèn)題及處理方法等相關(guān)內(nèi)容。安全技能培訓(xùn)。內(nèi)容主要包括：常見(jiàn)漏洞及解決方案、重要應(yīng)用系統(tǒng)安全配置、目前主要攻擊手段及防范措施、常用檢測(cè)、監(jiān)測(cè)工具的使用方法、緊急事件處理方法等。安全產(chǎn)品（服務(wù)工具）培訓(xùn)。內(nèi)容主要包括：產(chǎn)品的功能介紹、日常使用方法、維護(hù)升級(jí)等內(nèi)容。培訓(xùn)方式1.正式培訓(xùn)（安全管理培訓(xùn)、安全技能培訓(xùn)、安全產(chǎn)品培訓(xùn)）按照采購(gòu)人要求的培訓(xùn)內(nèi)容，我司出具培訓(xùn)課件和培訓(xùn)教材開(kāi)展正式培訓(xùn)；并根據(jù)實(shí)際需要搭建培訓(xùn)實(shí)驗(yàn)環(huán)境。培訓(xùn)對(duì)象：用戶的技術(shù)人員、安全管理人員；培訓(xùn)內(nèi)容：安全管理培訓(xùn)、安全技能培訓(xùn)、安全產(chǎn)品培訓(xùn)。培訓(xùn)次數(shù)及時(shí)間：依據(jù)采購(gòu)人提出項(xiàng)目培訓(xùn)需求為準(zhǔn)。培訓(xùn)師資：我司安全服務(wù)技術(shù)專家及服務(wù)工具制造商家技術(shù)專家；培訓(xùn)地點(diǎn)：由采購(gòu)人指定地點(diǎn)；培訓(xùn)日期：由采購(gòu)人指定；2.常規(guī)技術(shù)交流、知識(shí)傳遞、技能培訓(xùn)本項(xiàng)培訓(xùn)內(nèi)容是指在網(wǎng)絡(luò)攻擊監(jiān)測(cè)和阻斷服務(wù)實(shí)施階段以及日常技術(shù)支持時(shí)，在服務(wù)現(xiàn)場(chǎng)進(jìn)行的知識(shí)傳遞和技能培訓(xùn)，內(nèi)容實(shí)用且針對(duì)性強(qiáng)，主要依據(jù)現(xiàn)場(chǎng)實(shí)際情況和事件講解風(fēng)險(xiǎn)事件的原理、造成原因、處理方法等。培訓(xùn)對(duì)象：用戶的技術(shù)人員、安全管理人員；培訓(xùn)內(nèi)容：風(fēng)險(xiǎn)的原理、造成原因、處理方法。培訓(xùn)日期：不定時(shí)培訓(xùn)，依據(jù)采購(gòu)人要求；培訓(xùn)次數(shù)：項(xiàng)目實(shí)施期間進(jìn)行培訓(xùn)；培訓(xùn)師資：我司安全服務(wù)技術(shù)人員；培訓(xùn)地點(diǎn)：培訓(xùn)在安全服務(wù)或技術(shù)支撐現(xiàn)場(chǎng)；培訓(xùn)流程根據(jù)初步培訓(xùn)計(jì)劃，我們?cè)谡綄?shí)施相關(guān)培訓(xùn)之前，仍將充分進(jìn)行調(diào)研和準(zhǔn)備工作。主要內(nèi)容包括：1) 我方指派本項(xiàng)目的項(xiàng)目經(jīng)理負(fù)責(zé)培訓(xùn)事宜，協(xié)調(diào)培訓(xùn)人員做好現(xiàn)場(chǎng)培訓(xùn)；2) 采購(gòu)人明確培訓(xùn)地點(diǎn)、培訓(xùn)日期、一名培訓(xùn)負(fù)責(zé)人；3) 雙方代表就培訓(xùn)工作進(jìn)行深入溝通，明確培訓(xùn)內(nèi)容、培訓(xùn)對(duì)象、培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)地點(diǎn)、培訓(xùn)教師；4) 我司制定詳細(xì)培訓(xùn)計(jì)劃；5) 我司提供培訓(xùn)教材；6) 如必要，我司指派原廠高級(jí)技術(shù)專家和原廠高級(jí)培訓(xùn)教師；7) 用戶方提供詳細(xì)培訓(xùn)學(xué)員信息，包括姓名、性別、年齡、職務(wù)、學(xué)歷、專業(yè)、聯(lián)系方式。培訓(xùn)課程安排（暫定）安全管理培訓(xùn)信息安全形勢(shì)什么是信息安全企事業(yè)單位如何有效的建立信息安全體系？