信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作專業(yè)方案

XX安全服務(wù)企業(yè)-XXX項(xiàng)目等級(jí)保護(hù)差距測(cè)評(píng)實(shí)施方案XXXXXXXXX信息安全201X年X月

目錄目錄 31. 項(xiàng)目概述 11.1. 項(xiàng)目背景 11.2. 項(xiàng)目目標(biāo) 11.3. 項(xiàng)目標(biāo)準(zhǔn) 11.4. 項(xiàng)目依據(jù) 22. 測(cè)評(píng)實(shí)施內(nèi)容 32.1. 測(cè)評(píng)分析 32.1.1. 測(cè)評(píng)范圍 32.1.2. 測(cè)評(píng)對(duì)象 32.1.3. 測(cè)評(píng)內(nèi)容 42.1.4. 測(cè)評(píng)對(duì)象 62.1.5. 測(cè)評(píng)指標(biāo) 72.2. 測(cè)評(píng)步驟 82.2.1. 測(cè)評(píng)準(zhǔn)備階段 92.2.2. 方案編制階段 92.2.3. 現(xiàn)場(chǎng)測(cè)評(píng)階段 102.2.4. 分析和匯報(bào)編制階段 112.3. 測(cè)評(píng)方法 122.3.1. 工具測(cè)試 122.3.2. 配置檢驗(yàn) 132.3.3. 人員訪談 132.3.4. 文檔審查 142.3.5. 實(shí)地查看 142.4. 測(cè)評(píng)工具 152.5. 輸出文檔 152.5.1. 等級(jí)保護(hù)測(cè)評(píng)差距匯報(bào) 152.5.2. 等級(jí)測(cè)評(píng)匯報(bào) 152.5.3. 安全整改提議 163. 時(shí)間安排 164. 人員安排 174.1. 組織結(jié)構(gòu)及分工 174.2. 人員配置表 184.3. 工作配合 195. 其它相關(guān)事項(xiàng) 215.1. 風(fēng)險(xiǎn)規(guī)避 215.2. 項(xiàng)目信息管理 235.2.1. 保密責(zé)任法律確保 235.2.2. 現(xiàn)場(chǎng)安全保密管理 235.2.3. 文檔安全保密管理 235.2.4. 離場(chǎng)安全保密管理 245.2.5. 其它情況說明 24項(xiàng)目概述項(xiàng)目背景為了落實(shí)落實(shí)《國家信息化領(lǐng)導(dǎo)小組相關(guān)加強(qiáng)信息安全保障工作意見》、《相關(guān)信息安全等級(jí)保護(hù)工作實(shí)施意見》和《信息安全等級(jí)保護(hù)管理措施》精神，XXXXXXXXXXXXXXXXXXX需要根據(jù)國家《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》要求，對(duì)XXXXXXXXXXXXXXXXXXX現(xiàn)有六個(gè)信息系統(tǒng)進(jìn)行全方面信息安全測(cè)評(píng)和評(píng)定工作,而且為XXXXXXXXXXXXXXXXXXX提供駐點(diǎn)咨詢、實(shí)施等服務(wù)。(安全技術(shù)測(cè)評(píng)包含：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上安全控制測(cè)評(píng)；安全管理測(cè)評(píng)包含：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面安全控制測(cè)評(píng)），加大測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)定力度，對(duì)信息系統(tǒng)資產(chǎn)、威脅、弱點(diǎn)和風(fēng)險(xiǎn)等要素進(jìn)行全方面評(píng)定，有效提升信心系統(tǒng)安全防護(hù)能力，建立長久化等級(jí)保護(hù)工作機(jī)制，深化信息安全等級(jí)保護(hù)工作，提升XXXXXXXXXXXXXXXXXXX網(wǎng)絡(luò)和信息系統(tǒng)安全保障和運(yùn)維能力。項(xiàng)目目標(biāo)全方面完成XXXXXXXXXXXXXXXXXXX現(xiàn)有六個(gè)信息系統(tǒng)信息安全測(cè)評(píng)和評(píng)定工作和幫助整改工作，而且為XXXXXXXXXXXXXXXXXXX提供駐點(diǎn)咨詢、實(shí)施等服務(wù)，根據(jù)國家和XXXXXXXXXXXXXXXXXXX相關(guān)要求，對(duì)XXXXXXXXXXXXXXXXXXX網(wǎng)絡(luò)架構(gòu)進(jìn)行業(yè)務(wù)影響分析及網(wǎng)絡(luò)安全管理工作進(jìn)行梳理，提升XXXXXXXXXXXXXXXXXXX整個(gè)網(wǎng)絡(luò)安全保障和運(yùn)維能力，降低信息安全風(fēng)險(xiǎn)和降低信息安全事件發(fā)生概率，全方面提升網(wǎng)絡(luò)層面安全性，構(gòu)建XXXXXXXXXXXXXXXXXXX信息系統(tǒng)整體信息安全架構(gòu)，確保全局信息系統(tǒng)高效穩(wěn)定運(yùn)行，并滿足XXXXXXXXXXXXXXXXXXX提出基礎(chǔ)要求，立即提供咨詢等服務(wù)。項(xiàng)目標(biāo)準(zhǔn)項(xiàng)目標(biāo)方案設(shè)計(jì)和實(shí)施應(yīng)滿足以下標(biāo)準(zhǔn)：符合性標(biāo)準(zhǔn)：應(yīng)符合國家信息安全等級(jí)保護(hù)制度及相關(guān)法律法規(guī)，指出防范方針和保護(hù)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)性標(biāo)準(zhǔn)：方案設(shè)計(jì)、實(shí)施和信息安全體系構(gòu)建應(yīng)依據(jù)中國、國際相關(guān)標(biāo)準(zhǔn)進(jìn)行。