信息技术咨询服务合同附信息安全技术咨询服务项目完成报告

1、信息技术咨询服务合同（附信息安全技术咨询服务项目完成报告）甲方： xx 公司乙方： xx 有限公司甲乙双方本着平等自愿、互利有偿、诚实守信的原则，根据中国相关法律法规的规定，经友好协商一致，甲方聘请乙方进行咨询服务，有关事项达成如下条款，以共同遵守执行：第一条咨询服务内容甲方委托乙方利用其在客户网络、信息渠道、市场操作、专业人员的知识和经验等方面的优势， 根据甲方需求，为甲方提供下列咨询服务：1.1 咨询内容：关于在中以财政合作绿色能源清洁技术项目中电厂建设和脱硫脱硝工程的技术支持及相关服务。1.2 咨询形式：乙方派遣专业技术人员提供全面完善的技术支持及服务合作。1.3 咨询要求：乙方应确保项

2、目得到顺利实施直到项目最终全面落实。第二条合同履行期限、地点和方式本合同自 20xx 年 1 月 11 日在北京开始履行。第三条甲方的权利义务3.1 阐明咨询的问题，向乙方提供技术背景材料及有关技术、数据。3.2 根据乙方的要求补充说明有关情况。3.3 提供给乙方的技术资料、数据有明显错误和缺陷，应及时修改、完善。第四条 乙方的权利义务4.1 对技术项目进行调查，参与甲方工程立项工作，讨论项目方案、可行性分析，给出技术上的意见。4.2 甲方提供的技术资料、数据有明显错误和缺陷的，应当及时通知甲方补充、修改。4.3 乙方向甲方提供的客户的相关资料，并负责完成客户的对接和协调工作。第五条 报酬及其

3、支付方式5.1 咨询服务报酬：项目总金额的1%。5.2 支付方式：项目顺利实施， 验收合格并通过相关认证审查， 甲方收到货款后 7 个工作日内支付给乙方指定账户。第六条免责条款由于国家政策变化原因或不可抗力所造成的问题， 甲乙双方不承担责任。第六条争议解决方式因履行本合同或与本合同相关的事项而产生的争议， 合同双方应本着友好之原则协商解决；协商不成的，任何一方有权本合同签订地有管辖权的法院提起诉讼，本合同签订地为北京 。委托方（甲方）：地址：邮政编码：法定代表人（或委托代理人） ：受托方（乙方）：地址：邮政编码：法定代表人（或委托代理人） ：信息安全技术咨询服务项目完成报告1项目名称：项目编号

4、：技术咨询服务对象：项目负责人：项目组成员：项目开始时间：项目结束时间：项目交付成果：甲方：代表签字：年月日乙方：代表签字：年月日目录1项目目的 .12项目依据 .13项目实施方案 .23.1技术咨询准备阶段 .23.1.1确定技术咨询范围 .23.1.2制定项目计划书 .33.2信息系统现状分析阶段.33.2.1现场调研准备活动 .33.2.2现场调研和结果记录 .33.2.3结果确认和资料归还 .33.3技术咨询报告编制阶段.44项目组织方案 .44.1项目组织结构 .44.2项目人员构成和职责 .44.3项目实施计划 .65项目质量管理和控制 .85.1过程质量控制管理 .85.2变更控

5、制管理 .85.3项目风险管理 .95.3.1项目进度风险的管理 .95.3.2项目协作与沟通风险的管理.95.3.3调研工作引入风险的管理 .95.4保密控制管理 .95.4.1人员保密管理 .95.4.2设备保密管理 .105.4.3文档保密管理 .10-I-1 项目目的XXX受 XXX的委托进行信息系统的现状分析工作，主要分析信息系统的安全防护能力，确保系统与网络的安全性和可靠性，以提供安全和可靠的服务。通过对信息安全进行现状分析，判断业务系统的防护能力是否满足与安全保护等级相对应的安全保护要求，分析总结系统现有安全防护措施存在的优势和不足，并给出整改计划，从而促进系统安全防护工作的完善

6、和提高，完善安全防护体系建设，保证信息系统的安全和有效运行。2 项目依据山东省信息安全等级保护测评工作规范（试行) 省公安厅关于信息安全等级保护工作的实施意见（公通字200466 号）信息安全等级保护管理办法（公通字 200743号）信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008 ）信息安全技术信息系统安全等级保护定级指南（GB/T 22240-2008 ）信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评过程指南国家信息化领导小组关于加强信息安全保障工作的意见( 中办发 200327号）计算机信息系统

