技術(shù)咨詢服務(wù)項(xiàng)目完成報告

1、信息安全技術(shù)咨詢服務(wù)項(xiàng)目完成報告項(xiàng)目名稱: 項(xiàng)目編號：技術(shù)咨詢服務(wù)對象:項(xiàng)目負(fù)責(zé)人：項(xiàng)目組成員：項(xiàng)目開始時間：項(xiàng)目結(jié)束時間：項(xiàng)目交付成果：甲方：代表簽字：年 月 日乙方：代表簽字：年 月 日1 項(xiàng)目目的 12 項(xiàng)目依據(jù) 13 項(xiàng)目實(shí)施方案 23.1 技術(shù)咨詢準(zhǔn)備階段 23.1.1 確定技術(shù)咨詢范圍 23.1.2 制定項(xiàng)目計(jì)劃書 33.2 信息系統(tǒng)現(xiàn)狀分析階段 33.2.1 現(xiàn)場調(diào)研準(zhǔn)備活動 33.2.2 現(xiàn)場調(diào)研和結(jié)果記錄 33.2.3 結(jié)果確認(rèn)和資料歸還 33.3 技術(shù)咨詢報告編制階段 44 項(xiàng)目組織方案 44.1 項(xiàng)目組織結(jié)構(gòu)44.2 項(xiàng)目人員構(gòu)成和職責(zé) 44.3 項(xiàng)目實(shí)施計(jì)劃 65 項(xiàng)目

2、質(zhì)量管理和控制 85.1 過程質(zhì)量控制管理 85.2 變更控制管理 85.3 項(xiàng)目風(fēng)險管理95.3.1 項(xiàng)目進(jìn)度風(fēng)險的管理 95.3.2 項(xiàng)目協(xié)作與溝通風(fēng)險的管理 95.3.3 調(diào)研工作引入風(fēng)險的管理 95.4 保密控制管理 95.4.1 人員保密管理95.4.2 設(shè)備保密管理105.4.3 文檔保密管理101項(xiàng)目目的XXX受XXX的委托進(jìn)行信息系統(tǒng)的現(xiàn)狀分析工作，主要分析信息系統(tǒng)的安全防 護(hù)能力，確保系統(tǒng)與網(wǎng)絡(luò)的安全性和可靠性，以提供安全和可靠的服務(wù)。通過對信息安全進(jìn)行現(xiàn)狀分析，判斷業(yè)務(wù)系統(tǒng)的防護(hù)能力是否滿足與安全保護(hù) 等級相對應(yīng)的安全保護(hù)要求，分析總結(jié)系統(tǒng)現(xiàn)有安全防護(hù)措施存在的優(yōu)勢和不足，

3、 并給出整改計(jì)劃，從而促進(jìn)系統(tǒng)安全防護(hù)工作的完善和提高，完善安全防護(hù)體系建 設(shè)，保證信息系統(tǒng)的安全和有效運(yùn)行。2項(xiàng)目依據(jù)山東省信息安全等級保護(hù)測評工作標(biāo)準(zhǔn)試行）省公安廳關(guān)于信息安全等級保護(hù)工作的實(shí)施意見公通字200466號信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T 22239-2008GB/T 22240-2008信息安全等級保護(hù)管理方法公通字200743號信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號

4、電腦信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T 17859-1999信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20270-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T 20272-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T 20273-2006信息安全技術(shù)終端電腦系統(tǒng)安全等級技術(shù)要求GB/T 671-2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T 20282-2006信息安全技術(shù)信息安全風(fēng)險評估標(biāo)準(zhǔn)GB/T 20984-20073項(xiàng)目實(shí)施方案3.1技術(shù)

5、咨詢準(zhǔn)備階段確定技術(shù)咨詢范圍為積極響應(yīng)國家政策要求，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，建立安全管理體系，完 備安全技術(shù)措施，全面提高信息安全防護(hù)能力，本公司提供信息安全技術(shù)咨詢服務(wù), 包括：信息安全等級保護(hù)服務(wù)咨詢、信息安全風(fēng)險評估服務(wù)咨詢、信息安全管理體 系建設(shè)咨詢、信息安全技術(shù)體系建設(shè)咨詢。技術(shù)咨詢服務(wù)范圍如下表所示：表3-1技術(shù)咨詢服務(wù)范圍咨詢范圍具體內(nèi)容信息安全等級保護(hù)信息系統(tǒng)定級信息系統(tǒng)備案信息系統(tǒng)安全現(xiàn)狀分析信息系統(tǒng)建設(shè)整改 信息系統(tǒng)等級咨詢 等級咨詢報告編制信息安全風(fēng)險評估風(fēng)險評估準(zhǔn)備資產(chǎn)識別威脅識別脆弱性識別 已有安全措施確認(rèn)信息安全管理體系建設(shè)安全管理制度 安全管理機(jī)構(gòu) 人員安全管理