規(guī)范性標(biāo)準(zhǔn)：項(xiàng)目實(shí)施應(yīng)由專業(yè)等級(jí)測(cè)評(píng)師依據(jù)規(guī)范操作步驟進(jìn)行，在實(shí)施之前將具體量化出每項(xiàng)測(cè)評(píng)內(nèi)容，對(duì)操作過程和結(jié)果提供規(guī)范統(tǒng)計(jì)，方便于項(xiàng)目標(biāo)跟蹤和控制?？煽匦詷?biāo)準(zhǔn)：項(xiàng)目實(shí)施方法和過程要在雙方認(rèn)可范圍之內(nèi)，實(shí)施進(jìn)度要根據(jù)進(jìn)度表進(jìn)度安排，確保項(xiàng)目實(shí)施可控性。整體性標(biāo)準(zhǔn)：安全體系設(shè)計(jì)范圍和內(nèi)容應(yīng)該整體全方面，包含安全包含各個(gè)層面，避免因?yàn)檫z漏造成未來安全隱患。最小影響標(biāo)準(zhǔn)：項(xiàng)目實(shí)施工作應(yīng)盡可能小影響網(wǎng)絡(luò)和信息系統(tǒng)正常運(yùn)行，不能對(duì)信息系統(tǒng)運(yùn)行和業(yè)務(wù)正常提供產(chǎn)生顯著影響。保密標(biāo)準(zhǔn)：對(duì)項(xiàng)目實(shí)施過程取得數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)和結(jié)果進(jìn)行任何侵害測(cè)評(píng)委托單位利益行為。項(xiàng)目依據(jù)信息系統(tǒng)等級(jí)測(cè)評(píng)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》，在對(duì)信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理安全控制測(cè)評(píng)及系統(tǒng)整體測(cè)評(píng)結(jié)果基礎(chǔ)上，針對(duì)對(duì)應(yīng)等級(jí)信息系統(tǒng)遵照標(biāo)準(zhǔn)進(jìn)行綜合系統(tǒng)測(cè)評(píng)，提出對(duì)應(yīng)系統(tǒng)安全整改提議。關(guān)鍵參考標(biāo)準(zhǔn)以下：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》-GB17859-1999《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全等級(jí)保護(hù)管理措施》《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)要求》（GB/T22239-）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-）《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-）《信息安全技術(shù)服務(wù)器技術(shù)要求》（GB/T21028-）《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-）《信息安全風(fēng)險(xiǎn)評(píng)定規(guī)范》（GB/T20984-）測(cè)評(píng)實(shí)施內(nèi)容測(cè)評(píng)分析測(cè)評(píng)范圍本項(xiàng)目范圍為對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)。測(cè)評(píng)對(duì)象此次測(cè)評(píng)對(duì)象為XXXXXXXXXXXXXXXXXXX信息系統(tǒng)，具體以下：序號(hào)信息系統(tǒng)名稱等級(jí)1XXXXXXXXX信息系統(tǒng)三級(jí)2XXXXXXXXX信息系統(tǒng)三級(jí)3XXXXXXXXX信息系統(tǒng)三級(jí)4XXXXXXXXX信息系統(tǒng)三級(jí)5XXXXXXXXX信息系統(tǒng)二級(jí)6XXXXXXXXX信息系統(tǒng)二級(jí)測(cè)評(píng)架構(gòu)圖此次測(cè)評(píng)結(jié)合XXXXXXXXXXXXXXXXXXX系統(tǒng)信息管理特點(diǎn)，進(jìn)行不一樣層次測(cè)評(píng)工作，以下表所表示：測(cè)評(píng)內(nèi)容本項(xiàng)目關(guān)鍵分為兩步開展實(shí)施。第一步，對(duì)XXXXXXXXXXXXXXXXXXX六個(gè)信息系統(tǒng)進(jìn)行定級(jí)和立案工作。第二步，對(duì)XXXXXXXXXXXXXXXXXXX已經(jīng)定級(jí)立案系統(tǒng)進(jìn)行十個(gè)安全層面等級(jí)保護(hù)安全測(cè)評(píng)（物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理）。其中安全測(cè)評(píng)分為差距測(cè)評(píng)和驗(yàn)收測(cè)評(píng)。差距測(cè)評(píng)關(guān)鍵針對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)立案系統(tǒng)實(shí)施國家標(biāo)準(zhǔn)安全測(cè)評(píng)，差距測(cè)評(píng)交付差距測(cè)評(píng)匯報(bào)和差距測(cè)評(píng)整改方案；差距整改完成后幫助完成系統(tǒng)配置方面整改。最終進(jìn)行驗(yàn)收測(cè)評(píng)，驗(yàn)收測(cè)評(píng)將根據(jù)國家標(biāo)準(zhǔn)和國家公安認(rèn)可測(cè)評(píng)要求、測(cè)評(píng)過程、測(cè)評(píng)匯報(bào)，幫助對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)立案系統(tǒng)實(shí)施系統(tǒng)安全驗(yàn)收測(cè)評(píng)，驗(yàn)收測(cè)評(píng)交付含有國家認(rèn)可驗(yàn)收測(cè)評(píng)匯報(bào)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)包含兩個(gè)方面內(nèi)容：一是安全控制測(cè)評(píng)，關(guān)鍵測(cè)評(píng)信息安全等級(jí)保護(hù)要求基礎(chǔ)安全控制在信息系統(tǒng)中實(shí)施配置情況；二是系統(tǒng)整體測(cè)評(píng)，關(guān)鍵測(cè)評(píng)分析信息系統(tǒng)整體安全性。