1、XX安全服務公司2018-2019 年 XXX 項目等級保護差距測評實施方案XXXXXXXXX 信息安全有限公司201X年X月目錄1.1.項目背景 .1.2.項目目標1.3.項目原則1.4.項目依據1. 項目概述目錄2. 測評實施內容2.1.1.測評范圍 42.1.2.測評對象 42.1.3.測評內容 42.1.4.測評對象 72.1.5.測評指標 82.2. 測評流程 92.2.1.測評準備階段 102.2.2.方案編制階段 112.2.3.現場測評階段 112.2.4.分析與報告編制階段 2.3. 測評方法 132.3.1.工具測試 132.3.2.配置檢查 142.3.3.人員訪談 14

2、2.3.4.文檔審查 152.3.5.實地查看 152.4.測評工具 162.5.輸出文檔 172.5.1.等級保護測評差距報告 2.5.2.等級測評報告 2.1. 測評分析413錯誤！錯誤！安全整改建議. 時間安排未定義書簽。未定義書簽。錯誤！未定義書簽。174. 人員安排 184.1. 組織結構及分工 184.2. 人員配置表 194.3. 工作配合 205. 其他相關事項 215.1. 風險規避 215.2. 項目信息管理 235.2.1. 保密責任法律保證 235.2.2. 現場安全保密管理 235.2.3. 文檔安全保密管理 245.2.4. 離場安全保密管理 245.

3、2.5. 其他情況說明 241. 項目概述1.1. 項目背景為了貫徹落實國家信息化領導小組關于加強信息安全保障工作的意 見、關于信息安全等級保護工作的實施意見和信息安全等級保護管理 辦法的精神，2015年 XXXXXXXXXXXXXXXXX要按照國家信息安全技術信息 系統安全等級保護定級指南、計算機信息系統安全保護等級劃分準則、 信息系統安全等級保護基本要求、信息系統安全等級保護測評 準則的 要求，對XXXXXXXXXXXXXXX現有六個信息系統進行全面的信息安全測評與評 估工作,并且為xxxxxxxxxxxxxxxXX供駐點咨詢、實施等服務。（安全技術測 評包括：物理安全、網絡安全、主機系統

4、安全、應用安全和數據安全五個層面 上的安全控制測評；安全管理測評包括：安全管理機構、安全管理制度、人員 安全管理、系統建設管理和系統運維管理等五個方面的安全控制測評），加大 測評與風險評估力度，對信息系統的資產、威脅、弱點和風險等要素進行全面 評估，有效提升信心系統的安全防護能力，建立常態化的等級保護工作機制， 深化信息安全等級保護工作，提高 xxxxxxxxxxxxxxxXX絡與信息系統的安全 保障與運維能力。1.2. 項目目標全面完成XXXXXXXXXXXXXXXXX有六個信息系統的信息安全測評與評估工 作和協助整改工作，并且為XXXXXXXXXXXXXXX提供駐點咨詢、實施等服務， 按照

5、國家和xxxxxxxxxxxxxxxXX有關要求，對xxxxxxxxxxxxxxxXX網絡 架構進行業務影響分析及網絡安全管理工作進行梳理，提高 xxxxxxxxxxxxxxxXX個網絡的安全保障與運維能力，減少信息安全風險和降 低信息安全事件發生的概率，全面提高網絡層面的安全性，構建 xxxxxxxxxxxxxxxXX息系統的整體信息安全架構，確保全局信息系統高效穩 定運行，并滿足xxxxxxxxxxxxxxxXX出勺基本要求，及時提供咨詢等服務。1.3. 項目原則項目的方案設計與實施應滿足以下原則：符合性原則： 應符合國家信息安全等級保護制度及相關法律法規，指出 防范的方針和保護的原則。標

6、準性原則： 方案設計、實施與信息安全體系的構建應依據國內、國際 的相關標準進行。規范性原則： 項目實施應由專業的等級測評師依照規范的操作流程進 行，在實施之前將詳細量化出每項測評內容，對操作過程和結果提供規范的記 錄，以便于項目的跟蹤和控制。可控性原則： 項目實施的方法和過程要在雙方認可的范圍之內，實施進 度要按照進度表進度的安排，保證項目實施的可控性。整體性原則： 安全體系設計的范圍和內容應當整體全面，包括安全涉及 的各個層面，避免由于遺漏造成未來的安全隱患。最小影響原則： 項目實施工作應盡可能小的影響網絡和信息系統的正常 運行，不能對信息系統的運行和業務的正常提供產生顯著影響。保密原則：

