XXX等級保護測評服務(wù)合同

1、技術(shù)服務(wù)合同合同編號（甲方）：合同編號（乙方）：項目名稱：委托方（甲方）：受托方（乙方）：簽訂時間：簽訂地點：有效期限： XXX年XXX月至XXX年XXX 月目錄1. 技術(shù)服務(wù)項目概要 -1 -2. 技術(shù)服務(wù)具體要求 -1 -3. 甲方提供的工作條件及協(xié)作事項 -1 -4. 組織與管理-2 -5. 技術(shù)服務(wù)報酬及支付方式 -3 -6. 技術(shù)服務(wù)工作成果的驗收 -4 -7. 知識產(chǎn)權(quán)-4 -8. 保密義務(wù)-4 -9. 違約責任 -5 -10. 合同變更和解除 -6 -11. 爭議解決-6 -12. 名詞和技術(shù)術(shù)語的定義和解釋 -7 -13. 本合同的組成部分 -7 -14. 其他-7 -附件1

2、:技術(shù)協(xié)議書 -9 -附件2:保密協(xié)議 -23 -1 -技術(shù)服務(wù)合同委托方（甲方）：受托方（乙方）：鑒于本合同為甲方委托乙方就 XXX系統(tǒng)等保測評項目進行的專 項技術(shù)服務(wù)，并支付相應(yīng)的技術(shù)服務(wù)報酬。為明確各自的權(quán)利和義務(wù)， 雙方經(jīng)過平等協(xié)商，根據(jù)中華人民共和國合同法等有關(guān)法律法規(guī) 的規(guī)定，訂立本合同。1. 技術(shù)服務(wù)項目概要1.1技術(shù)服務(wù)的目標：完成XXX系統(tǒng)等保測評服務(wù)。1.2技術(shù)服務(wù)的內(nèi)容：對_xxx系統(tǒng)進行等級保護測評，出具XXX 系統(tǒng)等級保護測評報告；詳見附件1:技術(shù)協(xié)議書。1.3技術(shù)服務(wù)的方式： 甲方所在地現(xiàn)場數(shù)據(jù)采集、 乙方所在地報告 編制。2. 技術(shù)服務(wù)具體要求2.1技術(shù)服務(wù)地點：

3、_xxx _。2.2技術(shù)服務(wù)期限： 合同簽訂日起3個月。2.3技術(shù)服務(wù)進度： 第一階段：商務(wù)溝通、合同簽訂及計劃編寫； 第二階段：資產(chǎn)調(diào)研、方案編寫與評審；第三階段：現(xiàn)場數(shù)據(jù)采集與 整理；第四階段：分析與報告編制；第五階段：項目驗收。2.4技術(shù)服務(wù)質(zhì)量要求：按招標技術(shù)規(guī)范書要求完成等級測評服 務(wù)，并提交符合要求的成果交付物 。3. 甲方提供的工作條件及協(xié)作事項3.1提供的工作條件：（1）為測評小組準備一間容纟納 45人的辦公室(2) 提供合適的會議室及辦公環(huán)境供交流使用(3) 提供一部打印機，打印項目過程文檔(3.2提供的技術(shù)資料如下：類別對應(yīng)文檔網(wǎng)絡(luò)拓撲各系統(tǒng)網(wǎng)絡(luò)拓撲圖業(yè)務(wù)流程圖各系統(tǒng)的業(yè)務(wù)

4、流程圖公司規(guī)范公司下發(fā)的各類安全管理制度和規(guī)范機房管理規(guī)范機房的安全管理制度維護手冊/制度日常運維的手冊和制度部門、人員崗位職責各部門和人員的崗位職責業(yè)務(wù)事故和網(wǎng)絡(luò)事故案例發(fā)生過的業(yè)務(wù)和網(wǎng)絡(luò)安全事故記錄和處理結(jié)果口令管理辦法各類口令的制定和管理方法業(yè)務(wù)開發(fā)設(shè)計文檔各業(yè)務(wù)開發(fā)設(shè)計文檔(提供目錄)網(wǎng)絡(luò)設(shè)備配置文檔各網(wǎng)絡(luò)設(shè)備的配置文件(交換機、防火墻、路由器)系統(tǒng)日志網(wǎng)絡(luò)設(shè)備和主機的日志系統(tǒng)安全配置要求部分業(yè)務(wù)和系統(tǒng)的安全其他針對不同的網(wǎng)絡(luò)業(yè)務(wù)，我方可以查詢的其他文檔3.3 其他：根據(jù)項目組的建議，做好相關(guān)數(shù)據(jù)的備份工作；并安排 信息安全管理人員、系統(tǒng)維護人員等，配合測評小組的現(xiàn)場測評工3.4甲方提