其中，安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)基礎(chǔ)。安全控制測(cè)評(píng)使用測(cè)評(píng)單元方法組織，分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類。安全技術(shù)測(cè)評(píng)包含：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上安全控制測(cè)評(píng)；安全管理測(cè)評(píng)包含：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面安全控制測(cè)評(píng)。具體見下圖：系統(tǒng)整體測(cè)評(píng)包含到信息系統(tǒng)整體拓?fù)洹⒕植拷Y(jié)構(gòu)，也關(guān)系到信息系統(tǒng)具體安全功效實(shí)現(xiàn)和安全控制配置，和特定信息系統(tǒng)實(shí)際情況緊密相關(guān)。在安全控制測(cè)評(píng)基礎(chǔ)上，關(guān)鍵考慮安全控制間、層面間和區(qū)域間相互關(guān)聯(lián)關(guān)系，分析評(píng)定安全控制間、層面間和區(qū)域間是否存在安全功效上增強(qiáng)、補(bǔ)充和減弱作用和信息系統(tǒng)整體結(jié)構(gòu)安全性、不一樣信息系統(tǒng)之間整體安全性。綜合測(cè)評(píng)總結(jié)將在安全控制測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)方面內(nèi)容基礎(chǔ)上進(jìn)行，由此而取得信息系統(tǒng)對(duì)應(yīng)安全等級(jí)保護(hù)等級(jí)符合性結(jié)論。測(cè)評(píng)對(duì)象依據(jù)信息安全等級(jí)保護(hù)要求、參考業(yè)界權(quán)威安全風(fēng)險(xiǎn)評(píng)定標(biāo)準(zhǔn)和模型，同時(shí)結(jié)合本企業(yè)多年安全風(fēng)險(xiǎn)評(píng)定經(jīng)驗(yàn)和實(shí)踐，從信息系統(tǒng)關(guān)鍵資產(chǎn)出發(fā)，以威脅和弱點(diǎn)為導(dǎo)向，對(duì)比信息安全等級(jí)保護(hù)具體要求，全方面對(duì)信息系統(tǒng)進(jìn)行全方面評(píng)定。測(cè)評(píng)對(duì)象種類關(guān)鍵考慮以下多個(gè)方面：整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；機(jī)房環(huán)境、配套設(shè)施；網(wǎng)絡(luò)設(shè)備：包含路由器、關(guān)鍵交換機(jī)、匯聚層交換機(jī)等；安全設(shè)備：包含防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；主機(jī)系統(tǒng)（包含操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）；業(yè)務(wù)應(yīng)用系統(tǒng)；關(guān)鍵管理終端（針對(duì)三級(jí)以上系統(tǒng)）；安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；包含到系統(tǒng)安全全部管理制度和統(tǒng)計(jì)。依據(jù)信息系統(tǒng)測(cè)評(píng)強(qiáng)度要求，在實(shí)施具體核查方法時(shí)，在廣度上要做到從測(cè)評(píng)范圍中抽取充足測(cè)評(píng)對(duì)象種類和數(shù)量；在實(shí)施具體檢測(cè)方法，在深度上要做到對(duì)功效等各方面測(cè)試。測(cè)評(píng)指標(biāo)對(duì)于二級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為S2，系統(tǒng)服務(wù)安全等級(jí)為A2，則該系統(tǒng)測(cè)評(píng)指標(biāo)應(yīng)包含GB/T22239-《信息系統(tǒng)安全保護(hù)等級(jí)基礎(chǔ)要求》中“技術(shù)要求”部分2級(jí)通用指標(biāo)類（G2），2級(jí)業(yè)務(wù)信息安全指標(biāo)類（S2），2級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A2），和第2級(jí)“管理要求”部分中全部指標(biāo)類，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)情況具體以下表所表示：測(cè)評(píng)指標(biāo)（二級(jí)）技術(shù)/管理層面類數(shù)量S類(2級(jí))A類(2級(jí))G類(2級(jí))小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1056主機(jī)安全2136應(yīng)用安全4217數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理0099系統(tǒng)運(yùn)維管理001212累計(jì)66（類）對(duì)于三級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為S3，系統(tǒng)服務(wù)安全等級(