7、對項目實施過程獲得的數據和結果嚴格保密，未經授權不得 泄露給任何單位和個人，不得利用此數據和結果進行任何侵害測評委托單位利 益的行為。1.4. 項目依據信息系統等級測評依據信息系統安全等級保護基本要求、信息系統 安全等級保護測評要求，在對信息系統進行安全技術和安全管理的安全控制 測評及系統整體測評結果基礎上，針對相應等級的信息系統遵循的標準進行綜 合系統測評，提出相應的系統安全整改建議。主要參考標準如下：計算機信息系統安全保護等級劃分準則 - GB17859-1999信息安全技術 信息系統安全等級保護實施指南信息安全技術 信息系統安全等級保護測評要求信息安全等級保護管理辦法信息安全技術 信息系

8、統安全等級保護定級指南( GB/T 222402008)信息安全技術 信息系統安全等級保護基本要求( GB/T 222392008)計算機信息系統安全保護等級劃分準則( GB17859-1999)信息安全技術 信息系統通用安全技術要求( GB/T20271-2006)信息安全技術 網絡基礎安全技術要求( GB/T20270-2006)信息安全技術 操作系統安全技術要求( GB/T20272-2006)信息安全技術 數據庫管理系統安全技術要求( GB/T20273-2006)信息安全技術 服務器技術要求( GB/T21028-2007)信息安全技術 終端計算機系統安全等級技術要求( GA/T67

9、1-2006)信息安全風險評估規范( GB/T 20984-2007 )2. 測評實施內容2.1. 測評分析2.1.1. 測評范圍本項目范圍為對XXXXXXXXXXXXXXXXX定級信息系統的等級保護測評。2.1.2. 測評對象本次測評對象為xxxxxxxxxxxxxxxXX息系統，具體如下：序號信息系統名稱級別1XXXXXXXX信息系統三級2XXXXXXXX信息系統三級3XXXXXXXX信息系統三級4XXXXXXXX信息系統三級5XXXXXXXX信息系統二級6XXXXXXXX信息系統二級2.1.3. 測評架構圖本次測評結合xxxxxxxxxxxxxxxXX統的信息管理特點，進行不同層次的 測

10、評工作，如下表所示：層次安全授術測評范圉物理安全網絡安全等保二級蘿求等保二要求主機安全應用安全數據安全安全管理制度安全管理機構等保三級要求爭呆衛要求等保三級要求人員安全管理系統建設管理系統運維管理等保三級要去等保三級聲求等保三級要求等保二級聲求等保二級要求等保二級要求2.1.4. 測評內容精品文檔本項目主要分為兩步開展實施。第一步，對 XXXXXXXXXXXXXXXX六XX言 息系統進行定級和備案工作。第二步，對 XXXXXXXXXXXXXXXX已經定級備案 的系統進行十個安全層面的等級保護安全測評（物理安全、網絡安全、主機安 全、應用安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員

11、安 全管理、系統建設管理、系統運維管理）。其中安全測評分為差距測評和驗收測評。差距測評主要針對XXXXXXXXXXXXXXXX定級備案系統執行國家標準的安全測評，差距測評交付 差距測評報告以及差距測評整改方案；差距整改完畢后協助完成系統配置方面 的整改。最后進行驗收測評，驗收測評將按照國家標準和國家公安承認的測評 要求、測評過程、測評報告，協助對 XXXXXXXXXXXXXXXX定級備案的系統執 行系統安全驗收測評，驗收測評交付具有國家承認的驗收測評報告。信息系統安全等級保護測評包括兩個方面的內容：一是安全控制測評，主 要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況； 二是