7、安全保护等级划分准则（GB/T 17859-1999）信息安全技术信息系统通用安全技术要求（GB/T 20271-2006 ）信息安全技术网络基础安全技术要求（ GB/T 20270-2006 ）信息安全技术操作系统安全技术要求（ GB/T 20272-2006 ）信息安全技术数据库管理系统安全技术要求（GB/T 20273-2006 ）信息安全技术终端计算机系统安全等级技术要求（GB/T 671-2006 ）信息安全技术信息系统安全管理要求（ GB/T 20269-2006 ）信息安全技术信息系统安全工程管理要求（GB/T 20282-2006 ）信息安全技术信息安全风险评估规范（ GB/T

8、 20984-2007 ）第 1 页3 项目实施方案3.1 技术咨询准备阶段确定技术咨询范围为积极响应国家政策要求，创建安全健康的网络环境，建立安全管理体系，完备安全技术措施，全面提高信息安全防护能力， 本公司提供信息安全技术咨询服务，包括：信息安全等级保护服务咨询、信息安全风险评估服务咨询、信息安全管理体系建设咨询、信息安全技术体系建设咨询。技术咨询服务范围如下表所示：表 3-1技术咨询服务范围咨询范围具体内容信息系统定级信息系统备案信息安全等级保护信息系统安全现状分析信息系统建设整改信息系统等级咨询等级咨询报告编制风险评估准备资产识别信息安全风险评估威胁识别脆弱性识别已有安全措施确认安全管

9、理制度安全管理机构信息安全管理体系建设人员安全管理系统建设管理系统运维管理第 2 页物理安全网络安全信息安全技术措施建设主机安全应用安全数据安全制定项目计划书在项目计划书中明确项目实施流程、项目实施人员和项目实施时间。3.2 信息系统现状分析阶段现场调研准备活动现场调研准备活动的目标是最终审定项目实施方案、协调各种资源，正式启动现场调研工作。主要工作包括：签署现场调研授权书；召开首次会议，确定实施方案；协调各种资源，包括配合人员和需要提供的材料等。本活动中涉及的输出主要是更新后的实施方案及项目实施计划书、现场调研授权书和配合人员列表。现场调研和结果记录现场调研活动的目标是调研人员严格按照调研指

10、导书，对信息系统的调研对象进行现场调研、记录结果，并保证记录结果的真实、准确、及时和规范性。主要工作包括：进程确认、实施现场调研、记录调研证据、离场确认。本活动中涉及的输出主要是现场调研获取的各种证据。结果确认和资料归还本任务的目标是对调研证据进行汇总，查漏补缺，并对发现的问题进行现场确认，归还所有的资料文档， 现场调研工作结束。 主要工作包括：现场调研记录汇总，查漏补缺，归还所有的资料文档。本活动中涉及的输出主要是汇总的现场调研证据源记录、文档交接单。第 3 页3.3 技术咨询报告编制阶段在报告编制活动中，调研人员通过分析现场调研获得的证据和资料，判定信息系统是否达到相应安全等级的安全要求，

11、然后进行整体分析和风险分析，并提出信息系统整体改进方案。4 项目组织方案4.1 项目组织结构在本次项目中， XXX成立技术咨询项目组， 下设项目总监、 PTO专员、管理调研组、技术调研组和质量保证组。项目组织结构如下图所示：图 4-1 项目组织结构图4.2 项目人员构成和职责在项目启动任务中， XXX成立技术咨询项目组，负责该项目的规划与实施，下表为项目组成员列表：表 4-2 项目组成员列表担任职务序号姓名从业资格从业年限相关经验项目总监1PTO 专员2第 4 页管理调研组3组长管理调研组4成员技术调研组5组长技术调研组6成员7质量保证组8质量保证组9成员第 5 页4.3 项目实施计划工作阶段

12、项目准备阶段表 4-3 技术咨询项目计划表工作小组工作内容项目启动成立项目组及成员分工咨询小组编制项目计划编制系统调研表相关资料收集系统调研工作日1系统调研阶段咨询方案准备阶段现场咨询阶段咨询小组咨询小组管理咨询组系统资料整理和分析编制系统调研报告确定咨询范围确定具体的咨询对象确定咨询工作的方法准备咨询工具编制咨询方案编制咨询现场工作计划咨询方案和现场工作计划确认管理访谈管理文件查阅技术访谈324技术咨询组人工配置核查工具测试第 6 页工作阶段工作小组工作内容工作日访谈结果整理和分析查阅结果整理和分析整体安全管理分析管理咨询组不符合项整理管理咨询结论形成改进建议分析访谈结果分析现状分析阶段9核

