1、信息安全技術(shù)咨詢服務(wù)項目完成報告項目名稱:項目編號：技術(shù)咨詢服務(wù)對象:項目負責人：項目組成員：項目開始時間：項目結(jié)束時間：項目交付成果：甲方：乙方：代表簽字：代表簽字：年月日年月日1項目目的12項目依據(jù)13項目實施方案23.1技術(shù)咨詢準備階段23.1.1確定技術(shù)咨詢范圍23.1.2制定項目計劃書33.2信息系統(tǒng)現(xiàn)狀分析階段33.2.1現(xiàn)場調(diào)研準備活動33.2.2現(xiàn)場調(diào)研和結(jié)果記錄33.2.3結(jié)果確認和資料歸還33.3技術(shù)咨詢報告編制階段44項目組織方案44.1項目組織結(jié)構(gòu)44.2項目人員構(gòu)成和職責44.3項目實施計劃65項目質(zhì)量管理和控制85.1過程質(zhì)量控制管理85.2變更控制管理85.3項目

2、風險管理95.3.1項目進度風險的管理95.3.2項目協(xié)作與溝通風險的管理95.3.3調(diào)研工作引入風險的管理95.4保密控制管理95.4.1人員保密管理95.4.2設(shè)備保密管理105.4.3文檔保密管理10-I-電腦信息系統(tǒng)安全保護等級劃分準則GB/T17859-1999信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20271-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20270-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20272-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)終端電腦系統(tǒng)安全等級技術(shù)要求GB/T671-2006信息安全技術(shù)信

3、息系統(tǒng)安全管理要求GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20282-2006信息安全技術(shù)信息安全風險評估標準GB/T20984-20071 1 項目目的XXX 受 XXX 的委托進行信息系統(tǒng)的現(xiàn)狀分析工作，主要分析信息系統(tǒng)的安全防護能力，確保系統(tǒng)與網(wǎng)絡(luò)的安全性和可靠性，以提供安全和可靠的服務(wù)。通過對信息安全進行現(xiàn)狀分析， 判斷業(yè)務(wù)系統(tǒng)的防護能力是否滿足與安全保護等級相對應(yīng)的安全保護要求，分析總結(jié)系統(tǒng)現(xiàn)有安全防護措施存在的優(yōu)勢和不足，并給出整改計劃，從而促進系統(tǒng)安全防護工作的完善和提高，完善安全防護體系建設(shè)，保證信息系統(tǒng)的安全和有效運行。2 2 項目依據(jù)山東省信

4、息安全等級保護測評工作標準試行)省公安廳關(guān)于信息安全等級保護工作的實施意見公通字200466 號信息安全等級保護管理方法公通字200743 號信息系統(tǒng)安全等級保護基本要求GB/T22239-2008信息系統(tǒng)安全等級保護定級指南GB/T22240-2008國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見(中辦發(fā)200327 號信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南3 3 項目實施方案3.13.1 技術(shù)咨詢準備階段3.1.1確定技術(shù)咨詢范圍為積極響應(yīng)國家政策要求，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，建

5、立安全管理體系，完備安全技術(shù)措施，全面提高信息安全防護能力，本公司提供信息安全技術(shù)咨詢服務(wù),包括：信息安全等級保護服務(wù)咨詢、信息安全風險評估服務(wù)咨詢、信息安全管理體系建設(shè)咨詢、信息安全技術(shù)體系建設(shè)咨詢。技術(shù)咨詢服務(wù)范圍如下表所示：表 3-1 技術(shù)咨詢服務(wù)范圍咨詢范圍具體內(nèi)容信息安全等級保護信息系統(tǒng)定級信息系統(tǒng)備案信息系統(tǒng)安全現(xiàn)狀分析信息系統(tǒng)建設(shè)整改信息系統(tǒng)等級咨詢等級咨詢報告編制信息安全風險評估風險評估準備資產(chǎn)識別威脅識別脆弱性識別已有安全措施確認信息安全管理體系建設(shè)安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理第 2 頁物理安全網(wǎng)絡(luò)安全信息安全技術(shù)措施建設(shè)主機安全應(yīng)用安全數(shù)據(jù)安

6、全3.1.2制定項目計劃書在項目計劃書中明確項目實施流程、項目實施人員和項目實施時間。3.23.2 信息系統(tǒng)現(xiàn)狀分析階段3.2.1現(xiàn)場調(diào)研準備活動現(xiàn)場調(diào)研準備活動的目標是最終審定項目實施方案、 協(xié)調(diào)各種資源， 正式啟動現(xiàn)場調(diào)研工作。主要工作包括：簽署現(xiàn)場調(diào)研授權(quán)書；召開首次會議，確定實施方案；協(xié)調(diào)各種資源，包括配合人員和需要提供的材料等。本活動中涉及的輸出主要是更新后的實施方案及項目實施計劃書、 現(xiàn)場調(diào)研授權(quán)書和配合人員列表。3.2.2現(xiàn)場調(diào)研和結(jié)果記錄現(xiàn)場調(diào)研活動的目標是調(diào)研人員嚴格按照調(diào)研指導(dǎo)書， 對信息系統(tǒng)的調(diào)研對象進行現(xiàn)場調(diào)研、記錄結(jié)果，并保證記錄結(jié)果的真實、準確、及時和標準性。主要工