12、系統整體測評，主要測評分析信息系統的整體安全性。其中，安全控制測 評是信息系統整體安全測評的基礎。安全控制測評使用測評單元方式組織，分為安全技術測評和安全管理測評 兩大類。安全技術測評包括：物理安全、網絡安全、主機系統安全、應用安全 和數據安全五個層面上的安全控制測評；安全管理測評包括：安全管理機構、 安全管理制度、人員安全管理、系統建設管理和系統運維管理五個方面的安全 控制測評。具體見下圖：信息系統等級保護測評安全控制測評”II.I安全u術測評安全管理測評物理賓全安全管理機構主機安全I安全管理制度應用安全丟統建設管理數據安全系統運維管理網絡安全人員安全管理系統整體測評涉及到信息系統的整體拓撲

13、、局部結構，也關系到信息系統 的具體安全功能實現和安全控制配置，與特定信息系統的實際情況緊密相關。 在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區域間的相互關 聯關系，分析評估安全控制間、層面間和區域間是否存在安全功能上的增強、 補充和削弱作用以及信息系統整體結構安全性、不同信息系統之間整體安全 性。綜合測評總結將在安全控制測評和系統整體測評兩個方面的內容基礎上進 行，由此而獲得信息系統對應安全等級保護級別的符合性結論。2.1.5. 測評對象依照信息安全等級保護的要求、參考業界權威的安全風險評估標準與模 型，同時結合本公司多年的安全風險評估經驗與實踐，從信息系統的核心資產 出發，以威

14、脅和弱點為導向，對比信息安全等級保護的具體要求，全方面對信 息系統進行全面評估。測評對象種類主要考慮以下幾個方面：1 整體網絡拓撲結構；2機房環境、配套設施；3網絡設備：包括路由器、核心交換機、匯聚層交換機等；4安全設備：包括防火墻、IDS/IPS、防病毒網關等；5.主機系統（包括操作系統和數據庫系統）；6業務應用系統；7.重要管理終端（針對三級以上系統）；8安全管理員、網絡管理員、系統管理員、業務管理員；9涉及到系統安全的所有管理制度和記錄。根據信息系統的測評強度要求，在執行具體的核查方法時，在廣度上要做 到從測評范圍中抽取充分的測評對象種類和數量；在執行具體的檢測方法，在 深度上要做到對功

15、能等各方面的測試。2.1.6. 測評指標對于二級系統，如業務信息安全等級為 S2,系統服務安全等級為A2,則該 系統的測評指標應包括GB/T 22239-2008信息系統安全保護等級基本要求中“技術要求”部分的2級通用指標類（G2，2級業務信息安全指標類（S2），2 級系統服務安全指標類（A2），以及第2級“管理要求”部分中的所有指標類， 等級保護測評指標情況具體如下表所示：測評指標（二級）技術/管理層面類數量S類（2級）A類（2級）G類（2級）小計安全技術物理安全11810網絡安全1056主機安全2136應用安全4217數據安全2103安全管理安全管理制度0033安全管理機構0055人員安全

16、管理0055系統建設管理0099系統運維管理001212合計66 （類）對于三級系統，如業務信息安全等級為 S3,系統服務安全等級為A3,則該 系統的測評指標應包括GB/T 22239-2008信息系統安全保護等級基本要求中“技術要求”部分的3級通用指標類（G3，3級業務信息安全指標類（S3），3 級系統服務安全指標類（A3），以及第3級“管理要求”部分中的所有指標類， 等級保護測評指標情況具體如下表所示：測評指標（三級）技術/管理層面類數量S類（3級）A類（3級）G類（3級）小計安全技術物理安全11810網絡安全1067主機安全3137應用安全5229數據安全2103安全管理安全管理制度00

17、33安全管理機構0055人員安全管理0055系統建設管理001111系統運維管理001313合計73 （類）2.2.測評流程等級保護測評實施過程包括以下四個階段:測評項目組組建項目計劃書編制工具和表單 準備信息系統調研測評準備階段物理安全人員訪談 文檔審查 實地察看方 式物理基礎設 施對 象網絡安全人員訪談 配置檢查 工具測試方 式互聯設備 安全設備 網絡拓撲對 象人員訪談 配置檢查 工具測試方 式操作系統 數據庫系 統對 象主機安全應用安全人員訪談 配置檢查 工具測試方 式應用系統對 象數據安全人員訪談 配置檢查方 式管理數據 業務數據對 象安全管理制度人員訪談 文檔審查 實地察看方 式安全

