技术咨询服务项目完成报告.doc

1、 信息安全技术咨询服务 项目完成报告 项目名称： 项目编号： 技术咨询服务对象： 项目负责人： 项目组成员： 项目开始时间： 项目结束时间： 项目交付成果： 甲方： 乙方： 代表签字： 代表签字： 年 月 日 年 月 日 目 录 1 项目目的 1 2 项目依据 1 3 项目实施方案 2 3.1 技术咨询准备阶段 2 3.1.1 确定技术咨询范围 2 3.1.2 制定项目计划书 3 3.2 信息系统现状分

2、析阶段 3 3.2.1 现场调研准备活动 3 3.2.2 现场调研和结果记录 3 3.2.3 结果确认和资料归还 3 3.3 技术咨询报告编制阶段 4 4 项目组织方案 4 4.1 项目组织结构 4 4.2 项目人员构成和职责 4 4.3 项目实施计划 6 5 项目质量管理和控制 8 5.1 过程质量控制管理 8 5.2 变更控制管理 8 5.3 项目风险管理 9 5.3.1 项目进度风险的管理 9 5.3.2 项目协作与沟通风险的管理 9 5.3.3 调研工作引入风险的管理 9 5.4 保密控制管理 9 5.4.1 人员保密管理 9 5.4.2 设备保密管

3、理 10 5.4.3 文档保密管理 10 -I- 1 项目目的 XXX受XXX的委托进行信息系统的现状分析工作，主要分析信息系统的安全防护能力，确保系统与网络的安全性和可靠性，以提供安全和可靠的服务。 通过对信息安全进行现状分析，判断业务系统的防护能力是否满足与安全保护等级相对应的安全保护要求，分析总结系统现有安全防护措施存在的优势和不足，并给出整改计划，从而促进系统安全防护工作的完善和提高，完善安全防护体系建设，保证信息系统的安全和有效运行。 2 项目依据 《山东省信息安全等级保护测评工作规范（试行)》省公安厅 《关于信息安全等级保护工作的实施意见》（公通字 [2

4、004]66号） 《信息安全等级保护管理办法》（公通字 [2007]43号） 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级保护实施指南》 《信息安全技术 信息系统安全等级保护测评要求》 《信息安全技术 信息系统安全等级保护测评过程指南》 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号） 《计算机信息系统安全保护等级划分准则》（GB/T 17859-1999） 《信息安全技术 信息系统通用安全技术

5、要求》（GB/T 20271-2006） 《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006） 《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006） 《信息安全技术 数据库管理系统安全技术要求》（GB/T 20273-2006） 《信息安全技术 终端计算机系统安全等级技术要求》（GB/T 671-2006） 《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T 20282-2006） 《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007） 3 项目

6、实施方案 3.1 技术咨询准备阶段 3.1.1 确定技术咨询范围 为积极响应国家政策要求，创建安全健康的网络环境，建立安全管理体系，完备安全技术措施，全面提高信息安全防护能力，本公司提供信息安全技术咨询服务，包括：信息安全等级保护服务咨询、信息安全风险评估服务咨询、信息安全管理体系建设咨询、信息安全技术体系建设咨询。 技术咨询服务范围如下表所示： 表3-1 技术咨询服务范围 咨询范围 具体内容 信息安全等级保护 l 信息系统定级 l 信息系统备案 l 信息系统安全现状分析 l 信息系统建设整改 l 信息系统等级咨询 l 等级咨询报告编制 信息安全风险评估 l 风

7、险评估准备 l 资产识别 l 威胁识别 l 脆弱性识别 l 已有安全措施确认 信息安全管理体系建设 l 安全管理制度 l 安全管理机构 l 人员安全管理 l 系统建设管理 l 系统运维管理 信息安全技术措施建设 l 物理安全 l 网络安全 l 主机安全 l 应用安全 l 数据安全 3.1.2 制定项目计划书 在项目计划书中明确项目实施流程、项目实施人员和项目实施时间。 3.2 信息系统现状分析阶段 3.2.1 现场调研准备活动 现场调研准备活动的目标是最终审定项目实施方案、协调各种资源，正式启动现场调研工作。主要工作包括：签署现场调研授权书；召开首次会

