某化工集团公司信息安全服务项目实施方案

某化工集团公司信息安全服务项目vi项目编号：某化工集团公司信息安全服务项目实施方案目录TOC\o"1-6"\h\z\u7471第一章实施方案及维保措施 6127071.1对本项目相关业务和需求的理解和认识 6231571.1.1项目背景及理解 626656项目背景 613990项目背景理解 6298731.1.2项目目标及理解 719754项目目标 77589项目目标理解 7106091.1.3项目原则 7116501.1.4工作依据 834221.1.5项目范围 8169761.1.6项目内容及理解 87131项目内容 81092项目内容理解 944411.1.7服务方式 9263301.1.8项目重点与难点分析 10166491.2本项目的技术解决方案 11285691.3项目实施策略和实施方案 1512871.3.1信息化项目建设周期安全管控 156163信息化项目建设周期安全管控方案编制 15220.1工作目标 1519689.2工作内容 1520728.3工作方法 1522995.4工作成果 1622295.5资源投入 1621244项目全生命周期安全服务 164780.1工作目标 1620020.2工作内容 1711717.3工作方法 174808.4工作成果 2127150.5资源投入 21238061.3.2代码审计服务 2114037工作目标 2131367工作内容 2116446工作方法 2228515工作成果 232312资源投入 2338531.3.3信息安全专家服务 2327539系统定级服务 235101.1工作目标 231037.2工作内容 2320313.3工作方法 2421729.4工作成果 287860.5资源投入 2816362等级保护咨询服务 2830314.1现状调研 28503.1.1工作目标 286612.1.2工作内容 282973.1.3工作方法 323924.1.4工作成果 3710604.1.5资源投入 376686.2差距分析 3716131.2.1工作目标 373986.2.2工作内容 3713212.2.3工作方法 3719470.2.4工作成果 4025594.2.5资源投入 4027550.3风险评估 4019693.3.1工作目标 4019709.3.2工作内容 4031426.3.3工作方法 4122975.3.4工作成果 5827991.3.5资源投入 599368.4体系设计 5923978.4.1工作目标 5914114.4.2工作内容 5931011.4.3工作方法 6229329.4.4工作成果 642024.4.5资源投入 6417197信息安全体系优化顾问服务 6524306.1工作目标 659365.2工作内容 6517352.3工作方法 659488.4工作成果 6622274.5资源投入 66185571.3.4等级保护测评服务 671033工作目标 6728573工作内容 6710157.1现场测评 6720168.1.1物理安全 6727779.1.2网络安全 685977.1.3主机安全 694914.1.4应用安全 6920809.1.5数据安全及备份恢复 7019982.1.6安全管理制度 703795.1.7安全管理机构 7021176.1.8人员安全管理 7112829.1.9系统建设管理 716560.1.10系统运维管理 7232052.2测评协助 7417040工作方法 749952.1现场测评 743765.2测评协助 7617176工作成果 789147资源投入 7810561.3.5信息安全培训服务 7810484工作目标 7816796工作内容 785804工作方法 7923826工作成果 814367资源投入 81131341.4项目实施计划和进度安排，项目进度和质量控制方案 82193321.4.1项目实施计划和进度安排 8253551.4.2项目进度控制方案 83188961.4.3项目质量控制方案 8425161质量监督保证体系 8429715.1质量保证的基本思想 8527393.2XX质量保证体系文件结构 861925项目质量管理保证措施 8823426.1人员管理措施 886814.2问题管理措施 8817668.3过程管理措施 89977项目质量保证计划 8928128.1质量规划 9023291.2质量控制 9030147.3质量保证 914947.4质量计划 9229782.5评审计划 9323016针对本项目的质量保证措施 9312551.5项目相关的培训内容、技术支持服务内容及服务保障方法 9571981.5.1项目培训方案 95580培训目标 955732培训对象 9526746培训形式 