18、管理機構人員訪談 文檔審查方 式人員安全管理人員訪談 文檔審查方 式系統建設管理人員訪談 文檔審查方 式系統運維管理人員訪談 文檔審查方 式分析與報告編制階段221.測評準備階段測評項目組組建：明確項目經理、測評人員及職責分工。項目計劃書編制：項目計劃書包含項目概述、工作依據、技術思路、 工作內容和項目組織等。信息系統調研：通過查閱被測系統已有資料或使用調查表格的方式， 了解整個系統的構成和保護情況，明確被測系統的范圍（特別是信息 系統的邊界），了解被測系統的詳細構成，包括網絡拓撲、業務應 用、業務流程、設備信息（服務器、數據庫、網絡設備、安全設備、 數據庫等）、管理制度等。工具和表單準備：根

19、據被測系統的實際情況，準備測評工具和各類測評表單。2.2.2. 方案編制階段測評對象確定：根據已經了解到的被測系統信息，分析整個被測系統 及其涉及的業務應用系統，確定出本次測評的測評對象。測評指標確定：根據已經了解到的被測系統定級結果，確定出本次測 評的測評指標。測評工具接入點確定：確定需要進行工具測試的測評對象，選擇測試 路徑，根據測試路徑確定測試工具的接入點。測評內容確定：確定現場測評的具體實施內容，即單元測評內容。測評實施手冊開發：編制測評實施手冊，詳細描述現場測評的工具、 方法和操作步驟等，具體指導測評人員如何進行測評活動。2.2.3. 現場測評階段現場測評實際上就是單項測評，分別從技

20、術上的物理安全、網絡安全、主 機系統安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管 理制度、人員安全管理、系統建設管理和系統運維管理五個方面分別進行。物理安全：通過人員訪談、文檔審查和實地察看的方式測評信息系統的物理安全保障情況。主要涉及對象為物理基礎設施。在內容上，物 理安全層面測評實施過程涉及 10 個測評單元，包括：物理位置的選 擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、 防靜電、溫濕度控制、電力供應、電磁防護。網絡安全：通過訪人員訪談、配置檢查和工具測試的方式測評信息系統的網絡安全保障情況。主要涉及對象為網絡互聯設備、網絡安全設 備和網絡拓撲結構。在內

21、容上，網絡安全層面測評實施過程涉及 7 個 測評單元，包括：結構安全、訪問控制、安全審計、邊界完整性檢 查、入侵防范、網絡設備防護、惡意代碼防范（針對三級系統）。主機安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統的主機安全保障情況。主要涉及對象為各類服務器的操作系統、數據 庫管理系統。在內容上，主機系統安全層面測評實施過程涉及 7 個測 評單元，包括：身份鑒別、訪問控制、安全審計、入侵防范、惡意代 碼防范、資源控制、剩余信息保護（針對三級系統）。應用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統 的應用安全保障情況，主要涉及對象為各類應用系統。在內容上，應 用安全層面測評實

22、施過程涉及 9 個測評單元，包括：身份鑒別、訪問 控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制、 剩余信息保護（針對三級系統）、抗抵賴（針對三級系統）。數據安全：通過人員訪談、配置檢查的方式測評信息系統的數據安全 保障情況，主要涉及對象為信息系統的管理數據及業務數據等。在內 容上，數據安全層面測評實施過程涉及 3 個測評單元，包括：數據完 整性、數據保密性、備份和恢復。安全管理制度：通過人員訪談、文檔審查和實地察看的方式測評信息 系統的安全管理制度情況。在內容上，安全管理制度方面測評實施過 程涉及 3 個測評單元，包括：管理制度、制定和發布、評審和修訂。安全管理機構：通過人員訪談