5、供上述工作條件和協(xié)作事項的時間及方式： 合同履行期內(nèi)、現(xiàn)場技術(shù)服務(wù)。4. 組織與管理4.1在本合同有效期內(nèi)，乙方應(yīng)派出專業(yè)技術(shù)人員為甲方提供技術(shù) 服務(wù)。技術(shù)服務(wù)人員名單見附件技術(shù)服務(wù)人員表。4.2本合同雙方分別指定項目負責人如下：(1) 甲方負責人：，電話：；(2) 乙方負責人：，電話：。4.2.1甲方項目負責人的主要職責為：（1）牽頭組織本方技術(shù)服務(wù)工作；（2）負責組織協(xié)調(diào)合同的簽訂、履行；（3）負責跟蹤或報告技術(shù)服務(wù)工作進展和成果；（4）負責與另一方的溝通協(xié)調(diào)、信息傳遞等工作，為技術(shù)服務(wù)工 作提供便利條件。422 乙方項目負責人的主要職責（1）負責編制整個測評工作計劃和測評技術(shù)方案，溝通甲

6、方確認 后按計劃開展現(xiàn)場服務(wù)。（2）由于乙方技術(shù)人員操作或其他行為造成甲方信息系統(tǒng)運行設(shè) 備、應(yīng)用功能等軟、硬件設(shè)備故障時，乙方應(yīng)立即停止工作，并負責 對上述系統(tǒng)、設(shè)備進行恢復(fù)消缺。（3）乙方負責人按照相關(guān)信息系統(tǒng)安全防護系統(tǒng)規(guī)定與甲方簽訂 保密協(xié)議，并確保參與本次系統(tǒng)評估工作的工程技術(shù)人員嚴格遵守保 密協(xié)議相關(guān)條款。（4）乙方負責按照招標文件要求與甲方簽訂技術(shù)協(xié)議，并履行技 術(shù)協(xié)議中相關(guān)職責。（5）乙方按照技術(shù)協(xié)議要求開展保護等級測評，出具完整的測評 報告、整改建議及安全評估報告，確保系統(tǒng)通過能源局、國網(wǎng)公司等 監(jiān)管機構(gòu)及主管部門的檢查、評估。4.3人員更換4.3.1 一方變更項目負責人的，

7、應(yīng)當及時以書面形式通知另一方。4.3.2乙方更換其項目負責人與其他技術(shù)服務(wù)人員，須征得甲方書 面同意。4.3.3甲方認為乙方工作人員不能勝任項目工作或玩忽職守的，有 權(quán)要求乙方立即更換。上述被更換的人員無甲方另行批準不得重新參 加本項目技術(shù)服務(wù)工作。5. 技術(shù)服務(wù)報酬及支付方式5.1技術(shù)服務(wù)報酬總額為：人民幣（大寫）XX）元整（Y XX）元）（含 稅）。該報酬包含乙方履行本合同所需全部費用，包括但不限于員工 工資、加班費、咨詢費、資料費、交通費、食宿費以及稅費等。5.2技術(shù)服務(wù)報酬由甲方 （一次或分期）支付乙方。具體支付方式和時間如下：（1）。（2）。（3）。（4）。6. 技術(shù)服務(wù)工作成果的驗

8、收6.1乙方完成技術(shù)服務(wù)工作的形式：提交xxx系統(tǒng)等級保護測評報告。6.2技術(shù)服務(wù)工作成果的驗收標準： 完成并提交所有成果交付物； 項目實施過程未造成安全事件發(fā)生。6.3技術(shù)服務(wù)工作成果的驗收方法：召開項目評審會，甲乙雙方就項目的成果和過程進行正式評審，內(nèi)容包括：最終成果和輸出報告 講解和匯報；項目工作成果評審意見。6.4驗收的時間和地點：由甲乙雙方協(xié)商確定。7. 知識產(chǎn)權(quán)7.1在本合同有效期內(nèi)，甲方利用乙方提交的技術(shù)服務(wù)工作成果所 完成的新的技術(shù)成果，歸 雙（甲、雙）方所有。7.2在本合同有效期內(nèi)，乙方利用甲方提供的技術(shù)資料和工作條件 所完成的新的技術(shù)成果，歸 雙（乙、雙）方所有。8. 保密

9、義務(wù)8.1 一方及其工作人員應(yīng)對技術(shù)服務(wù)合同簽訂、履行過程中了解到 的涉及到另一方商業(yè)秘密的文件資料以及其他尚未公開的有關(guān)信息承 擔保密責任，并采取相應(yīng)的保密措施。雙方應(yīng)承擔的保密義務(wù)包括但 不限于：8.1.1未經(jīng)一方書面同意，另一方不得將上述保密信息披露給任何第二人。8.1.2不得將上述保密信息用于本合同以外的其他目的。8.1.3在技術(shù)服務(wù)項目通過評審后或按合同要求， 及時將上述資料 和信息返還對方或按對方要求作適當處理。8.2涉密人員范圍甲方涉密人員范圍：系統(tǒng)運行單位及參與測評人員。乙方涉密人員范圍：等級測評項目組。8.3上述保密義務(wù)的期限至保密信息正式向社會公開之日或一方書 面解除另一方