6、系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理信息安全技術(shù)措施建設(shè)物理安全 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全制定項(xiàng)目計(jì)劃書在項(xiàng)目計(jì)劃書中明確項(xiàng)目實(shí)施流程、項(xiàng)目實(shí)施人員和項(xiàng)目實(shí)施時間。3.2信息系統(tǒng)現(xiàn)狀分析階段現(xiàn)場調(diào)研準(zhǔn)備活動現(xiàn)場調(diào)研準(zhǔn)備活動的目標(biāo)是最終審定項(xiàng)目實(shí)施方案、協(xié)調(diào)各種資源，正式啟動 現(xiàn)場調(diào)研工作。主要工作包括：簽署現(xiàn)場調(diào)研授權(quán)書；召開首次會議，確定實(shí)施方 案；協(xié)調(diào)各種資源，包括配合人員和需要提供的材料等。本活動中涉及的輸出主要是更新后的實(shí)施方案及項(xiàng)目實(shí)施計(jì)劃書、現(xiàn)場調(diào)研授 權(quán)書和配合人員列表。現(xiàn)場調(diào)研和結(jié)果記錄現(xiàn)場調(diào)研活動的目標(biāo)是調(diào)研人員嚴(yán)格按照調(diào)研指導(dǎo)書，對信息系統(tǒng)的調(diào)研對象 進(jìn)行現(xiàn)場調(diào)研、記錄

7、結(jié)果，并保證記錄結(jié)果的真實(shí)、準(zhǔn)確、及時和標(biāo)準(zhǔn)性。主要工 作包括：進(jìn)程確認(rèn)、實(shí)施現(xiàn)場調(diào)研、記錄調(diào)研證據(jù)、離場確認(rèn)。本活動中涉及的輸出主要是現(xiàn)場調(diào)研獲取的各種證據(jù)。結(jié)果確認(rèn)和資料歸還本任務(wù)的目標(biāo)是對調(diào)研證據(jù)進(jìn)行匯總，查漏補(bǔ)缺，并對發(fā)現(xiàn)的問題進(jìn)行現(xiàn)場確 認(rèn)，歸還所有的資料文檔，現(xiàn)場調(diào)研工作結(jié)束。主要工作包括：現(xiàn)場調(diào)研記錄匯總, 查漏補(bǔ)缺，歸還所有的資料文檔。本活動中涉及的輸出主要是匯總的現(xiàn)場調(diào)研證據(jù)源記錄、文檔交接單。3.3技術(shù)咨詢報告編制階段在報告編制活動中，調(diào)研人員通過分析現(xiàn)場調(diào)研獲得的證據(jù)和資料，判定信息 系統(tǒng)是否到達(dá)相應(yīng)安全等級的安全要求，然后進(jìn)行整體分析和風(fēng)險分析，并提出信 息系統(tǒng)整體改良

8、方案。4項(xiàng)目組織方案4.1項(xiàng)目組織結(jié)構(gòu)在本次項(xiàng)目中，XXX成立技術(shù)咨詢項(xiàng)目組，下設(shè)項(xiàng)目總監(jiān)、PTO專員、管理調(diào)研組、技術(shù)調(diào)研組和質(zhì)量保證組。項(xiàng)目組織結(jié)構(gòu)如以下圖所示：圖4-1項(xiàng)目組織結(jié)構(gòu)圖4.2項(xiàng)目人員構(gòu)成和職責(zé)在項(xiàng)目啟動任務(wù)中，XXX成立技術(shù)咨詢項(xiàng)目組，負(fù)責(zé)該項(xiàng)目的規(guī)劃與實(shí)施，下表為項(xiàng)目組成員列表：表4-2項(xiàng)目組成員列表擔(dān)任職務(wù)序號從業(yè)資格從業(yè)年限相關(guān)經(jīng)驗(yàn)項(xiàng)目總監(jiān)1PTO專員2管理調(diào)研組 組長3管理調(diào)研組 成員4技術(shù)調(diào)研組 組長5技術(shù)調(diào)研組 成員67質(zhì)量保證組8質(zhì)量保證組 成員94.3項(xiàng)目實(shí)施計(jì)劃表4-3技術(shù)咨詢項(xiàng)目計(jì)劃表工作階段工作小組工作內(nèi)容工作日項(xiàng)目準(zhǔn)備階段咨詢小組項(xiàng)目啟動1成立項(xiàng)目組