jí)為A3，則該系統(tǒng)測(cè)評(píng)指標(biāo)應(yīng)包含GB/T22239-《信息系統(tǒng)安全保護(hù)等級(jí)基礎(chǔ)要求》中“技術(shù)要求”部分3級(jí)通用指標(biāo)類（G3），3級(jí)業(yè)務(wù)信息安全指標(biāo)類（S3），3級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A3），和第3級(jí)“管理要求”部分中全部指標(biāo)類，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)情況具體以下表所表示：測(cè)評(píng)指標(biāo)（三級(jí)）技術(shù)/管理層面類數(shù)量S類(3級(jí))A類(3級(jí))G類(3級(jí))小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運(yùn)維管理001313累計(jì)73（類）測(cè)評(píng)步驟等級(jí)保護(hù)測(cè)評(píng)實(shí)施過程包含以下四個(gè)階段：測(cè)評(píng)準(zhǔn)備階段測(cè)評(píng)項(xiàng)目組組建：明確項(xiàng)目經(jīng)理、測(cè)評(píng)人員及職責(zé)分工。項(xiàng)目計(jì)劃書編制：項(xiàng)目計(jì)劃書包含項(xiàng)目概述、工作依據(jù)、技術(shù)思緒、工作內(nèi)容和項(xiàng)目組織等。信息系統(tǒng)調(diào)研：經(jīng)過查閱被測(cè)系統(tǒng)已經(jīng)有資料或使用調(diào)查表格方法，了解整個(gè)系統(tǒng)組成和保護(hù)情況，明確被測(cè)系統(tǒng)范圍（尤其是信息系統(tǒng)邊界），了解被測(cè)系統(tǒng)具體組成，包含網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)步驟、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等）、管理制度等。工具和表單準(zhǔn)備：依據(jù)被測(cè)系統(tǒng)實(shí)際情況，準(zhǔn)備測(cè)評(píng)工具和各類測(cè)評(píng)表單。方案編制階段測(cè)評(píng)對(duì)象確定：依據(jù)已經(jīng)了解到被測(cè)系統(tǒng)信息，分析整個(gè)被測(cè)系統(tǒng)及其包含業(yè)務(wù)應(yīng)用系統(tǒng)，確定出此次測(cè)評(píng)測(cè)評(píng)對(duì)象。測(cè)評(píng)指標(biāo)確定：依據(jù)已經(jīng)了解到被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出此次測(cè)評(píng)測(cè)評(píng)指標(biāo)。測(cè)評(píng)工具接入點(diǎn)確定：確定需要進(jìn)行工具測(cè)試測(cè)評(píng)對(duì)象，選擇測(cè)試路徑，依據(jù)測(cè)試路徑確定測(cè)試工具接入點(diǎn)。測(cè)評(píng)內(nèi)容確定：確定現(xiàn)場(chǎng)測(cè)評(píng)具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。測(cè)評(píng)實(shí)施手冊(cè)開發(fā)：編制測(cè)評(píng)實(shí)施手冊(cè)，具體描述現(xiàn)場(chǎng)測(cè)評(píng)工具、方法和操作步驟等，具體指導(dǎo)測(cè)評(píng)人員怎樣進(jìn)行測(cè)評(píng)活動(dòng)?，F(xiàn)場(chǎng)測(cè)評(píng)階段現(xiàn)場(chǎng)測(cè)評(píng)實(shí)際上就是單項(xiàng)測(cè)評(píng)，分別從技術(shù)上物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別進(jìn)行。物理安全：經(jīng)過人員訪談、文檔審查和實(shí)地察看方法測(cè)評(píng)信息系統(tǒng)物理安全保障情況。關(guān)鍵包含對(duì)象為物理基礎(chǔ)設(shè)施。在內(nèi)容上，物理安全層面測(cè)評(píng)實(shí)施過程包含10個(gè)測(cè)評(píng)單元，包含：物理位置選擇、物理訪問控制、防偷竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供給、電磁防護(hù)。網(wǎng)絡(luò)安全：經(jīng)過訪人員訪談、配置檢驗(yàn)和工具測(cè)試方法測(cè)評(píng)信息系統(tǒng)網(wǎng)絡(luò)安全保障情況。關(guān)鍵包含對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，網(wǎng)絡(luò)安全層面測(cè)評(píng)實(shí)施過程包含7個(gè)測(cè)評(píng)單元，包含：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢驗(yàn)、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范（針對(duì)三級(jí)系統(tǒng)）。主機(jī)安全：經(jīng)過人員訪談、配置檢驗(yàn)和工具測(cè)試方法測(cè)評(píng)信息系統(tǒng)主機(jī)安全保障情況。關(guān)鍵包含對(duì)象為各類服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)。在內(nèi)容上，主機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)施過程包含7個(gè)測(cè)評(píng)單元，包含：身份判別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、剩下信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）。