信息安全體系建設(shè)難點(diǎn)及管理層關(guān)注點(diǎn)常見(jiàn)安全問(wèn)題及處理方法安全技能培訓(xùn)常見(jiàn)漏洞及解決方案重要應(yīng)用系統(tǒng)安全配置目前主要攻擊手段及防范措施常用檢測(cè)、監(jiān)測(cè)工具的使用方法緊急事件處理方法網(wǎng)絡(luò)安全應(yīng)急處置流程和方法安全技能培訓(xùn)安全產(chǎn)品培訓(xùn)安全服務(wù)工具平臺(tái)產(chǎn)品功能介紹安全服務(wù)工具平臺(tái)日常使用、維護(hù)方法安全服務(wù)工具平臺(tái)日志分析、事件處置、硬件響應(yīng)等場(chǎng)景化操作模擬培訓(xùn)安排計(jì)劃表本培訓(xùn)安排計(jì)劃表為暫定內(nèi)容，具體實(shí)際項(xiàng)目培訓(xùn)內(nèi)容需要與采購(gòu)人溝通確認(rèn)。（1）安全意識(shí)與安全管理培訓(xùn)計(jì)劃表培訓(xùn)主題培訓(xùn)目的培訓(xùn)內(nèi)容教學(xué)方式一、培訓(xùn)開(kāi)始使學(xué)員了解培訓(xùn)的目標(biāo)和內(nèi)容講師自我介紹、課程目標(biāo)介紹、課程內(nèi)容介紹講師講解二、信息安全形勢(shì)通過(guò)一些具體數(shù)據(jù)統(tǒng)計(jì)和案例分析，使管理層從不同的角度了解當(dāng)前信息安全的嚴(yán)峻形勢(shì)，認(rèn)清信息安全事件的危害性與急迫性。安全事件“層出不窮”惡意代碼“快速泛濫”網(wǎng)絡(luò)犯罪“蒸蒸日上”敏感信息泄密“觸目驚心”應(yīng)用系統(tǒng)漏洞“隨處可見(jiàn)”信息安全損失的“冰山理論”統(tǒng)計(jì)分析：通過(guò)一組統(tǒng)計(jì)數(shù)據(jù)說(shuō)明安全事件的多發(fā)性和嚴(yán)重性。現(xiàn)場(chǎng)實(shí)驗(yàn)：計(jì)算機(jī)木馬是如何控生成、傳播和控制你的電腦的。視頻演示：xxx海淀區(qū)陳某的電腦遭入侵后被敲詐案例。案例分析：“力拓商業(yè)間諜案”給我們的啟示漏洞展示：工業(yè)企事業(yè)網(wǎng)站、應(yīng)用主機(jī)及工控系統(tǒng)由于應(yīng)用系統(tǒng)漏洞遭入侵的案例。三、什么是信息安全？結(jié)合前面案例，通過(guò)一些通俗易懂的解釋使管理層了解信息安全的定義、內(nèi)容及建設(shè)方法，認(rèn)識(shí)到建立信息安全保障體系對(duì)于企事業(yè)單位的重要意義。信息的定義、表現(xiàn)形式及對(duì)企事業(yè)的重要意義。信息安全三種屬性（機(jī)密性、完整性和可用性）信息安全的保護(hù)對(duì)象（信息資產(chǎn)）信息安全的保護(hù)要求（個(gè)人和企事業(yè)信息安全的要求）信息安全的法律法規(guī)、監(jiān)管要求（人大、公安部、國(guó)資委、工信部等）數(shù)據(jù)統(tǒng)計(jì)：面對(duì)信息系統(tǒng)故障，不同類(lèi)型的企事業(yè)能存活多久？國(guó)外研究：企業(yè)信息資產(chǎn)主要存放在什么地方？案例分析：麥當(dāng)勞的垃圾也是信息資產(chǎn)。統(tǒng)計(jì)分析：2011年某行業(yè)系統(tǒng)中斷的類(lèi)型與原因分析。案例分析：某軍工研究所泄密帶來(lái)的后果。視頻演示：個(gè)人信息非法買(mǎi)賣(mài)帶來(lái)的后果。國(guó)內(nèi)研究：國(guó)內(nèi)企事業(yè)單位建立信息安全保障體系的方法。四、企事業(yè)單位如何有效建立信息安全體系？從管理層的角度了解企事業(yè)單位信息安全建設(shè)的一般過(guò)程，認(rèn)清每個(gè)過(guò)程中的關(guān)鍵環(huán)節(jié)，理解信息安全保障體系的建立的正確實(shí)施方法?！盁o(wú)知者無(wú)畏”：安全要從風(fēng)險(xiǎn)評(píng)估開(kāi)始！“三個(gè)和尚沒(méi)水喝”：有效的信息安全組織建立是基礎(chǔ)。討厭的“蜘蛛網(wǎng)”：信息安