10、此合同項下保密義務(wù)之日止。9.違約責任9.1乙方不履行本合同義務(wù)或履行義務(wù)不符合約定的，甲方有權(quán)要 求乙方承擔繼續(xù)履行、賠償損失或支付違約金等違約責任。9.1.1乙方未按期完成技術(shù)服務(wù)工作的，每逾期1天，應(yīng)向甲方支 付相當于技術(shù)服務(wù)報酬 丄的違約金，逾期超過_30_日的，甲方有權(quán) 單方解除合同。9.1.2乙方未按合同約定履行合同義務(wù)，經(jīng)甲方催告仍未糾正的， 甲方有權(quán)單方解除合同。由于整改糾正造成進度延期交付的視同逾期 交付。9.1.3乙方提供的技術(shù)服務(wù)不符合本合同約定的驗收標準，未通過 甲方驗收的，乙方應(yīng)退還甲方已支付的全部款項，并向甲方支付相當 于技術(shù)服務(wù)報酬10 %的違約金。9.1.4乙方

11、違反合同約定的保密義務(wù)，應(yīng)承擔一切法律責任并向甲 方支付相當于技術(shù)服務(wù)報酬_10_%的違約金。9.1.5合同因乙方原因解除的，甲方有權(quán)停止支付并要求乙方退還 甲方已支付的全部款項，且乙方應(yīng)向甲方支付相當于技術(shù)服務(wù)報酬_10 %的違約金。9.1.6乙方因違約需要向甲方支付違約金或賠償損失的，甲方有權(quán) 從任何一期合同應(yīng)付款項中予以扣除。9.2甲方不履行本合同義務(wù)或者履行義務(wù)不符合約定的，乙方有權(quán) 要求甲方承擔繼續(xù)履行、支付違約金等違約責任。921甲方不提供工作條件或提供的工作條件不符合約定，影響工 作進度和質(zhì)量，承擔由此造成的項目延期、費用增加的責任。922甲方逾期支付技術(shù)服務(wù)報酬的，應(yīng)就逾期部分

12、向乙方支付按 照中國人民銀行規(guī)定的同期貸款基準利率計算的逾期付款違約金。9.2.3甲方無正當理由不接受工作成果的，已支付的報酬不得追回， 未支付的報酬應(yīng)當支付，并向乙方支付相當于技術(shù)服務(wù)報酬10 %勺違 約金；甲方無正當理由逾期接受工作成果的，每逾期1天，應(yīng)向乙方支付相當于技術(shù)服務(wù)報酬_1%的違約金，逾期超過_30_日的，乙方有 權(quán)單方解除合同。9.2.4甲方違反合同約定的保密義務(wù)，應(yīng)承擔一切法律責任并向乙 方支付相當于技術(shù)服務(wù)報酬10%的違約金。10. 合同變更和解除10.1雙方經(jīng)協(xié)商一致可變更或解除合同，并以書面形式確定。10.2有下列情形之一的，一方可以向另一方提出變更或解除合同的 書面

13、請求，另一方應(yīng)當在10日內(nèi)予以書面答復(fù)；逾期未予書面答復(fù)的， 視為同意：(1) 因?qū)Ψ竭`約使合同不能繼續(xù)履行或沒有必要繼續(xù)履行。(2) 亙。10.3法律規(guī)定的合同解除情形出現(xiàn)時，一方主張解除合同的，應(yīng)當 書面通知對方。合同自通知到達對方時解除。10.4本合同中約定可單方解除合同的，單方解除合同的條件成就 時，享有解除權(quán)的一方可單方解除合同，但應(yīng)書面通知對方。合同自 通知到達對方時解除。11. 爭議解決11.1因合同及合同有關(guān)事項發(fā)生的爭議，雙方應(yīng)本著誠實信用原 則，通過友好協(xié)商解決，經(jīng)協(xié)商仍無法達成一致的，按以下第2種方式處理：（1）仲裁：提交L仲裁，按照申請仲裁時該仲裁機構(gòu)有效的仲裁規(guī) 則進