應(yīng)用安全：經(jīng)過人員訪談、配置檢驗(yàn)和工具測(cè)試方法測(cè)評(píng)信息系統(tǒng)應(yīng)用安全保障情況，關(guān)鍵包含對(duì)象為各類應(yīng)用系統(tǒng)。在內(nèi)容上，應(yīng)用安全層面測(cè)評(píng)實(shí)施過程包含9個(gè)測(cè)評(píng)單元，包含：身份判別、訪問控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制、剩下信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）、抗抵賴（針對(duì)三級(jí)系統(tǒng)）。數(shù)據(jù)安全：經(jīng)過人員訪談、配置檢驗(yàn)方法測(cè)評(píng)信息系統(tǒng)數(shù)據(jù)安全保障情況，關(guān)鍵包含對(duì)象為信息系統(tǒng)管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi)容上，數(shù)據(jù)安全層面測(cè)評(píng)實(shí)施過程包含3個(gè)測(cè)評(píng)單元，包含：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。安全管理制度：經(jīng)過人員訪談、文檔審查和實(shí)地察看方法測(cè)評(píng)信息系統(tǒng)安全管理制度情況。在內(nèi)容上，安全管理制度方面測(cè)評(píng)實(shí)施過程包含3個(gè)測(cè)評(píng)單元，包含：管理制度、制訂和公布、評(píng)審和修訂。安全管理機(jī)構(gòu)：經(jīng)過人員訪談、文檔審查方法測(cè)評(píng)信息系統(tǒng)安全管理機(jī)構(gòu)情況。在內(nèi)容上，安全管理機(jī)構(gòu)方面測(cè)評(píng)實(shí)施過程包含5個(gè)測(cè)評(píng)單元，包含：崗位設(shè)置、人員配置、授權(quán)和審批、溝通和合作、審核和檢驗(yàn)。人員安全管理：經(jīng)過人員訪談、文檔審查方法測(cè)評(píng)信息系統(tǒng)人員安全管理情況。在內(nèi)容上，人員安全管理方面測(cè)評(píng)實(shí)施過程包含5個(gè)測(cè)評(píng)單元，包含：人員錄用、人員離崗、人員考評(píng)、安全意識(shí)教育和培訓(xùn)、外部人員訪問管理。系統(tǒng)建設(shè)管理：經(jīng)過人員訪談、文檔審查方法測(cè)評(píng)信息系統(tǒng)系統(tǒng)建設(shè)管理情況。在內(nèi)容上，系統(tǒng)建設(shè)管理方面測(cè)評(píng)實(shí)施過程包含11個(gè)測(cè)評(píng)單元，包含：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇、系統(tǒng)立案（針對(duì)三級(jí)系統(tǒng)）、系統(tǒng)測(cè)評(píng)（針對(duì)三級(jí)系統(tǒng)）。系統(tǒng)運(yùn)維管理：經(jīng)過人員訪談、文檔審查方法測(cè)評(píng)信息系統(tǒng)系統(tǒng)運(yùn)維管理情況。在內(nèi)容上，系統(tǒng)運(yùn)維管理方面測(cè)評(píng)實(shí)施過程包含13個(gè)測(cè)評(píng)單元，包含：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處理、應(yīng)急預(yù)案管理、監(jiān)控管理和安全管理中心（針對(duì)三級(jí)系統(tǒng)）。分析和匯報(bào)編制階段單項(xiàng)測(cè)評(píng)結(jié)果分析：針對(duì)測(cè)評(píng)指標(biāo)中單個(gè)測(cè)評(píng)項(xiàng)，結(jié)合具體測(cè)評(píng)對(duì)象，客觀、正確地分析測(cè)評(píng)證據(jù)。單元測(cè)評(píng)結(jié)果判定：將單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不一樣測(cè)評(píng)對(duì)象單項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格形式逐一列出。整體測(cè)評(píng)：針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果不符合項(xiàng)，采取逐條判定方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)具體結(jié)果，并對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)。風(fēng)險(xiǎn)分析：據(jù)等級(jí)保護(hù)相關(guān)規(guī)范和標(biāo)準(zhǔn)，采取風(fēng)險(xiǎn)分析方法分析等級(jí)測(cè)評(píng)結(jié)果中存在安全問題可能對(duì)被測(cè)系統(tǒng)安全造成影響。等級(jí)測(cè)評(píng)結(jié)論形成：在測(cè)評(píng)結(jié)果匯總基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)實(shí)狀況和等級(jí)保護(hù)基礎(chǔ)要求之間差距，并形成等級(jí)測(cè)評(píng)結(jié)論。