9、及成員分工編制項(xiàng)目計(jì)劃編制系統(tǒng)調(diào)研表系統(tǒng)調(diào)研階段咨詢小組相關(guān)資料收集3系統(tǒng)調(diào)研系統(tǒng)資料整理和分析編制系統(tǒng)調(diào)研報告咨詢方案準(zhǔn)備階段咨詢小組確定咨詢范圍2確定具體的咨詢對象確定咨詢工作的方法準(zhǔn)備咨詢工具編制咨詢方案編制咨詢現(xiàn)場工作計(jì)劃咨詢方案和現(xiàn)場工作計(jì)劃確認(rèn)現(xiàn)場咨詢階段管理咨詢組管理訪談4管理文件查閱技術(shù)咨詢組技術(shù)訪談人工配置核查工具測試工作階段工作小組工作內(nèi)容工作日現(xiàn)狀分析階段管理咨詢組訪談結(jié)果整理和分析9查閱結(jié)果整理和分析整體安全管理分析不符合項(xiàng)整理管理咨詢結(jié)論形成改良建議分析技術(shù)咨詢組訪談結(jié)果分析核查結(jié)果分析滲透結(jié)果分析不符合項(xiàng)整理技術(shù)咨詢結(jié)論形成防范手段分析技術(shù)咨詢組完成咨詢報告技術(shù)部分

10、和管理部分報告評審和修改技術(shù)咨詢報告編制咨詢小組編制技術(shù)咨詢服務(wù)報告3項(xiàng)目驗(yàn)收咨詢小組項(xiàng)目材料和文檔移交2項(xiàng)目驗(yàn)收總結(jié)合計(jì)245項(xiàng)目質(zhì)量管理和控制5.1過程質(zhì)量控制管理過程自檢始終穿插在過程質(zhì)量控制管理體系中，它是保證過程質(zhì)量的最重要方 面。過程專檢是在項(xiàng)目的各個階段由項(xiàng)目質(zhì)量組和PTO專員負(fù)責(zé)對本階段工作質(zhì)量和進(jìn)度進(jìn)行檢查。過程總檢是在項(xiàng)目的各個階段由項(xiàng)目質(zhì)量組和PTO專員負(fù)責(zé)對總體質(zhì)量和進(jìn)度進(jìn)行檢查。通過三個檢查的共同作用來保證項(xiàng)目的質(zhì)量和工作的進(jìn)度。質(zhì)量保證組負(fù)責(zé)過程質(zhì)量控制管理體系的建設(shè)和實(shí)施。質(zhì)量保證組負(fù)責(zé)過程質(zhì) 量控制管理體系的試運(yùn)行和內(nèi)部審核。質(zhì)量保證組和PT"員負(fù)責(zé)監(jiān)

11、督過程質(zhì)量控制管理體系的落實(shí)情況并提出整改意見。質(zhì)量保證組由項(xiàng)目總監(jiān)任命并對項(xiàng)目總監(jiān) 負(fù)責(zé)。5.2變更控制管理對處于項(xiàng)目質(zhì)量和控制管理下的變更進(jìn)行控制，確保相關(guān)工作產(chǎn)品和項(xiàng)目活動 狀態(tài)與其保持一致，使其合理、可控制、可追溯。變更申請一般包括以下幾個步驟：1）提交變更申請2）審核變更申請3）識別變更可行性4）批準(zhǔn)變更申請5）實(shí)施變更申請變更控制管理相關(guān)人員包括變更申請人、變更經(jīng)理、變更可行性研究小組、變 更審批小組、變更小組。其中除申請人外均由項(xiàng)目總監(jiān)任命質(zhì)量保證組和PT"員負(fù)責(zé)。項(xiàng)目總監(jiān)設(shè)立PTO專員和項(xiàng)目質(zhì)量保證組，對整個項(xiàng)目進(jìn)行跟蹤和監(jiān)控。由PTO 專員負(fù)責(zé)制定項(xiàng)目變更控制程序，