7、作包括：進程確認、實施現(xiàn)場調(diào)研、記錄調(diào)研證據(jù)、離場確認。本活動中涉及的輸出主要是現(xiàn)場調(diào)研獲取的各種證據(jù)。3.2.3結(jié)果確認和資料歸還本任務(wù)的目標是對調(diào)研證據(jù)進行匯總，查漏補缺，并對發(fā)現(xiàn)的問題進行現(xiàn)場確認，歸還所有的資料文檔，現(xiàn)場調(diào)研工作結(jié)束。主要工作包括：現(xiàn)場調(diào)研記錄匯總,查漏補缺，歸還所有的資料文檔。本活動中涉及的輸出主要是匯總的現(xiàn)場調(diào)研證據(jù)源記錄、文檔交接單。3.33.3 技術(shù)咨詢報告編制階段在報告編制活動中， 調(diào)研人員通過分析現(xiàn)場調(diào)研獲得的證據(jù)和資料， 判定信息系統(tǒng)是否到達相應(yīng)安全等級的安全要求，然后進行整體分析和風險分析，并提出信息系統(tǒng)整體改良方案。4 4 項目組織方案4.14.1 項

8、目組織結(jié)構(gòu)在本次項目中，XXXK 立技術(shù)咨詢項目組，下設(shè)項目總監(jiān)、PTO 專員、管理調(diào)研組、技術(shù)調(diào)研組和質(zhì)量保證組。項目組織結(jié)構(gòu)如以下圖所示：4.24.2 項目人員構(gòu)成和職責在項目啟動任務(wù)中，XXX 成立技術(shù)咨詢項目組，負責該項目的規(guī)劃與實施，下表為項目組成員列表：表 4-2 項目組成員列表擔任職務(wù)序號從業(yè)資格從業(yè)年限相關(guān)經(jīng)驗項目總監(jiān)1PTO專員2第 4 頁管理調(diào)研組組長3管理調(diào)研組成員4技術(shù)調(diào)研組組長5技術(shù)調(diào)研組6成員7質(zhì)量保證組8質(zhì)量保證組成員94.34.3 項目實施計劃表 4-3 技術(shù)咨詢項目計劃表工作階段工作小組工作內(nèi)容工作日項目準備階段咨詢小組項目啟動1成立項目組及成員分工編制項目計

9、劃編制系統(tǒng)調(diào)研改系統(tǒng)調(diào)研階段咨詢小組相關(guān)資料收集3系統(tǒng)調(diào)研系統(tǒng)資料整理和分析編制系統(tǒng)調(diào)研報告咨詢方案準備階段咨詢小組確定咨詢范圍2確定具體的咨詢對象確定咨詢工作的方法準備咨詢工具編制咨詢力殺編制咨詢現(xiàn)場工作計劃咨詢方案和現(xiàn)場工作計劃確認現(xiàn)場咨詢階段管理咨詢組管理訪談4管理文件查閱技木咨詢組技本訪談人工配置核查工具測試第 6 頁工作階段工作小組工作內(nèi)容工作日現(xiàn)狀分析階段管理咨詢組訪談結(jié)果整理和分析9查閱結(jié)果整理和分析整體安全管理分析不符合項整理管理咨詢結(jié)論形成改良建議分析技木咨詢組訪談結(jié)果分析核查結(jié)果分析滲透結(jié)果分析不符合項整理技術(shù)咨詢結(jié)論形成防范手段分析技木咨詢組完成咨詢報告技術(shù)部分和管理部分

10、報告評審和修改技術(shù)咨詢報告編制咨詢小組編制技術(shù)咨詢服務(wù)報告3項目驗收咨詢小組項目材料和文檔移交2項目驗收總結(jié)合計245 5 項目質(zhì)量管理和控制5.15.1 過程質(zhì)量控制管理過程自檢始終穿插在過程質(zhì)量控制管理體系中，它是保證過程質(zhì)量的最重要方面。過程專檢是在項目的各個階段由項目質(zhì)量組和 PTO員負責對本階段工作質(zhì)量和進度進行檢查。過程總檢是在項目的各個階段由項目質(zhì)量組和 PTO 專員負責對總體質(zhì)量和進度進行檢查。通過三個檢查的共同作用來保證項目的質(zhì)量和工作的進度。質(zhì)量保證組負責過程質(zhì)量控制管理體系的建設(shè)和實施。 質(zhì)量保證組負責過程質(zhì)量控制管理體系的試運行和內(nèi)部審核。質(zhì)量保證組和 PTOt*員負責