23、、文檔審查的方式測評信息系統的安全 管理機構情況。在內容上，安全管理機構方面測評實施過程涉及 5 個 測評單元，包括：崗位設置、人員配備、授權和審批、溝通和合作、 審核和檢查。人員安全管理：通過人員訪談、文檔審查的方式測評信息系統的人員 安全管理情況。在內容上，人員安全管理方面測評實施過程涉及 5 個 測評單元，包括：人員錄用、人員離崗、人員考核、安全意識教育和 培訓、外部人員訪問管理。系統建設管理：通過人員訪談、文檔審查的方式測評信息系統的系統 建設管理情況。在內容上，系統建設管理方面測評實施過程涉及 11 個 測評單元，包括：系統定級、安全方案設計、產品采購和使用、自行 軟件開發、外包軟件

24、開發、工程實施、測試驗收、系統交付、安全服 務商選擇、系統備案（針對三級系統）、系統測評（針對三級系統）。13 個系統運維管理：通過人員訪談、文檔審查的方式測評信息系統的系統 運維管理情況。在內容上，系統運維管理方面測評實施過程涉及 測評單元，包括：環境管理、資產管理、介質管理、設備管理、網絡 安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管 理、備份與恢復管理、安全事件處置、應急預案管理、監控管理和安 全管理中心（針對三級系統）。2.2.4. 分析與報告編制階段單項測評結果分析：針對測評指標中的單個測評項，結合具體測評對 象，客觀、準確地分析測評證據。單元測評結果判定：將單項測評結

25、果進行匯總，分別統計不同測評對 象的單項測評結果，從而判定單元測評結果，并以表格的形式逐一列 出。整體測評：針對單項測評結果的不符合項，采取逐條判定的方法，從 安全控制間、層面間和區域間出發考慮，給出整體測評的具體結果， 并對系統結構進行整體安全測評。風險分析：據等級保護的相關規范和標準，采用風險分析的方法分析 等級測評結果中存在的安全問題可能對被測系統安全造成的影響。等級測評結論形成：在測評結果匯總的基礎上，找出系統保護現狀與 等級保護基本要求之間的差距，并形成等級測評結論。測評報告編制：根據等級測評結論，編制測評報告，包括概述、被測系統描述、測評對象說明、測評指標說明、測評內容和方法說明、

26、單 元測評、整體測評、測評結果匯總、風險分析和評價、等級測評結 論、整改建議等。2.3. 測評方法在等級保護測評過程目中，將采用以下測評方法：2.3.1. 工具測試精品文檔利用技術工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統進行測試，包括基于網絡探測和基于主機審計的漏洞掃描、滲透測試等。測評方法工具測試簡要描述利用技術工具，從網絡的不同接入點對網絡內的主機、服務器、數 據庫、網絡設備、安全設備等進行脆弱性檢查和分析達成目標發掘系統的安全漏洞工作條件1-2人工作環境，電源和網絡接入環境，甲方人員、網絡、系統配 合工作結果工具測試結果記錄2.32配置檢杳利用上機驗證的方式檢查主機、服務

27、器、數據庫、網絡設備、安全設備、 應用系統的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審 核的內容進行核實（包括日志審計等），測評其實施的正確性和有效性，檢查 配置的完整性，測試網絡連接規則的一致性，從而測試系統是否達到可用性和 可靠性的要求。測評方法配置檢杳簡要描述通過登陸系統控制臺的方式，人工核查和分析主機、服務器、數據 庫、網絡設備、安全設備、應用系統的安全配置情況達成目標發現配置的安全隱患工作條件1-2人工作環境，甲方人員、網絡、系統配合工作結果配置檢查結果記錄2.3.3.人員訪談與被測系統有關人員（個人/群體）進行交流、討論等活動，獲取相關證 據，了解有關信息。在訪談范

28、圍上，不同等級信息系統在測評時有不同的要 求，一般應基本覆蓋所有的安全相關人員類型，在數量上可以抽樣。測評方法人員訪談簡要描述通過交流、討論的方式，對技術和管理方面進行脆弱性檢查和分析達成目標發掘技術和管理方面存在的安全問題工作條件1-2人工作環境，甲方人員配合工作結果人員訪談結果記錄2.34文檔審查檢查制度、策略、操作規程、制度執行情況記錄等文檔（包括安全方針文 件、安全管理制度、安全管理的執行過程文檔、系統設計方案、網絡設備的技 術資料、系統和產品的實際配置說明、系統的各種運行記錄文檔、機房建設相 關資料、機房出入記錄等過程記錄文檔）的完整性，以及這些文件之間的內部致性。測評方法文檔審查簡