8、议，确定实施方案；协调各种资源，包括配合人员和需要提供的材料等。 本活动中涉及的输出主要是更新后的实施方案及项目实施计划书、现场调研授权书和配合人员列表。 3.2.2 现场调研和结果记录 现场调研活动的目标是调研人员严格按照调研指导书，对信息系统的调研对象进行现场调研、记录结果，并保证记录结果的真实、准确、及时和规范性。主要工作包括：进程确认、实施现场调研、记录调研证据、离场确认。 本活动中涉及的输出主要是现场调研获取的各种证据。 3.2.3 结果确认和资料归还 本任务的目标是对调研证据进行汇总，查漏补缺，并对发现的问题进行现场确认，归还所有的资料文档，现场调研工作结束。主要工作包

9、括：现场调研记录汇总，查漏补缺，归还所有的资料文档。 本活动中涉及的输出主要是汇总的现场调研证据源记录、文档交接单。 3.3 技术咨询报告编制阶段 在报告编制活动中，调研人员通过分析现场调研获得的证据和资料，判定信息系统是否达到相应安全等级的安全要求，然后进行整体分析和风险分析，并提出信息系统整体改进方案。 4 项目组织方案 4.1 项目组织结构 在本次项目中，XXX成立技术咨询项目组，下设项目总监、PTO专员、管理调研组、技术调研组和质量保证组。项目组织结构如下图所示： 图4-1 项目组织结构图 4.2 项目人员构成和职责 在项目启动任务中，XXX成立技术咨询项目组，负

10、责该项目的规划与实施，下表为项目组成员列表： 表4-2项目组成员列表 担任职务 序号 姓名 从业资格 从业年限 相关经验 项目总监 1 PTO专员 2 管理调研组组长 3 管理调研组成员 4 技术调研组组长 5 技术调研组成员 6 7 质量保证组 8 质量保证组成员 9 4.3 项目实施计划 表4-3 技术咨询项目计划表 工作阶段 工作小组 工作内容 工作日 项目准备阶段 咨询小组

11、项目启动 1 成立项目组及成员分工 编制项目计划 编制系统调研表 系统调研阶段 咨询小组 相关资料收集 3 系统调研 系统资料整理和分析 编制系统调研报告 咨询方案准备阶段 咨询小组 确定咨询范围 2 确定具体的咨询对象 确定咨询工作的方法 准备咨询工具 编制咨询方案 编制咨询现场工作计划 咨询方案和现场工作计划确认 现场咨询阶段 管理咨询组 管理访谈 4 管理文件查阅 技术咨询组 技术访谈 人工配置核查 工具测试 现状分析阶段 管理咨询组 访谈结果整理和分析 9 查阅结果整理和分析 整体安全管理分析 不符合项整理 管

12、理咨询结论形成 改进建议分析 技术咨询组 访谈结果分析 核查结果分析 渗透结果分析 不符合项整理 技术咨询结论形成 防范手段分析 技术咨询组 完成咨询报告技术部分和管理部分 报告评审和修改 技术咨询报告编制 咨询小组 编制技术咨询服务报告 3 项目验收 咨询小组 项目材料和文档移交 2 项目验收总结 合计 24 5 项目质量管理和控制 5.1 过程质量控制管理 过程自检始终穿插在过程质量控制管理体系中，它是保证过程质量的最重要方面。过程专检是在项目的各个阶段由项目质量组和PTO专员负责对本阶段工作质量和进度进行检查。过程总检是在项目的各