13、查结果分析渗透结果分析技术咨询组不符合项整理技术咨询结论形成防范手段分析完成咨询报告技术部分和管理部分技术咨询组报告评审和修改技术咨询报告编制咨询小组编制技术咨询服务报告3项目材料和文档移交项目验收咨询小组项目验收总结2合计24第 7 页5 项目质量管理和控制5.1 过程质量控制管理过程自检始终穿插在过程质量控制管理体系中，它是保证过程质量的最重要方面。过程专检是在项目的各个阶段由项目质量组和PTO专员负责对本阶段工作质量和进度进行检查。过程总检是在项目的各个阶段由项目质量组和PTO专员负责对总体质量和进度进行检查。 通过三个检查的共同作用来保证项目的质量和工作的进度。质量保证组负责过程质量控

14、制管理体系的建设和实施。质量保证组负责过程质量控制管理体系的试运行和内部审核。质量保证组和PTO专员负责监督过程质量控制管理体系的落实情况并提出整改意见。质量保证组由项目总监任命并对项目总监负责。5.2 变更控制管理对处于项目质量和控制管理下的变更进行控制，确保相关工作产品和项目活动状态与其保持一致，使其合理、可控制、可追溯。变更申请一般包括以下几个步骤：1) 提交变更申请2) 审核变更申请3) 识别变更可行性4) 批准变更申请5) 实施变更申请变更控制管理相关人员包括变更申请人、变更经理、变更可行性研究小组、变更审批小组、变更小组。其中除申请人外均由项目总监任命质量保证组和PTO专员负责。项

15、目总监设立 PTO专员和项目质量保证组， 对整个项目进行跟踪和监控。 由 PTO专员负责制定项目变更控制程序，对项目变更的提出、变更的审核与批准、变更的实施等各个变更控制环节的流程和内容进行规范和指导。从而保证有效地控制和管理项目变更。第 8 页5.3 项目风险管理项目进度风险的管理采用科学的方法确定进度目标， 编制进度计划与资源供应计划， 进行进度控制，在与质量、费用、安全目标协调的基础上，实现工期目标。编制进度计划前进行详细的项目结构分析，系统地剖析整个项目结构构成，包括实施过程和细节，系统规则地分解项目。做到明确单元之间的逻辑关系与工作关系，作到每个单元具体地落实到责任者，并能进行各部门

16、、各专业的协调。项目协作与沟通风险的管理项目组内部、咨询小组与被咨询单位之间的适时、 充分的沟通是达成项目目标、保证项目成功的重要因素。项目总监负责建立项目沟通机制，保持畅通的项目沟通渠道。调研工作引入风险的管理调研工作的开展应该以不对被测系统造成不良影响为前提。在调研工作中要遵循以下要求： XXX 加强对本公司调研人员安全意识教育，提高调研实施人员主动规避风险的能力；调研开始前调研人员需要被测单位确认调研对象中的关键数据已经备份。如没有备份则不进行核查；调研工作开始前对调研可能对被测系统造成的影响进行评估，如有潜在风险则不允许在被测生产系统上核查，可协调被测单位搭建测试环境进行核查；对于调研

17、过程中可能对被测系统产生较大压力的调研动作要求必须避开业务高峰期进行；严格执行保密协议和文档交接送还制度，保证被测单位重要信息不外泄，调研过程由被测单位相关技术人员陪同，严格遵守被测单位工作纪律和操作规程。5.4 保密控制管理人员保密管理调研活动开始前调研人员需要与被测单位签订保密协议。调研过程中严格执行保密协议规定保证被测单位信息不被披露或使用，包括意外或过失。对违反保密协第 9 页议的人员依法追究法律责任。设备保密管理调研活动中调研人员严格禁止出现下列行为：将涉密信息设备接入互联网及其他公共信息网络；使用非涉密信息设备存储、处理国家秘密；在涉密计算机与非涉密计算机之间交叉使用存储介质；使用低密级信息设备存储、处理高密级信息；在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备；擅自卸载涉密计算机上的安全保密防