29、要描述通過文檔審核與分析，檢查制度、策略、操作規程、制度執行情況 記錄的完整性和內部一致性達成目標發掘技術和管理方面存在的安全問題工作條件1-2人工作環境，甲方人員、各類文檔資料配合工作結果文檔審查結果記錄2.3.5. 實地查看通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意 識、業務操作、管理程序和系統物理環境等方面的安全情況，測評其是否達到 了相應等級的安全要求。項目名稱實地杳看簡要描述通過現場查看人員行為、技術設施和物理環境狀況，檢查人員的安 全意識、業務操作、管理程序和系統物理環境等方面的安全情況。達成目標發掘技術和管理方面存在的安全問題工作條件1-2人工作環境，甲方人員

30、配合工作結果實地查看結果記錄24測評工具我們在等級保護測評過程中使用的測評工具嚴格遵循可控性原則，即所有 使用的測評工具將事先提交給甲方檢查確認，確保在雙方認可的范圍之內，而 且測評過程中采用的技術手段確保已經過可靠的實際應用。在本項目中，將采用以下測評工具:工具類別工具名稱工具介紹漏洞掃描工具綠盟極光遠程安全評估系 統綠盟公司出品的商業漏洞掃描系統Web應用掃描工具IBM APPSca nIBM公司出品的商業 Web應用安全掃描 系統WVS(Web Vul nerabilitySca nner)一個自動化的 Wet應用程序安全測試工 具，它可以掃描任何可通過Web瀏覽器 訪問的和遵循HTTP

31、/HTTP規則的Web站工具類別工具名稱工具介紹點和Web應用程序2.5. 輸出文檔本項目輸出的主要輸出文檔為等級保護測評實施方案（資產收集、測評表）等級保護測評差距分析報告等級保護測評安全整改方案等級保護測評安全整改報告3. 時間安排序號任務名稱工作內容開始時間完成時間階段完成標志主要負責人配合人員1項目準備階段編制實施方案2015/7/8實施方案2編制資產收集2015/7/92015/7/15資產收集表3編制測評表測評表4前期調研資產收集2015/7/162015/7/17完成資產收集表5差距測評技術和管理單項測評2015/7/202015/8/21完成信息系統測評表6差距測 評報告 編制

32、單元測評、整體測評、 風險分析、報告編制2015/8/242015/8/28差距測評報告7安全整改建議對部分風行 較高的不符合項給 出整改報告2015/8/312015/9/4整改方案8安全加固與檢對整改部分內容進行復2015/9/72015/9/25整改報告查檢9等級保護驗收測評協助中心通過第三方測評2015/9/282015/11/31獲得測評證書4. 人員安排4.1. 組織結構42項目工作分工為確保測評工作的順利進行,XXXXXXXXXXXXXXXXX)XXXXXXXXXXXXXXXX信息安全有限公司協商組建項目組，并對項目組織機構進行如下規劃：XXXXXXXXXXXXXXXXXXX名稱

33、職責項目負責人項目總體負責人，負責協調 XXXXXXXXXXXXXXXX整體項目資源， 解決項目中需要XXXXXXXXXXXXXXXX配合的問題，監督項目整體 質量、推進項目整體進度XXXXXXXXXXXXXXXX信息安全有限公司:名稱職責項目負責人項目總體負責人，負責組織等級保護測評和評估實施隊伍，做好 整體日常資源管理、分配與協調工作，并直接控制整體項目管理 的各個要素，具體包括：項目方案設計項目計劃與組織項目協調與溝通（含召集項目周例會）項目進度管理（含編寫項目周報）項目質量控制項目技術人員項目技術人員，包括項目分組組長和實施人員，在項目經理的帶 領、分工和控制下，負責按照項目技術方案和