測(cè)評(píng)匯報(bào)編制：依據(jù)等級(jí)測(cè)評(píng)結(jié)論，編制測(cè)評(píng)匯報(bào)，包含概述、被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)象說明、測(cè)評(píng)指標(biāo)說明、測(cè)評(píng)內(nèi)容和方法說明、單元測(cè)評(píng)、整體測(cè)評(píng)、測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分析和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié)論、整改提議等。測(cè)評(píng)方法在等級(jí)保護(hù)測(cè)評(píng)過程目中，將采取以下測(cè)評(píng)方法：工具測(cè)試?yán)眉夹g(shù)工具（漏洞掃描工具、滲透測(cè)試工具、壓力測(cè)試工具等）對(duì)系統(tǒng)進(jìn)行測(cè)試，包含基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)漏洞掃描、滲透測(cè)試等。測(cè)評(píng)方法工具測(cè)試簡(jiǎn)明描述利用技術(shù)工具，從網(wǎng)絡(luò)不一樣接入點(diǎn)對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢驗(yàn)和分析達(dá)成目標(biāo)發(fā)掘系統(tǒng)安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果工具測(cè)試結(jié)果統(tǒng)計(jì)配置檢驗(yàn)利用上機(jī)驗(yàn)證方法檢驗(yàn)主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)配置是否正確，是否和文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核內(nèi)容進(jìn)行核實(shí)（包含日志審計(jì)等），測(cè)評(píng)其實(shí)施正確性和有效性，檢驗(yàn)配置完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則一致性，從而測(cè)試系統(tǒng)是否達(dá)成可用性和可靠性要求。測(cè)評(píng)方法配置檢驗(yàn)簡(jiǎn)明描述經(jīng)過登陸系統(tǒng)控制臺(tái)方法，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)安全配置情況達(dá)成目標(biāo)發(fā)覺配置安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果配置檢驗(yàn)結(jié)果統(tǒng)計(jì)人員訪談和被測(cè)系統(tǒng)相關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解相關(guān)信息。在訪談范圍上，不相同級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不一樣要求，通常應(yīng)基礎(chǔ)覆蓋全部安全相關(guān)人員類型，在數(shù)量上能夠抽樣。測(cè)評(píng)方法人員訪談簡(jiǎn)明描述經(jīng)過交流、討論方法，對(duì)技術(shù)和管理方面進(jìn)行脆弱性檢驗(yàn)和分析達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果人員訪談結(jié)果統(tǒng)計(jì)文檔審查檢驗(yàn)制度、策略、操作規(guī)程、制度實(shí)施情況統(tǒng)計(jì)等文檔（包含安全方針文件、安全管理制度、安全管理實(shí)施過程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備技術(shù)資料、系統(tǒng)和產(chǎn)品實(shí)際配置說明、系統(tǒng)多種運(yùn)行統(tǒng)計(jì)文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入統(tǒng)計(jì)等過程統(tǒng)計(jì)文檔）完整性，和這些文件之間內(nèi)部一致性。測(cè)評(píng)方法文檔審查簡(jiǎn)明描述經(jīng)過文檔審核和分析，檢驗(yàn)制度、策略、操作規(guī)程、制度實(shí)施情況統(tǒng)計(jì)完整性和內(nèi)部一致性達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在安全問題工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料配合工作結(jié)果文檔審查結(jié)果統(tǒng)計(jì)實(shí)地查看經(jīng)過實(shí)地觀察人員行為、技術(shù)設(shè)施和物理環(huán)境情況判定人員安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面安全情況，測(cè)評(píng)其是否達(dá)成了對(duì)應(yīng)等級(jí)安全要求。項(xiàng)目名稱實(shí)地查看簡(jiǎn)明描述經(jīng)過現(xiàn)場(chǎng)查看人員行為、技術(shù)設(shè)施和物理環(huán)境情況，檢驗(yàn)人員安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面安全情況。達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果實(shí)地查看結(jié)果統(tǒng)計(jì)測(cè)評(píng)工具我們?cè)诘燃?jí)保護(hù)測(cè)評(píng)過程中使用測(cè)評(píng)工具嚴(yán)格遵照可控性標(biāo)準(zhǔn)，即全部使用測(cè)評(píng)工具將事先提交給甲方檢驗(yàn)確定，確保在雙方認(rèn)可范圍之內(nèi)，而且測(cè)評(píng)過程中采取技術(shù)手段確保已經(jīng)過可靠實(shí)際應(yīng)用。