14、行仲裁。仲裁裁決是終局的，對雙方均有約束力。（2）訴訟：向 甲方 所在地人民法院提起訴訟。11.2在爭議解決期間，合同中未涉及爭議部分的條款仍須履行。12. 名詞和技術(shù)術(shù)語的定義和解釋12.1 等級測評：指測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī) 定，按照有關(guān)管理規(guī)范和技術(shù)標準，對未涉及國家秘密的信息系統(tǒng)安 全等級保護狀況進行檢測評估的活動。13. 本合同的組成部分與履行本合同有關(guān)的下列技術(shù)文件，經(jīng)雙方約定，作為本合同的組成部分。13.1技術(shù)標準和規(guī)范：技術(shù)協(xié)議書；13.2其他：保密協(xié)議。14.其他14.1本合同經(jīng)雙方法定代表人（負責人）或其授權(quán)代表簽署并加蓋 雙方公章或合同專用章之日起生效。合

15、同簽訂日期以雙方中最后一方 簽署并加蓋公章或合同專用章的日期為準。14.2本合同一式 捌 份，甲方執(zhí)肆份，乙方執(zhí) 肆 份，具有同等法 律效力。14.3特別約定本特別約定是合同各方經(jīng)協(xié)商后對合同其他條款的修改或補充，如有不一致，以特別約定為準。無 O（以下無正文）簽署頁甲方：（蓋章）乙方：（蓋章）法定代表人（負責人）或法定代表人（負責人）或授權(quán)代表（簽字）：授權(quán)代表（簽字）：簽訂日期：年 月曰簽訂日期：年 月曰地址：地址：郵編：郵編：聯(lián)系人：聯(lián)系人：電話：電話：傳真：傳真：Email:Email:開戶銀行：開戶銀行：賬號：賬號：稅號：稅號：附件1:技術(shù)協(xié)議書1.概述為了落實公安部、能源局和國家電

16、網(wǎng)公司電力信息系統(tǒng)安全等級保護要求， 進一步增強電力信息系統(tǒng)安全防護能力，確保電力信息系統(tǒng)安全穩(wěn)定運行，依據(jù)信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008 ）和電力行業(yè)信息系統(tǒng) 等級保護定級工作指導(dǎo)意見（電監(jiān)信息200744號）等標準規(guī)范，進行本次電 力信息系統(tǒng)等級保護。1.1. 目的及范圍落實信息系統(tǒng)安全等級保護要求，健全電力信息系統(tǒng)安全防護體系，統(tǒng)一信 息安全防護標準和策略，按照電力信息系統(tǒng)不同安全等級，通過合理分配資源， 規(guī)范電力信息系統(tǒng)安全建設(shè)與防護，對電力信息系統(tǒng)分等級實施全面保護，以提 高XXX系統(tǒng)信息安全的整體防護水平。通過等級保護測評工作，全面、完整地了解 XXX

17、系統(tǒng)的現(xiàn)有安全狀況，通 過測評其與信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）電力信息系統(tǒng)安全等級保護要求（試行）對應(yīng)級別的差距，達到以檢查促安全的目的，實 現(xiàn)重要信息系統(tǒng)的分等級保護與監(jiān)管、信息安全事件分等級響應(yīng)的要求。經(jīng)甲乙雙方協(xié)商，本項目的工作范圍包括：1、對XXX系統(tǒng)等級保護測評，出具等級保護測評報告。1.2. 要求本次項目實施方案設(shè)計以及在具體的項目實施過程中，我方將嚴格遵守以下 的標準和原則開展工作：客觀性和公正性原則雖然測評工作不能完全擺脫個人主張或判斷，但測評人員應(yīng)當沒有偏見，在最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評 方式和解釋

18、，實施測評活動。規(guī)范性原則安全測評過程有統(tǒng)一的流程，測評過程中使用的方法及使用的文檔，需要具 有很好的規(guī)范性，便于測評工作的質(zhì)量保證，并測評保證結(jié)果的一致性。標準性原則測評方案的設(shè)計與實施應(yīng)依據(jù)國家及行業(yè)等級保護的相關(guān)標準進行?？煽匦栽瓌t安全測評所使用的工具、方法和過程要在雙方認可的范圍之內(nèi)， 安全測評的 進度要符合進度表的安排，保證雙方對測評工作的可控性。整體性原則安全測評的范圍和內(nèi)容應(yīng)當全面覆蓋 XXX系統(tǒng)所涉及的各個層面，并考慮 各個層面的相互關(guān)系。最小影響原則測評工作應(yīng)盡可能小地影響網(wǎng)絡(luò)和系統(tǒng)的正常運行，不能對系統(tǒng)的業(yè)務(wù)產(chǎn)生顯著影響。例如：避免造成被測評系統(tǒng)的性能明顯下降、 網(wǎng)絡(luò)擁塞、