12、對項(xiàng)目變更的提出、變更的審核與批準(zhǔn)、變更的 實(shí)施等各個變更控制環(huán)節(jié)的流程和內(nèi)容進(jìn)行標(biāo)準(zhǔn)和指導(dǎo)。從而保證有效地控制和管 理項(xiàng)目變更。5.3項(xiàng)目風(fēng)險管理531項(xiàng)目進(jìn)度風(fēng)險的管理采用科學(xué)的方法確定進(jìn)度目標(biāo)，編制進(jìn)度計(jì)劃與資源供給計(jì)劃，進(jìn)行進(jìn)度控制, 在與質(zhì)量、費(fèi)用、安全目標(biāo)協(xié)調(diào)的基礎(chǔ)上，實(shí)現(xiàn)工期目標(biāo)。編制進(jìn)度計(jì)劃前進(jìn)行詳細(xì)的項(xiàng)目結(jié)構(gòu)分析，系統(tǒng)地剖析整個項(xiàng)目結(jié)構(gòu)構(gòu)成，包 括實(shí)施過程和細(xì)節(jié)，系統(tǒng)規(guī)則地分解項(xiàng)目。做到明確單元之間的邏輯關(guān)系與工作關(guān) 系，作到每個單元具體地落實(shí)到責(zé)任者，并能進(jìn)行各部門、各專業(yè)的協(xié)調(diào)。項(xiàng)目協(xié)作與溝通風(fēng)險的管理項(xiàng)目組內(nèi)部、咨詢小組與被咨詢單位之間的適時、 充分的溝通是達(dá)成項(xiàng)目目標(biāo)

13、、 保證項(xiàng)目成功的重要因素。項(xiàng)目總監(jiān)負(fù)責(zé)建立項(xiàng)目溝通機(jī)制，保持暢通的項(xiàng)目溝通 渠道。調(diào)研工作引入風(fēng)險的管理調(diào)研工作的開展應(yīng)該以不對被測系統(tǒng)造成不良影響為前提。在調(diào)研工作中要遵 循以下要求：XXX加強(qiáng)對本公司調(diào)研人員安全意識教育，提高調(diào)研實(shí)施人員主動躲 避風(fēng)險的能力；調(diào)研開始前調(diào)研人員需要被測單位確認(rèn)調(diào)研對象中的關(guān)鍵數(shù)據(jù)已經(jīng) 備份。如沒有備份則不進(jìn)行核查；調(diào)研工作開始前對調(diào)研可能對被測系統(tǒng)造成的影 響進(jìn)行評估，如有潛在風(fēng)險則不允許在被測生產(chǎn)系統(tǒng)上核查，可協(xié)調(diào)被測單位搭建 測試環(huán)境進(jìn)行核查；對于調(diào)研過程中可能對被測系統(tǒng)產(chǎn)生較大壓力的調(diào)研動作要求 必須避開業(yè)務(wù)高峰期進(jìn)行；嚴(yán)格執(zhí)行保密協(xié)議和文檔交接送

14、還制度，保證被測單位 重要信息不外泄，調(diào)研過程由被測單位相關(guān)技術(shù)人員陪同，嚴(yán)格遵守被測單位工作 紀(jì)律和操作規(guī)程。5.4保密控制管理5.4.1 人員保密管理調(diào)研活動開始前調(diào)研人員需要與被測單位簽訂保密協(xié)議。調(diào)研過程中嚴(yán)格執(zhí)行 保密協(xié)議規(guī)定保證被測單位信息不被披露或使用，包括意外或過失。對違反保密協(xié)議的人員依法追究法律責(zé)任。542設(shè)備保密管理調(diào)研活動中調(diào)研人員嚴(yán)格禁止出現(xiàn)以下行為：? 將涉密信息設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；? 使用非涉密信息設(shè)備存儲、處理國家秘密；? 在涉密電腦與非涉密電腦之間交叉使用存儲介質(zhì)；? 使用低密級信息設(shè)備存儲、處理高密級信息；? 在涉密電腦與非涉密電腦之間共用打印機(jī)、掃描儀等信息設(shè)備；? 擅自卸載涉密電腦上的安全保密防護(hù)軟件或設(shè)備；543文檔保密管理所有重要文檔集中管理，維護(hù)檔案的安全與完整。 各項(xiàng)目小組人員在工作中