11、監(jiān)督過程質(zhì)量控制管理體系的落實情況并提出整改意見。質(zhì)量保證組由項目總監(jiān)任命并對項目總監(jiān)負責。5.25.2 變更控制管理對處于項目質(zhì)量和控制管理下的變更進行控制， 確保相關(guān)工作產(chǎn)品和項目活動狀態(tài)與其保持一致，使其合理、可控制、可追溯。變更申請一般包括以下幾個步驟：1）提交變更申請2）審核變更申請3）識別變更可行性4）批準變更申請5）實施變更申請變更控制管理相關(guān)人員包括變更申請人、變更經(jīng)理、變更可行性研究小組、變更審批小組、變更小組。其中除申請人外均由項目總監(jiān)任命質(zhì)量保證組和 PTOt*員負責。項目總監(jiān)設(shè)立 PTOt*員和項目質(zhì)量保證組，對整個項目進行跟蹤和監(jiān)控。由 PTO 專員負責制定項目變更控

12、制程序，對項目變更的提出、變更的審核與批準、變更的實施等各個變更控制環(huán)節(jié)的流程和內(nèi)容進行標準和指導(dǎo)。從而保證有效地控制和管理項目變更。5.35.3 項目風險管理5.3.1項目進度風險的管理采用科學(xué)的方法確定進度目標，編制進度計劃與資源供給計劃，進行進度控制,在與質(zhì)量、費用、安全目標協(xié)調(diào)的基礎(chǔ)上，實現(xiàn)工期目標。編制進度計劃前進行詳細的項目結(jié)構(gòu)分析，系統(tǒng)地剖析整個項目結(jié)構(gòu)構(gòu)成，包括實施過程和細節(jié)，系統(tǒng)規(guī)則地分解項目。做到明確單元之間的邏輯關(guān)系與工作關(guān)系，作到每個單元具體地落實到責任者，并能進行各部門、各專業(yè)的協(xié)調(diào)。5.3.2項目協(xié)作與溝通風險的管理項目組內(nèi)部、咨詢小組與被咨詢單位之間的適時、充分的

13、溝通是達成項目目標、保證項目成功的重要因素。項目總監(jiān)負責建立項目溝通機制，保持暢通的項目溝通渠道。5.3.3調(diào)研工作引入風險的管理調(diào)研工作的開展應(yīng)該以不對被測系統(tǒng)造成不良影響為前提。在調(diào)研工作中要遵循以下要求：XXX 加強對本公司調(diào)研人員安全意識教育，提高調(diào)研實施人員主動躲避風險的能力；調(diào)研開始前調(diào)研人員需要被測單位確認調(diào)研對象中的關(guān)鍵數(shù)據(jù)已經(jīng)備份。如沒有備份則不進行核查；調(diào)研工作開始前對調(diào)研可能對被測系統(tǒng)造成的影響進行評估，如有潛在風險則不允許在被測生產(chǎn)系統(tǒng)上核查，可協(xié)調(diào)被測單位搭建測試環(huán)境進行核查；對于調(diào)研過程中可能對被測系統(tǒng)產(chǎn)生較大壓力的調(diào)研動作要求必須避開業(yè)務(wù)高峰期進行；嚴格執(zhí)行保密協(xié)

14、議和文檔交接送還制度，保證被測單位重要信息不外泄，調(diào)研過程由被測單位相關(guān)技術(shù)人員陪同，嚴格遵守被測單位工作紀律和操作規(guī)程。5.45.4 保密控制管理5.4.1人員保密管理調(diào)研活動開始前調(diào)研人員需要與被測單位簽訂保密協(xié)議。 調(diào)研過程中嚴格執(zhí)行保密協(xié)議規(guī)定保證被測單位信息不被披露或使用，包括意外或過失。對違反保密協(xié)議的人員依法追究法律責任。5.4.2設(shè)備保密管理調(diào)研活動中調(diào)研人員嚴格禁止出現(xiàn)以下行為：?將涉密信息設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；?使用非涉密信息設(shè)備存儲、處理國家秘密；?在涉密電腦與非涉密電腦之間交叉使用存儲介質(zhì)；?使用低密級信息設(shè)備存儲、處理高密級信息；?在涉密電腦與非涉密電腦之間共用打印機、掃描儀等信息設(shè)備；?擅自卸載涉密電腦上的安全保密防護軟件或設(shè)備；5.4.3文檔保密管理所有重要文檔集中管理，維護檔案的安全與完整。各項目小組人員在工作中