19、服務(wù)中斷等。保密性原則對在測評過程中所接觸到的被測評單位的所有敏感信息，測評人員應(yīng)遵循相關(guān)的保密承諾，不利用它們進行任何侵害被測評單位安全利益的行為。2. 項目內(nèi)容依照GB/T22239-2008信息安全技術(shù)信息安全等級保護基本要求和電力行業(yè)信息系統(tǒng)安全等級保護基本要求（征求意見稿）對XXX系統(tǒng)進行等級保 護測評，確定不同等級業(yè)務(wù)系統(tǒng)當前安全防護現(xiàn)狀，以及與國家和行業(yè)等級保護 要求間的差距；分析其所面臨的威脅及其存在的脆弱性，提出有針對性的抵御威 -10 -脅的防護策略和整改措施，為防范和化解信息安全風險，將風險控制在可接受的 水平，最大限度地防止由于電力信息系統(tǒng)安全事件引發(fā)電力安全事故，全面

20、提高 電力信息系統(tǒng)安全防護水平提供科學依據(jù)。等級測評將覆蓋物理環(huán)境、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及信 息安全管理等方面的內(nèi)容，內(nèi)容包括但不限于以下內(nèi)容：1. 總體要求測評：包括總體技術(shù)要求、總體管理要求；2. 安全技術(shù)測評：包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和 數(shù)據(jù)安全等五個方面的安全測評；3. 安全管理測評：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建 設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評；4. 最終版報告需加蓋電力行業(yè)等級保護測評中心的印章。3. 等級保護測評方案3.1.主要依據(jù)GB/T 18336-2001信息技術(shù)安全性評估準則GB/T 19715-20

21、05信息技術(shù)安全管理指南GB/T 19716-2005信息安全管理實用規(guī)則GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB 50174-2008電子信息系統(tǒng)機房設(shè)計規(guī)范GB/T 22239-2009信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求公通字200743號信息安全等級保護管理辦法電監(jiān)信息200744號電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見32技術(shù)思路-ii -本項目主要技術(shù)思路是依據(jù)上述標準，對 XXX系統(tǒng)進行等級測評，依據(jù)測 評以及核查的結(jié)果綜合分析給出等級測評的結(jié)果和改進建議。具體思路如下：（1）、使用問卷調(diào)查表，對 XXX系統(tǒng)調(diào)研，掌握XXX系統(tǒng)的主要功

22、能和 業(yè)務(wù)流程。調(diào)閱定級報告，詳細了解測評范圍內(nèi)的 XXX系統(tǒng)及其包含的信息資 產(chǎn)，為下一步測評指標的選取做好準備。（2）、在用戶許可的情況下，對 XXX系統(tǒng)的關(guān)鍵設(shè)備和關(guān)鍵系統(tǒng)進行手工 配置檢查，對網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行合理性分析，對應(yīng)用系統(tǒng)進行安全性分析，發(fā)現(xiàn)和分析系統(tǒng)安全技術(shù)方面與國家及行業(yè)要求之間的差距。（3） 、采用安全核查表的形式從管理層面和技術(shù)規(guī)范層面，對XXX系統(tǒng)進 行現(xiàn)場的安全管理核查，了解包括人的因素在內(nèi)的系統(tǒng)運行狀況。通過對核查結(jié)果的分析，發(fā)現(xiàn)和分析管理層面與國家及行業(yè)要求之間的差距。（4） 、在安全技術(shù)測試和安全管理核查的基礎(chǔ)上，根據(jù)XXX系統(tǒng)的特點， 發(fā)現(xiàn)和分析安全控制間、

23、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，以及安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及XXX系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等。3.3.工作流程XXX系統(tǒng)等級測評工作可以分為四個項目活動階段具體實施，分別是：測 評準備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動。主要工作流 程如下圖所示：方案編制活動現(xiàn)場測評活動分析與報告編制活動 f溝通與洽談 圖等級測評基本工作流程1）測評準備階段測評準備階段主要完成啟動測評項目，組建測評項目組；通過收集和分析被 測系統(tǒng)的相關(guān)資料信息，掌握被測系統(tǒng)的大體情況；通過調(diào)閱定級報告，掌握各 系統(tǒng)所確定的安全重要程度；并通過

24、編制測評方案以及準備測評工具和文檔等任 務(wù)，為順利實施現(xiàn)場測評工作打下良好的基礎(chǔ)。測評準備階段實施的主要活動包括：項目啟動、信息收集和分析、編制測評方 案及工具和文檔準備。2）方案編制階段本階段是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指 導(dǎo)方案。本活動的主要任務(wù)是開發(fā)與被測信息系統(tǒng)相適應(yīng)的測評內(nèi)容、測評實施 手冊等，形成測評方案。3）現(xiàn)場測評階段本階段是開展等級測評工作的核心活動。本活動的主要任務(wù)是按照測評方案 的總體要求，嚴格執(zhí)行測評實施手冊，分步實施所有測評項目，包括單項測評和 系統(tǒng)整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng) 存在的安全問題。現(xiàn)場測