9624642培训计划 968831培训过程 97174041.5.2技术支持及服务保障方案 9814365服务目标 9824161服务原则与策略 9932335.1服务原则 9922085.2服务策略 995975技术支持与服务体系 9926800服务方式 10010404.1热线电话/传真 10114269.2服务专用邮箱 1017360.3现场支持服务 10131039服务质量保障 10214815保密和知识产权管理 10319353.1保密管理 10322987.1.1文档安全保密管理 10327262.1.2人员安全保密管理 10413886.1.3技术安全保密管理 1052662.2知识产权管理 1055348服务网络 1056399服务优势 10614491服务承诺 10820972.1人员承诺 10827067.2服务承诺 109211171.6售后服务 111136551.6.1服务计划及流程 111277351.6.2服务响应流程 111某化工集团公司信息安全服务项目PAGE20实施方案及维保措施对本项目相关业务和需求的理解和认识项目背景及理解项目背景某化工集团公司（以下简称“公司”）作为中国最大的基础化学制造企业，经过多年信息化建设，已建成众多业务系统，服务于公司各项核心业务，有力的支撑了公司的发展，在公司信息化项目的建设管理过程中，也逐渐形成了完善的项目管理机制。随着公司业务快速发展，每年都会有大量新建、在建、拟建信息系统纳入项目管理体制中，但在当前的信息化项目建设周期中，缺乏针对性的信息安全监管手段，对信息化项目的可研、立项、招标、开发及建设、验收、上线等各阶段缺乏信息安全方面的有效管控，导致信息系统安全定级、备案、安全方案编制、评审、安全建设、上线检测、代码审计等工作无法落地，给项目后续的安全管理带来较大挑战。习近平总书记指出“没有网络安全就没有国家安全，没有信息化就没有现代化”。在当前复杂的网络安全形势下，中央企业当自觉适应国家有关要求，强化信息安全主体责任，维护好自身范围内网络与信息安全。自XXXX年6月1日起，《网络安全法》正式颁布实施，对信息保护、系统建设、运营管理等都提出了信息安全的责任和义务，并可依法追究信息安全管理不当的主体责任。为了认真贯彻落实《网络安全法》，解决公司自身信息化建设过程中的网络安全短板，当前应切实做好公司信息化项目建设周期中各阶段的网络安全管理工作。项目背景理解从项目背景上来看，某化工集团公司开展某化工集团公司信息安全服务项目主要包括两方面的因素：内部因素某化工集团公司在当前的信息化项目建设周期中，缺乏针对性的信息安全监管手段，导致信息系统建设和运维全生命周期过程中涉及的各项工作无法落地，给项目后续的安全管理带来较大挑战。外部因素习近平总书记明确提出“没有网络安全就没有国家安全，没有信息化就没有现代化”，并颁布实施《网络安全法》，从法律层面明确网络安全管理的重要性。为响应国家号召，贯彻落实《网络安全法》的相关要求，解决某化工集团公司自身信息化建设过程中的网络安全短板，某化工集团公司需切实做好信息化项目建设周期中各阶段的网络安全管理工作。项目目标及理解项目目标在信息化项目全生命周期过程中强化信息安全管理，使信息安全管理措施贯穿项目管理全过程中，切实保障公司重要信息化项目有序、规范地实施，信息系统安全上线和稳定运行，提供代码审计、信息安全等级保护测评及信息安全培训等相关服务工作。项目目标理解针对某化工集团公司信息安全服务项目，我方理解本项目的核心建设目标是：通过邀请第三方安全服务方的方式对某化工集团公司信息化项目建设周期的不同阶段提供安全咨询和顾问服务，对项目的可研立项、招标、签订合同、采购、开发及建设、试运行、验收、上线运行等过程进行信息安全的把关，“保证安全技术措施同步规划、同步建设、同步使用，安全管理措施贯穿项目管理全过程”，切实保障公司重要信息化项目有序、规范地实施，信息系统安全上线和稳定运行。项目原则以业务为核心、合规为基础、风险为导向开展本项目安全服务。本项目实施过程中需满足的具体要求如下：可控性原则实施方法和过程需要在双方认可的范围之内，各项安全服务进度要严格按照工作计划执行，保证安全服务工作的可控性；规范性原则实施过程和交付物文档，要求具有标准规范性，便于项目的跟踪与控制；保密原则必须对项目实施中产生的数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害中国化工的行为，否则中国化工有权追究其相应法律责任。工作依据《中华人民共和国网络安全法》《信息安全风险评估与服务规范》《计算机信息系统安全保护等级划分准则》《信息安全技术信息系统安全等级保护定级指南》《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全技术信息系统等级保护安全设计技术要求》ISO/IEC27000系列标准ISO/IEC20000系列标准……项目范围本项目业务范围为：集团公司信息安全服务。