在本項(xiàng)目中，將采取以下測(cè)評(píng)工具：工具類別工具名稱工具介紹漏洞掃描工具綠盟極光遠(yuǎn)程安全評(píng)定系統(tǒng)綠盟企業(yè)出品商業(yè)漏洞掃描系統(tǒng)Web應(yīng)用掃描工具IBMAPPScanIBM企業(yè)出品商業(yè)Web應(yīng)用安全掃描系統(tǒng)WVS(WebVulnerabilityScanner)一個(gè)自動(dòng)化Web應(yīng)用程序安全測(cè)試工具，它能夠掃描任何可經(jīng)過Web瀏覽器訪問和遵照HTTP/HTTPS規(guī)則Web站點(diǎn)和Web應(yīng)用程序輸出文檔本項(xiàng)目輸出關(guān)鍵輸出文檔為《等級(jí)保護(hù)測(cè)評(píng)實(shí)施方案（資產(chǎn)搜集、測(cè)評(píng)表）》《等級(jí)保護(hù)測(cè)評(píng)差距分析匯報(bào)》《等級(jí)保護(hù)測(cè)評(píng)安全整改方案》《等級(jí)保護(hù)測(cè)評(píng)安全整改匯報(bào)》時(shí)間安排序號(hào)任務(wù)名稱工作內(nèi)容開始時(shí)間完成時(shí)間階段完成標(biāo)志關(guān)鍵責(zé)任人配合人員1項(xiàng)目準(zhǔn)備階段編制實(shí)施方案/7/8《實(shí)施方案》2編制資產(chǎn)搜集/7/9/7/15資產(chǎn)搜集表3編制測(cè)評(píng)表測(cè)評(píng)表4前期調(diào)研資產(chǎn)搜集/7/16/7/17完成資產(chǎn)搜集表5差距測(cè)評(píng)技術(shù)和管理單項(xiàng)測(cè)評(píng)/7/20/8/21完成信息系統(tǒng)測(cè)評(píng)表6差距測(cè)評(píng)匯報(bào)編制單元測(cè)評(píng)、整體測(cè)評(píng)、

風(fēng)險(xiǎn)分析、匯報(bào)編制/8/24/8/28《差距測(cè)評(píng)匯報(bào)》7安全整改提議對(duì)部分風(fēng)行較高

不符合項(xiàng)給出整改匯報(bào)/8/31/9/4《整改方案》8安全加固和檢驗(yàn)對(duì)整改部分內(nèi)容進(jìn)行復(fù)檢/9/7/9/25《整改匯報(bào)》9等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)幫助中心經(jīng)過第三方測(cè)評(píng)/9/28/11/31取得測(cè)評(píng)證書人員安排組織結(jié)構(gòu)項(xiàng)目工作分工為確保測(cè)評(píng)工作順利進(jìn)行，XXXXXXXXXXXXXXXXXXX和XXXXXXXXXXXXXXXXXXX信息安全協(xié)商組建項(xiàng)目組，并對(duì)項(xiàng)目組織機(jī)構(gòu)進(jìn)行以下計(jì)劃：XXXXXXXXXXXXXXXXXXX：名稱職責(zé)項(xiàng)目責(zé)任人項(xiàng)目總體責(zé)任人，負(fù)責(zé)協(xié)調(diào)XXXXXXXXXXXXXXXXXXX整體項(xiàng)目資源，處理項(xiàng)目中需要XXXXXXXXXXXXXXXXXXX配合問題，監(jiān)督項(xiàng)目整體質(zhì)量、推進(jìn)項(xiàng)目整體進(jìn)度XXXXXXXXXXXXXXXXXXX信息安全：名稱職責(zé)項(xiàng)目責(zé)任人項(xiàng)目總體責(zé)任人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng)定實(shí)施隊(duì)伍，做好整體日常資源管理、分配和協(xié)調(diào)工作，并直接控制整體項(xiàng)目管理各個(gè)要素，具體包含：項(xiàng)目方案設(shè)計(jì)項(xiàng)目計(jì)劃和組織項(xiàng)目協(xié)調(diào)和溝通（含召集項(xiàng)目周例會(huì)）項(xiàng)目進(jìn)度管理（含編寫項(xiàng)目周報(bào)）項(xiàng)目質(zhì)量控制項(xiàng)目技術(shù)人員項(xiàng)目技術(shù)人員，包含項(xiàng)目分組組長和實(shí)施人員，在項(xiàng)目經(jīng)理率領(lǐng)、分工和控制下，負(fù)責(zé)根據(jù)項(xiàng)目技術(shù)方案和項(xiàng)目計(jì)劃實(shí)施測(cè)評(píng)和評(píng)定工作，需要提交：天天工作日?qǐng)?bào)單項(xiàng)測(cè)評(píng)結(jié)果統(tǒng)計(jì)單項(xiàng)安全整改提議人員配置表名稱職責(zé)人員項(xiàng)目責(zé)任人項(xiàng)目總體責(zé)任人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng)定實(shí)施隊(duì)伍，做好整體日常資源管理、分配和協(xié)調(diào)工作，并直接控制整體項(xiàng)目管理各個(gè)要素，具體包含：項(xiàng)目方案設(shè)計(jì)項(xiàng)目計(jì)劃和組織項(xiàng)目協(xié)調(diào)和溝通（含召集項(xiàng)目周例會(huì)）項(xiàng)目進(jìn)度管理（含編寫項(xiàng)目周報(bào)）項(xiàng)目質(zhì)量控制項(xiàng)目技術(shù)人員負(fù)責(zé)根據(jù)項(xiàng)目技術(shù)方案和項(xiàng)目計(jì)劃實(shí)施測(cè)評(píng)工作，需要提交：天天工作日?qǐng)?bào)單項(xiàng)測(cè)評(píng)結(jié)果統(tǒng)計(jì)單項(xiàng)安全整改提議工作配合為確保本項(xiàng)目標(biāo)順利實(shí)施，對(duì)現(xiàn)場(chǎng)測(cè)評(píng)階段各項(xiàng)工作點(diǎn)提出雙方工作配合：序號(hào)工作點(diǎn)甲方配合乙方配合1現(xiàn)場(chǎng)工具測(cè)評(píng)1、人員要求系統(tǒng)管理員*前期提供系統(tǒng)軟硬件配置，相關(guān)系統(tǒng)檢收文檔。