13、个阶段由项目质量组和PTO专员负责对总体质量和进度进行检查。通过三个检查的共同作用来保证项目的质量和工作的进度。 质量保证组负责过程质量控制管理体系的建设和实施。质量保证组负责过程质量控制管理体系的试运行和内部审核。质量保证组和PTO专员负责监督过程质量控制管理体系的落实情况并提出整改意见。质量保证组由项目总监任命并对项目总监负责。 5.2 变更控制管理 对处于项目质量和控制管理下的变更进行控制，确保相关工作产品和项目活动状态与其保持一致，使其合理、可控制、可追溯。 变更申请一般包括以下几个步骤： 1) 提交变更申请 2) 审核变更申请 3) 识别变更可行性 4) 批准变更申

14、请 5) 实施变更申请 变更控制管理相关人员包括变更申请人、变更经理、变更可行性研究小组、变更审批小组、变更小组。其中除申请人外均由项目总监任命质量保证组和PTO专员负责。 项目总监设立PTO专员和项目质量保证组，对整个项目进行跟踪和监控。由PTO专员负责制定项目变更控制程序，对项目变更的提出、变更的审核与批准、变更的实施等各个变更控制环节的流程和内容进行规范和指导。从而保证有效地控制和管理项目变更。 5.3 项目风险管理 5.3.1 项目进度风险的管理 采用科学的方法确定进度目标，编制进度计划与资源供应计划，进行进度控制，在与质量、费用、安全目标协调的基础上，实现工期目标。 编

15、制进度计划前进行详细的项目结构分析，系统地剖析整个项目结构构成，包括实施过程和细节，系统规则地分解项目。做到明确单元之间的逻辑关系与工作关系，作到每个单元具体地落实到责任者，并能进行各部门、各专业的协调。 5.3.2 项目协作与沟通风险的管理 项目组内部、咨询小组与被咨询单位之间的适时、充分的沟通是达成项目目标、保证项目成功的重要因素。项目总监负责建立项目沟通机制，保持畅通的项目沟通渠道。 5.3.3 调研工作引入风险的管理 调研工作的开展应该以不对被测系统造成不良影响为前提。在调研工作中要遵循以下要求：XXX加强对本公司调研人员安全意识教育，提高调研实施人员主动规避风险的能力；调研开

16、始前调研人员需要被测单位确认调研对象中的关键数据已经备份。如没有备份则不进行核查；调研工作开始前对调研可能对被测系统造成的影响进行评估，如有潜在风险则不允许在被测生产系统上核查，可协调被测单位搭建测试环境进行核查；对于调研过程中可能对被测系统产生较大压力的调研动作要求必须避开业务高峰期进行；严格执行保密协议和文档交接送还制度，保证被测单位重要信息不外泄，调研过程由被测单位相关技术人员陪同，严格遵守被测单位工作纪律和操作规程。 5.4 保密控制管理 5.4.1 人员保密管理 调研活动开始前调研人员需要与被测单位签订保密协议。调研过程中严格执行保密协议规定保证被测单位信息不被披露或使用，包括

17、意外或过失。对违反保密协议的人员依法追究法律责任。 5.4.2 设备保密管理 调研活动中调研人员严格禁止出现下列行为： Ø 将涉密信息设备接入互联网及其他公共信息网络； Ø 使用非涉密信息设备存储、处理国家秘密； Ø 在涉密计算机与非涉密计算机之间交叉使用存储介质； Ø 使用低密级信息设备存储、处理高密级信息； Ø 在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备； Ø 擅自卸载涉密计算机上的安全保密防护软件或设备； 5.4.3 文档保密管理 所有重要文档集中管理，维护档案的安全与完整。 各项目小组人员在工作中形成的具有参考价值的文件、材料由个人或项目负责人整理后报文档管理人员存档。 档案工作人员必须严格遵守保密制度的规定，确保档案安全。借阅、查阅涉密文档，应严格履行领导审批 、本人登记手续。利用涉密文档者负有保密的责任，不得将文档带走或转借他人，禁止携带文档外出。文档档案一般不得复印、摘抄，如确属正常工作需要，需经有关领导批准。密文档收回后要及时入柜加锁，不得在外存放。文档工作人员发现失、泄密事件要及时报告并采取补救措施，避免或减轻损害后果。 第10页