技术咨询服务项目完成报告.doc

信息安全技术咨询服务信息安全技术咨询服务 项目完成报告项目完成报告 项目名称： 项目编号： 技术咨询服务对象： 项目负责人： 项目组成员： 项目开始时间： 项目结束时间： 项目交付成果： 甲方：乙方： 代表签字：代表签字： 年 月 日 年 月 日 -I- 目 录 1 1项目目的项目目的 1 2 2项目依据项目依据 1 3 3项目实施方案项目实施方案.2 3.1技术咨询准备阶段2 3.1.1确定技术咨询范围2 3.1.2制定项目计划书3 3.2信息系统现状分析阶段3 3.2.1现场调研准备活动3 3.2.2现场调研和结果记录3 3.2.3结果确认和资料归还3 3.3技术咨询报告编制阶段4 4 4项目组织方案项目组织方案.4 4.1项目组织结构4 4.2项目人员构成和职责4 4.3项目实施计划6 5 5项目质量管理和控制项目质量管理和控制8 5.1过程质量控制管理8 5.2变更控制管理8 5.3项目风险管理9 5.3.1项目进度风险的管理9 5.3.2项目协作与沟通风险的管理9 5.3.3调研工作引入风险的管理9 5.4保密控制管理9 5.4.1人员保密管理9 5.4.2设备保密管理10 5.4.3文档保密管理10 第 1 页 1项目目的 XXX 受 XXX 的委托进行信息系统的现状分析工作，主要分析信息系统的安全防 护能力，确保系统与网络的安全性和可靠性，以提供安全和可靠的服务。 通过对信息安全进行现状分析，判断业务系统的防护能力是否满足与安全保护 等级相对应的安全保护要求，分析总结系统现有安全防护措施存在的优势和不足， 并给出整改计划，从而促进系统安全防护工作的完善和提高，完善安全防护体系建 设，保证信息系统的安全和有效运行。 2项目依据 山东省信息安全等级保护测评工作规范（试行)省公安厅 关于信息安全等级保护工作的实施意见（公通字 200466 号） 信息安全等级保护管理办法（公通字 200743 号） 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008） 信息安全技术 信息系统安全等级保护实施指南 信息安全技术 信息系统安全等级保护测评要求 信息安全技术 信息系统安全等级保护测评过程指南 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号） 计算机信息系统安全保护等级划分准则（GB/T 17859-1999） 信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006） 信息安全技术 网络基础安全技术要求（GB/T 20270-2006） 信息安全技术 操作系统安全技术要求（GB/T 20272-2006） 信息安全技术 数据库管理系统安全技术要求（GB/T 20273-2006） 信息安全技术 终端计算机系统安全等级技术要求（GB/T 671-2006） 信息安全技术 信息系统安全管理要求（GB/T 20269-2006） 信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006） 信息安全技术 信息安全风险评估规范（GB/T 20984-2007） 第 2 页 3项目实施方案 3.1技术咨询准备阶段 3.1.1 确定技术咨询范围 为积极响应国家政策要求，创建安全健康的网络环境，建立安全管理体系，完 备安全技术措施，全面提高信息安全防护能力，本公司提供信息安全技术咨询服务， 包括：信息安全等级保护服务咨询、信息安全风险评估服务咨询、信息安全管理体 系建设咨询、信息安全技术体系建设咨询。 技术咨询服务范围如下表所示： 表 3-1 技术咨询服务范围 咨询范围咨询范围具体内容具体内容 信息安全等级保护 信息系统定级 信息系统备案 信息系统安全现状分析 信息系统建设整改 信息系统等级咨询 等级咨询报告编制 信息安全风险评估 风险评估准备 资产识别 威胁识别 脆弱性识别 已有安全措施确认 信息安全管理体系建设 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 第 3 页 信息安全技术措施建设 物理安全 网络安全 主机安全 应用安全 数据安全 3.1.2 制定项目计划书 在项目计划书中明确项目实施流程、项目实施人员和项目实施时间。 3.2信息系统现状分析阶段 3.2.1 现场调研准备活动 现场调研准备活动的目标是最终审定项目实施方案、协调各种资源，正式启动 现场调研工作。主要工作包括：签署现场调研授权书；召开首次会议，确定实施方 案；协调各种资源，包括配合人员和需要提供的材料等。 本活动中涉及的输出主要是更新后的实施方案及项目实施计划书、现场调研授 权书和配合人员列表。 3.2.2 现场调研和结果记录 现场调研活动的目标是调研人员严格按照调研指导书，对信息系统的调研对象 进行现场调研、记录结果，并保证记录结果的真实、准确、及时和规范性。主要工 作包括：进程确认、实施现场调研、记录调研证据、离场确认。 本活动中涉及的输出主要是现场调研获取的各种证据。 3.2.3 结果确认和资料归还 本任务的目标是对调研证据进行汇总，查漏补缺，并对发现的问题进行现场确 认，归还所有的资料文档，现场调研工作结束。主要工作包括：现场调研记录汇总， 查漏补缺，归还所有的资料文档。 本活动中涉及的输出主要是汇总的现场调研证据源记录、文档交接单。 第 4 页 3.3技术咨询报告编制阶段 在报告编制活动中，调研人员通过分析现场调研获得的证据和资料，判定信息 系统是否达到相应安全等级的安全要求，然后进行整体分析和风险分析，并提出信 息系统整体改进方案。 