25、評階段通過與被測單位進行溝通和協(xié)調(diào)，為現(xiàn)場測評的順利開展打下 良好基礎(chǔ)，然后依據(jù)測評方案實施現(xiàn)場測評工作，將測評方案和測評工具等具體 落實到現(xiàn)場測評活動中。現(xiàn)場測評工作應(yīng)取得分析與報告編制活動所需的、足夠 的證據(jù)和資料。4）報告編制階段本階段是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護能力 的綜合評價活動。本活動的主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果和信息系統(tǒng)安全等級 保護測評過程指南的有關(guān)要求，通過單項測評結(jié)果判定和系統(tǒng)整體測評分析等 方法，分析整個系統(tǒng)的安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距，綜合評 價被測信息系統(tǒng)保護狀況，并形成測評報告文本。測評人員在初步判定單項測評結(jié)果后，還需進

26、行系統(tǒng)整體測評，經(jīng)過系統(tǒng)整體測評后，有的單項測評結(jié)果可能會有所變化，需進一步修訂單項測評結(jié)果，而后形成等級測評結(jié)論。最終組織專家對測評結(jié)論進行評審。3.4. 測評方法等級測評的主要方式有：訪談、檢查和測試。訪談訪談是指測評人員通過與XXX系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論 等活動，獲取相關(guān)證據(jù)表明XXX系統(tǒng)安全保護措施是否落實的一種方法。在訪 談的范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。檢查檢查是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取證據(jù) 以證明國XXX系統(tǒng)安全等級保護措施是否得以有效實施的一種方法。在檢查范 圍上，應(yīng)基本覆蓋所有的對象種類（設(shè)備、文

27、檔、機制等），數(shù)量上可以抽樣。測試測試是指測評人員通過對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動，查看、分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證明XXX安全等級保護措施是否得以有效實施的一種方法。在測試范圍上，應(yīng)基本覆蓋不同類型的機制，在 數(shù)量上可以抽樣。3.5. 測評原則對于各種類型測評對象數(shù)量的選擇采取抽樣的方式，其數(shù)量應(yīng)能夠滿足各級 系統(tǒng)整體測評分析的需要。本項中涉及的設(shè)備、設(shè)施、人員和文檔的抽樣結(jié)果需 在系統(tǒng)完整調(diào)查之后最終確定，并與用戶單位溝通確認。三級及以上系統(tǒng)重點抽查“主要”的設(shè)備、設(shè)施、人員和文檔，其中必查的測評對象主要包 括:主機房和部分輔機房（包括其環(huán)境、設(shè)備和設(shè)施等），

28、必查的輔機房中放 置了服務(wù)于XXX系統(tǒng)的局部（包括整體）或?qū)?XXX系統(tǒng)的局部（包括整體） 安全性起重要作用的設(shè)備、設(shè)施；重要介質(zhì)的存放環(huán)境，存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境。整個系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)；安全設(shè)備，包括防火墻、IDS和防病毒網(wǎng)關(guān)等；邊界網(wǎng)絡(luò)設(shè)備（可能會包含安全設(shè)備），包括路由器、防火墻、認證網(wǎng)關(guān) 和邊界接入設(shè)備（如樓層交換機）等。主要網(wǎng)絡(luò)互聯(lián)設(shè)備，對整個XXX系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互 聯(lián)設(shè)備，如核心交換機、匯聚層交換機等；服務(wù)器中的主要服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫），指承載被測系統(tǒng)主 要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器；終端中的主要終端，包括管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)的終端，抽查

29、其中的一部分；應(yīng)用系統(tǒng)中的主要應(yīng)用系統(tǒng)，指能夠完成被測系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng) 用系統(tǒng)；硬件冗余設(shè)備（重要網(wǎng)絡(luò)、服務(wù)器和通信線路）；業(yè)務(wù)備份系統(tǒng)；安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業(yè)務(wù)負 責人、所有管理制度和記錄；4. 項目質(zhì)量管理與控制4.1.項目質(zhì)量承諾為了保證本次項目的品質(zhì)和質(zhì)量，我方承諾：根據(jù)標準性、規(guī)范性、可控性、整體性、最小影響性及保密性原則，做 到守時、保質(zhì)；指派工作經(jīng)驗豐富、技術(shù)實力雄厚的安全顧問結(jié)合技術(shù)領(lǐng)先、結(jié)論可靠 的測評工具為XXX系統(tǒng)作全面的等級保護符合性測評。承諾咨詢過程 按照國際標準進行，并保證對客戶的資料嚴格保密；確保選派高級專家參與整個項