*現(xiàn)場(chǎng)登錄設(shè)備運(yùn)行檢驗(yàn)?zāi)_本工具*登錄設(shè)備查看安全配置2、環(huán)境要求*提供能夠訪問網(wǎng)絡(luò)設(shè)備及測(cè)評(píng)系統(tǒng)2個(gè)IP地址*關(guān)閉測(cè)評(píng)IP和系統(tǒng)之間防火墻。1、準(zhǔn)備測(cè)評(píng)工具及接入方案2、測(cè)評(píng)技術(shù)人員2現(xiàn)場(chǎng)配置檢驗(yàn)1、人員要求網(wǎng)絡(luò)管理員*前期提供網(wǎng)絡(luò)拓樸圖。*登錄網(wǎng)絡(luò)設(shè)備，配合測(cè)評(píng)人員檢驗(yàn)設(shè)備配置。系統(tǒng)管理員*登錄網(wǎng)絡(luò)設(shè)備，配合測(cè)評(píng)人員檢驗(yàn)設(shè)備配置。2、環(huán)境要求可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備1、準(zhǔn)備配合檢驗(yàn)方案2、測(cè)評(píng)技術(shù)人員3人員訪談1、訪談對(duì)象要求信息部管理人員*配合調(diào)查表訪談系統(tǒng)開發(fā)&管理人員*配合測(cè)評(píng)回復(fù)應(yīng)用系統(tǒng)操作相關(guān)問題網(wǎng)絡(luò)管理人員*配合測(cè)評(píng)回復(fù)網(wǎng)絡(luò)架構(gòu)，及設(shè)備配置操作相關(guān)問題2、環(huán)境要求提供會(huì)議室1、準(zhǔn)備訪談安排及訪談綱領(lǐng)2、測(cè)評(píng)技術(shù)人員4文檔審查1、人員要求信息部管理人員*提供等保相關(guān)管理制度系統(tǒng)開發(fā)&管理人員*提供對(duì)應(yīng)系統(tǒng)建設(shè)方案及驗(yàn)收文檔網(wǎng)絡(luò)管理人員*提供網(wǎng)絡(luò)系統(tǒng)建設(shè)方案及驗(yàn)收文檔*IP計(jì)劃文檔等2、環(huán)境要求提供辦公場(chǎng)所1、準(zhǔn)備測(cè)評(píng)表2、二位測(cè)評(píng)技術(shù)人員5實(shí)地查看1、人員要求機(jī)房管理員*配合測(cè)評(píng)人員檢驗(yàn)機(jī)房物理環(huán)境。2、環(huán)境要求*可訪問機(jī)房、辦公等物理區(qū)域1、準(zhǔn)備測(cè)評(píng)表2、測(cè)評(píng)技術(shù)人員其它相關(guān)事項(xiàng)風(fēng)險(xiǎn)規(guī)避在測(cè)評(píng)過程中，可能會(huì)對(duì)被測(cè)系統(tǒng)造成影響，對(duì)應(yīng)地會(huì)造成多種損失。這些影響包含信息泄漏、業(yè)務(wù)停頓或處理能力受損等。所以，必需充足考慮多種可能影響及其危害并準(zhǔn)備好對(duì)應(yīng)應(yīng)對(duì)方法，盡可能減小對(duì)目標(biāo)系統(tǒng)正常運(yùn)行干擾，從而減小損失。下表給出了測(cè)評(píng)過程中可能存在風(fēng)險(xiǎn)和控制方法。內(nèi)容可能存在風(fēng)險(xiǎn)等級(jí)控制方法信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高協(xié)議、規(guī)章、制度、法律、法規(guī)安全管理測(cè)評(píng)安全管理信息泄漏高協(xié)議、協(xié)議、規(guī)章、制度、法律、法規(guī)網(wǎng)絡(luò)設(shè)備測(cè)評(píng)/安全設(shè)備測(cè)評(píng)誤操作引發(fā)設(shè)備瓦解或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)步驟；嚴(yán)格選擇測(cè)評(píng)師；甲方進(jìn)行全程監(jiān)控；制訂可能恢復(fù)計(jì)劃網(wǎng)絡(luò)/安全設(shè)備資源占用低避開業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）漏洞掃描網(wǎng)絡(luò)流量低避開業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）主機(jī)資源占用低避開業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）控制臺(tái)審計(jì)誤操作引發(fā)系統(tǒng)瓦解或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)步驟；嚴(yán)格選擇測(cè)評(píng)師；甲方進(jìn)行全程監(jiān)控；制訂可能恢復(fù)計(jì)劃；網(wǎng)絡(luò)流量和主機(jī)資源占用低避開業(yè)務(wù)高峰應(yīng)用測(cè)評(píng)產(chǎn)生非法數(shù)據(jù)，致使系統(tǒng)不能正常工作中做好系統(tǒng)備份和恢復(fù)方法異常輸入（畸形數(shù)據(jù)、極限測(cè)試）造成系統(tǒng)瓦解高做好系統(tǒng)備份和恢復(fù)方法項(xiàng)目信息管理為了保障XXXXXXXXXXXXXXXXXXX信息系統(tǒng)安全，XXXXXXXXXXXXXXXXXXX信息安全將嚴(yán)格遵守XXXXXXXXXXXXXXXXXXX相關(guān)保密方面要求，自覺保守XXXXXXXXXXXXXXXXXXX商業(yè)秘密。XXXXXXXXXXXXXXXXXXX為方便項(xiàng)目實(shí)施所提供給投標(biāo)人工作步驟、管理模式、規(guī)程、程序等相關(guān)資料文檔和實(shí)施過程中所產(chǎn)生資料、文檔、數(shù)據(jù)均屬于XXXXXXXXXXXXXXXXXXX知識(shí)產(chǎn)權(quán)，未經(jīng)XXXXXXXXXXXXXXXXXXX授權(quán)同意，XXXXXXXX