4项目组织方案 4.1项目组织结构 在本次项目中，XXX 成立技术咨询项目组，下设项目总监、PTO 专员、管理调 研组、技术调研组和质量保证组。项目组织结构如下图所示： 图 4-1 项目组织结构图 4.2项目人员构成和职责 在项目启动任务中，XXX 成立技术咨询项目组，负责该项目的规划与实施，下 表为项目组成员列表： 表 4-2 项目组成员列表 担任职务担任职务序号序号姓名姓名从业资格从业资格从业年限从业年限相关经验相关经验 项目总监 1 PTO 专员 2 第 5 页 管理调研组 组长 3 管理调研组 成员 4 技术调研组 组长 5 6 技术调研组 成员7 质量保证组 8 质量保证组 成员 9 第 6 页 4.3项目实施计划 表 4-3 技术咨询项目计划表 工作阶段工作阶段工作小组工作小组工作内容工作内容工作日工作日 项目启动 成立项目组及成员分工 编制项目计划 项目准备阶段咨询小组 编制系统调研表 1 相关资料收集 系统调研 系统资料整理和分析 系统调研阶段咨询小组 编制系统调研报告 3 确定咨询范围 确定具体的咨询对象 确定咨询工作的方法 准备咨询工具 编制咨询方案 编制咨询现场工作计划 咨询方案准备阶段咨询小组 咨询方案和现场工作计划确认 2 管理访谈 管理咨询组 管理文件查阅 技术访谈 人工配置核查 现场咨询阶段 技术咨询组 工具测试 4 第 7 页 工作阶段工作阶段工作小组工作小组工作内容工作内容工作日工作日 访谈结果整理和分析 查阅结果整理和分析 整体安全管理分析 不符合项整理 管理咨询结论形成 管理咨询组 改进建议分析 访谈结果分析 核查结果分析 渗透结果分析 不符合项整理 技术咨询结论形成 技术咨询组 防范手段分析 完成咨询报告技术部分和管理部分 现状分析阶段 技术咨询组 报告评审和修改 9 技术咨询报告编制咨询小组编制技术咨询服务报告 3 项目材料和文档移交 项目验收咨询小组 项目验收总结 2 合计合计 24 第 8 页 5项目质量管理和控制 5.1过程质量控制管理 过程自检始终穿插在过程质量控制管理体系中，它是保证过程质量的最重要方 面。过程专检是在项目的各个阶段由项目质量组和 PTO 专员负责对本阶段工作质量 和进度进行检查。过程总检是在项目的各个阶段由项目质量组和 PTO 专员负责对总 体质量和进度进行检查。通过三个检查的共同作用来保证项目的质量和工作的进度。 质量保证组负责过程质量控制管理体系的建设和实施。质量保证组负责过程质 量控制管理体系的试运行和内部审核。质量保证组和 PTO 专员负责监督过程质量控 制管理体系的落实情况并提出整改意见。质量保证组由项目总监任命并对项目总监 负责。 5.2变更控制管理 对处于项目质量和控制管理下的变更进行控制，确保相关工作产品和项目活动 状态与其保持一致，使其合理、可控制、可追溯。 变更申请一般包括以下几个步骤： 1) 提交变更申请 2) 审核变更申请 3) 识别变更可行性 4) 批准变更申请 5) 实施变更申请 变更控制管理相关人员包括变更申请人、变更经理、变更可行性研究小组、变 更审批小组、变更小组。其中除申请人外均由项目总监任命质量保证组和 PTO 专员 负责。 项目总监设立 PTO 专员和项目质量保证组，对整个项目进行跟踪和监控。由 PTO 专员负责制定项目变更控制程序，对项目变更的提出、变更的审核与批准、变 更的实施等各个变更控制环节的流程和内容进行规范和指导。从而保证有效地控制 和管理项目变更。 第 9 页 5.3项目风险管理 5.3.1 项目进度风险的管理 采用科学的方法确定进度目标，编制进度计划与资源供应计划，进行进度控制， 在与质量、费用、安全目标协调的基础上，实现工期目标。 编制进度计划前进行详细的项目结构分析，系统地剖析整个项目结构构成，包 括实施过程和细节，系统规则地分解项目。做到明确单元之间的逻辑关系与工作关 系，作到每个单元具体地落实到责任者，并能进行各部门、各专业的协调。 5.3.2 项目协作与沟通风险的管理 项目组内部、咨询小组与被咨询单位之间的适时、充分的沟通是达成项目目标、 保证项目成功的重要因素。项目总监负责建立项目沟通机制，保持畅通的项目沟通 渠道。 5.3.3 调研工作引入风险的管理 调研工作的开展应该以不对被测系统造成不良影响为前提。在调研工作中要遵 循以下要求：XXX 加强对本公司调研人员安全意识教育，提高调研实施人员主动规 避风险的能力；调研开始前调研人员需要被测单位确认调研对象中的关键数据已经 备份。如没有备份则不进行核查；调研工作开始前对调研可能对被测系统造成的影 响进行评估，如有潜在风险则不允许在被测生产系统上核查，可协调被测单位搭建 测试环境进行核查；对于调研过程中可能对被测系统产生较大压力的调研动作要求 必须避开业务高峰期进行；严格执行保密协议和文档交接送还制度，保证被测单位 重要信息不外泄，调研过程由被测单位相关技术人员陪同，严格遵守被测单位工作 纪律和操作规程。 5.4保密控制管理 5.4.1 人员保密管理 调研活动开始前调研人员需要与被测单位签订保密协议。调研过程中严格执行 保密协议规定保证被测单位信息不被披露或使用，包括意外或过失。对违反保密协 第 10 页 议的人员依法追究法律责任。 5.4.2 设备保密管理 调研活动中调研人员严格禁止出现下列行为： 将涉密信息设备接入互联网及其他公共信息网络； 使用非涉密信息设备存储、处理国家秘密； 在涉密计算机与非涉密计算机之间交叉使用存储介质； 使用低密级信息设备存储、处理高密级信息； 在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备； 擅自卸载涉密计算机上的安全保密防护软件或设备； 5.4.3 文档保密管理 所有重要文档集中管理，维