30、目保證項目質(zhì)量，并在收到中標通知后， 立即召集參與項目的專家準備項目實施；在指定的地點進行測評工作和等級保護符合性測評報告的編寫，在測評期間和測評結(jié)束后，不帶走測評中的重要資料和結(jié)果。42項目管理方法在項目的實施過程中，根據(jù)項目的具體要求，整個項目的管理參考美國項目 管理協(xié)會PMI提出的項目管理方法學，以及一些安全專業(yè)領(lǐng)域的專家、顧問對項 目的實施進行規(guī)范管理實施。同時通過規(guī)范化的項目管理，保證項目進程中的過 程的質(zhì)量。4.3.項目變更管理不受控制的項目變更，包括目標變更、范圍變更、人員變更、環(huán)境變更、文 檔修改等等是對項目質(zhì)量的重大威脅。但是，期望實施過程中不出現(xiàn)變更也是不 現(xiàn)實的?？陀^上，

31、項目可能需要隨時修改自己的計劃、調(diào)整資源分配等以適應(yīng)項 目的最新情況。變更控制的關(guān)鍵在于使得變更的出現(xiàn)和接受被置于項目雙方的嚴 格管理中。本項目中由專門的質(zhì)量保證工程師負責全程監(jiān)管項目中隨時可能出現(xiàn)的變更 情況，保證不同層次的變更能夠得到相應(yīng)的、適當?shù)奶幚?，所有重要的修改都?jīng) 過項目雙方的認真討論和確認。在確認接受變更的情況下，項目雙方可能需要重 新審定工期、資源、目標、甚至商務(wù)等相關(guān)條文，并且通過配置管理保證所有人 員和基線相關(guān)條目都得到了更新。對于項目變更管理流程如下圖：J不是悶毎黔誠討論小項目經(jīng)理可紐進行會諛白1行牌蛻甘類處理卜|曲盜IMiwn計劃颶 范曲悻改杜應(yīng)的 開炭計創(chuàng)討論并琨戚

32、療辻盤4.4.風險與控制4.4.1.可能存在的風險1. 驗證測試對運行系統(tǒng)可能會造成影響在現(xiàn)場測評時，需要對設(shè)備和系統(tǒng)進行一定的驗證測試工作，部分測試內(nèi)容 需要上機查看一些信息，這就可能對系統(tǒng)的運行造成一定的影響，甚至存在誤操作的可能2. 敏感信息泄漏泄漏被檢測單位XXX系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓撲、IP地址、業(yè)務(wù)流程、安 全機制、安全隱患和有關(guān)文檔信息。3. 對測評結(jié)果的爭議測評方和被測評單位對測評結(jié)果可能存在爭議。4.4.2.風險的規(guī)避1. 簽署委托測評協(xié)議在測評工作正式開始之前，測評方和被測評單位需要以委托協(xié)議的方式明確 測評工作的目標、范圍、人員組成、計劃安排、執(zhí)行步驟和要求、以及雙方的責

33、 任和義務(wù)等。使得測評雙方對測評過程中的基本問題達成共識，后續(xù)的工作以此 為基礎(chǔ)，避免以后的工做出現(xiàn)大的分歧。2. 簽署保密協(xié)議測評雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測評雙方現(xiàn)在及 將來的行為。保密協(xié)議規(guī)定了測評雙方保密方面的權(quán)利與義務(wù)。測評工作的成果 屬被測評單位所有，測評方對其的引用與公開應(yīng)得到被測評單位的授權(quán)，否則被 測評單位將按照保密協(xié)議的要求追究測評單位的法律責任。3. 現(xiàn)場測評工作風險的規(guī)避進行驗證測試時，測評方需要與被測評單位充分的協(xié)調(diào)，安排好測試時間， 盡量避開業(yè)務(wù)高峰期，在系統(tǒng)資源處于空閑狀態(tài)時進行，并需要被測評單位對整 個測試過程進行監(jiān)督；在進行驗證測試前，需

34、要對關(guān)鍵數(shù)據(jù)做好備份工作，并對 可能出現(xiàn)的影響制定相應(yīng)的處理方案；上機驗證測試原則上由被測評單位提供相 應(yīng)的技術(shù)人員進行操作，測評人員根據(jù)情況提出需要操作的內(nèi)容，并進行查看和 驗證。避免由于測評人員對某些專用設(shè)備不熟悉造成誤操作。4. 規(guī)范化的實施過程為保證按計劃、高質(zhì)量地完成測評工作，應(yīng)當明確測評記錄和測評報告要求， 明確測評過程中每一階段需要產(chǎn)生的相關(guān)文檔，使測評有章可循。在委托協(xié)議和測評方案中，需要明確雙方的人員職責、測評對象、時間計劃、測評內(nèi)容要求等。5. 溝通與交流為避免測評工作中可能出現(xiàn)的爭議，在測評開始前與測評過程中，雙方需要 進行積極有效的溝通和交流，及時解決測評中出現(xiàn)的問題，