34、項目計劃實施測評 和評估工作，需要提交：每天工作日報單項測評結果記錄單項安全整改建議43人員配置表名稱職責人員項目負責人項目總體負責人，負責組織等級保護測評和評 估實施隊伍，做好整體日常資源管理、分配與 協調工作，并直接控制整體項目管理的各個要 素，具體包括：項目方案設計項目計劃與組織項目協調與溝通（含召集項目周例會） 項目進度管理（含編寫項目周報） 項目質量控制項目技術人員負責按照項目技術方案和項目計劃實施測評 工作，需要提交：每天工作日報單項測評結果記錄單項安全整改建議4.4.工作配合為保證本項目的順利實施，對現場測評階段的各項工作點提出雙方工作配合:序號工作點甲方配合乙方配合1現場工具

35、測評1、人員要求 系統管理員*前期提供系統軟硬件配置，相關 系統檢收文檔。*現場登錄設備運行檢查腳本工具 *登錄設備查看安全配置2、環境要求*提供可以訪問網絡設備及測評系 統的2個 IP地址*關閉測評IP與系統之間的防火 墻。1、準備測評工具 及接入方案2、測評技術人員2現場配置 檢杳1、人員要求 網絡管理員* 前期提供網絡拓樸圖。* 登錄網絡設備，配合測評人員檢 查設備配置。系統管理員*登錄網絡設備，配合測評人員檢 查設備配置。2、環境要求可登錄系統及網絡設備1、準備配合檢查 萬案2、測評技術人員3人員訪談1、訪談對象要求 信息部管理人員* 配合調查表的訪談 系統開發&管理人員* 配

36、合測評回答應用系統操作相關 問題網絡管理人員* 配合測評回答網絡架構，及設備 配置操作的相關問題2、環境要求 提供會議室1、準備訪談安排 及訪談大綱2、測評技術人員4文檔審查1、人員要求信息部管理人員* 提供等保相關的管理制度 系統開發&管理人員* 提供相應系統建設方案及驗收文 檔網絡管理人員*提供網絡系統建設方案及驗收文 檔*IP規劃文檔等2、環境要求提供辦公場所1、準備測評表2、二位測評技術 人員5實地杳看1、人員要求 機房管理員* 配合測評人員檢查機房物理環 境。2、環境要求* 可訪問機房、辦公等物理區域1、準備測評表2、測評技術人員5.其他相關事項5.1. 風險規避在測評過程中

37、，可能會對被測系統造成影響，相應地會造成各種損失。這 些影響包括信息泄漏、業務停頓或處理能力受損等。因此，必須充分考慮各種 可能的影響及其危害并準備好相應的應對措施，盡可能減小對目標系統正常運 行的干擾，從而減小損失。下表給出了測評過程中可能存在的風險與控制措施。內容可能存在的風險等級控制措施信息資產調研資產信息泄漏高協議、規章、制度、法律、法 規安全管理測評安全管理信息泄漏高合同、協議、規章、制度、法 律、法規網絡設備測 評/安全設備 測評誤操作引起設備崩潰或數據丟失、損壞高規范審計流程；嚴格選擇測評師； 甲方進行全程監控； 制定可能的恢復計劃網絡/安全設備資源占用低避開業務高峰；控制掃描策

38、略（線程數量、強度）漏洞掃描網絡流量低避開業務高峰；控制掃描策略（線程數量、強度）主機資源占用低避開業務高峰；控制掃描策略（線程數量、強度）控制臺審計誤操作引起系統崩潰或數據丟失、損壞高規范審計流程；嚴格選擇測評師；甲方進行全程監控； 制定可能的恢復計劃；網絡流量和主機資源占用低避開業務高峰應用測評產生非法數據，致使系統不能正常工作中做好系統備份和恢復措施異常輸入（畸形數 據、極限測試）導致 系統崩潰高做好系統備份和恢復措施52項目信息管理為了保障 xxxxxxxxxxxxxxxXX息系統的安全，xxxxxxxxxxxxxxxXXxx 息安全有限公司將嚴格遵守XXXXXXXXXXXXXXXxx于保密方面的規定，自覺保 守XXXXXXXXXXXXXXXxx業秘密。XXXXXXXXXXXXXXXxx方便項目實施所提 供給投標人的工作流程、管理模式、規程、程序等相關資料文檔以及實施過