35、這對保證測評的過程 質(zhì)量和結(jié)果質(zhì)量有重要的作用。6. 現(xiàn)場行為規(guī)范不偽造測評記錄；不泄露XXX系統(tǒng)信息；不暗示被測評單位，如果提供某 種利益就可以修改測評結(jié)果；測評人員進入現(xiàn)場佩戴工作牌；在不違反測評工作 原則的基礎(chǔ)上，遵從被測評單位的機房管理制度；使用測評專用的筆記本電腦， 并由有資格的測評人員使用；不得將測評結(jié)果復(fù)制給非測評人員；不擅自評價測 評結(jié)果。4.4.3. 項目溝通管理在本項目中，將采用一些正規(guī)的項目溝通程序，保證參與項目的各方能夠保 持對項目的了解和支持。這些管理和溝通措施將對項目過程的質(zhì)量和結(jié)果的質(zhì)量 具有重要的作用。4.4.4. 日常溝通、記錄和備忘錄鼓勵項目參加各方在項目進

36、行過程中隨時對相關(guān)問題進行溝通。所有重要的、有主題的日常溝通活動都應(yīng)留下記錄或形成備忘錄。日常溝通的主要渠道包括：非正式會議電話電子郵件傳真等4.4.5. 會議會議是項目管理活動的重要形式，是項目各方進行正式溝通的渠道。項目啟動會議項目啟動會議是項目正式啟動和開始的標志，項目啟動會議之后，項目正式 開始，項目組從此進入了項目狀態(tài)。此會議的主要工作是宣告項目正式開始，各 方的領(lǐng)導(dǎo)闡明對項目的期望和支持，各方就項目組的組織架構(gòu)和工作計劃進行溝 通和確認，此會議對項目的后期發(fā)展方向非常重要。項目正式開始時舉行，時間一到兩小時。周例會為確保項目正常進行，項目管理小組、項目協(xié)調(diào)小組和各實施組組長每周舉

37、行一次項目例會，匯報項目進展狀況、出現(xiàn)的問題和安排下周的工作計劃。參加人員主要是項目管理小組成員、項目協(xié)調(diào)小組成員及各實施組組長，可 以根據(jù)情況邀請其他項目成員參加。會議可以是正式的面對面會議，也可以是電 話會議、網(wǎng)絡(luò)會議等形式。此例會每周召開一次，主要內(nèi)容：項目完成情況匯報，每日主要工作成果匯報存在的問題及解決辦法分析本周的工作計劃對可能的配置管理和變更控制簽署相應(yīng)的文件項目階段工作會議在每個項目階段結(jié)束時，都會召開一個正式的項目階段工作會議。該會議對 前一個階段進行總結(jié)，對下一個階段進行計劃確認和溝通。加人員主要是各方的項目經(jīng)理，可以根據(jù)情況邀請其他項目成員參加。會議 是正式的面對面會議。

38、主要內(nèi)容：項目完成情況匯報 階段工作成果評審存在的問題及解決辦法分析對可能的配置管理和變更控制簽署相應(yīng)的文件 下階段的工作計劃確認和溝通項目評審會議在項目的具體工作全部結(jié)束后，項目管理組完成內(nèi)部評審，達成一致，會安 排項目的相關(guān)各方參加對整個項目的成果和過程的正式評審工作。參加人員主要是各方的項目經(jīng)理、相關(guān)領(lǐng)導(dǎo)、項目組主要成員，會議是正式 的面對面會議。主要內(nèi)容：最終成果和輸出報告講解和匯報項目工作成果評審意見-26 -附件2 :保密協(xié)議甲方：乙方：根據(jù)中華人民共和國保密法和國家、地方有關(guān)規(guī)定，雙方當 事人就乙方在為甲方服務(wù)期間及服務(wù)結(jié)束以后保守甲方商業(yè)秘密、技 術(shù)秘密和其它保密事項達成如下協(xié)議，供雙方共同遵守：（一）保密內(nèi)容和范圍1雙方確認，乙方在為甲方提供服務(wù)期間，主要是利用甲方的物 質(zhì)技術(shù)條件、業(yè)務(wù)信息等產(chǎn)生的發(fā)明創(chuàng)造、作品、計算機軟件、技術(shù) 秘密或其他商業(yè)秘密信息，有關(guān)的知識產(chǎn)權(quán)均屬于甲方享有。乙方主 張由其獨自享有或共同享有知識產(chǎn)權(quán)的，應(yīng)當及時向甲方申明。乙方 應(yīng)當依甲方的要求，提供一切必要的信息和采取一切必要的行動，包 括申請、注冊、登記等，協(xié)助取得和行使有關(guān)的知識產(chǎn)權(quán)。2、乙方