本项目服务期限为：1年。项目内容及理解项目内容对公司信息化项目建设的全生命周期过程进行安全把控，实现项目安全管理。代码审计服务，对信息化项目中涉及系统开发项目进行源代码安全审计工作。提供信息安全专家服务，对公司新建系统提供系统定级工作、等保咨询工作及信息安全支持工作。提供年度信息安全等级保护测评服务，邀请符合国家要求的第三方安全测评机构对2个三级信息系统开展测评工作，验证业务系统的安全防护水平是否达到国家有关规定和标准的要求。根据业务需要提供相应的信息安全培训服务。项目内容理解我方针对本项目的服务内容理解为：对某化工集团公司的项目安全管控情况进行调研、评估、分析，完成管控方案的编制，用以指导项目全生命周期内的安全服务工作，并实施项目管控试点，建立各阶段的响应安全规范。通过对信息化项目中涉及开发的业务系统的源代码开展安全扫描工作，发现源代码中存在的语义缺陷、安全漏洞的安全风险，并提出对应的整改建议，对整改后的源代码实施复查工作。我方通过提供信息安全专家服务，对公司新建系统提供系统定级服务、等级保护咨询服务等，包括对定级系统开展业务分析、系统分析、定级确认、编制定级报告及各类文档、定级培训；对新建系统进行现状调研、风险评估、差距分析、体系设计等工作。按照公司要求，邀请符合国家要求的第三方测评机构对指定的2个三级系统开展测评工作，验证其是否满足国家有关规定和标准的要求。按照信息安全管理工作需要，对相关人员开展信息安全专业知识及意识培训工作，提升其信息安全意识。服务方式本项目采取框架服务模式。即与中标服务商签署框架服务协议，明确框架内的量化任务，年底根据任务完成情况进行评价，扣除未完成或未开展的任务后再支付。超出框架的任务按照统一标准额外支付。项目重点与难点分析根据本次项目建设范围和建设内容，结合XX公司以往在大型安全咨询和安全集成项目中的实施经验，我方认为在本项目建设过程中存在以下重点与难点：现状调研与技术交底工作是项目前期工作的重点。本次项目中现状调研和技术交底工作主要针对两方面，一方面是对中国化工的项目安全管控情况进行调研、评估、梳理，另一方面是对中国化工的新建系统开展现状调研工作。因此，在项目实施过程中，需与各方人员（包括业务人员、管理人员、开发商等）深度配合，指导并参与到项目全生命周期安全服务工作过程中，充分与用户方一起完成技术交底工作，梳理信息安全现状与等级保护要求之间的差距和不足，为后续信息化项目建设周期安全管控试点和体系设计工作提供基础数据。严格执行项目进度把控是项目工作的重点。项目进度的控制不仅取决于技术能力、服务水平，很大程度上受到对范围控制是否有效、对项目投入（包括人员时间的投入和资金等的投入）是否足够等方面的影响。因此，将充分考虑各种潜在因素，适当留有余地；任务分解详细度适中，便于考核；在执行过程中，与多方人员沟通确定项目进度计划，强调项目按进度执行的重要性，在考虑任何问题时，都将保持进度作为先决条件；同时，合理利用赶工及快速跟进等方法，充分利用资源。对接人员安全意识不一是项目实施的难点。在项目实施过程中，对接的业务人员对安全知之甚少，重点关注系统的业务功能实现及系统的易用性；对接的开发技术人员对安全有一定的感知，但并不注重，只考虑实现业务人员关于系统业务方面的需求，对安全开发过程中的安全实现，开发水平不一。因此，我方将在项目实施过程中，为开发技术人员提供安全技术指导，并对项目范围内涉及的所有人员进行安全意识的传递，提升相关人员的信息安全意识。本项目的技术解决方案XX计算机股份有限公司在长久以来服务国家政府机关、央企及重要行业信息化的工作实践的基础上，通过对大型信息系统等级保护方案设计、整改建设的工作积累，以及对国家信息安全等级保护政策标准的深刻理解，总结出了一整套的适合政府机关、大型组织信息安全建设的整套方法论。该方法论的核心思想是：围绕信息系统风险可控的终极目标，构建出信息安全风险控制总体框架，参照国家等级保护制度和信息安全风险管理的安全标准、技术指南或信息安全最佳实践，从管理、技术、运维三个层面出发，在组织内部建立完善的信息安全风险管理与评估体系。具体方法论如图示：根据某化工集团公司信息安全服务项目的实际业务安全需求，以等级保护为基础，以风险管理为核心，设计全方位的信息安全保障体系，最终实现风险可控。建立起动态的、系统的、全员参与的信息安全保障体系，用最低的成本达到可接受的信息安全防护。首先，确定信息安全建设目标为风险可控，然后遵循等级保护政策及标准，参考ISO27000、ISO20000、ITIL、COBIT等国际标准，借鉴国内信息安全领域多年的最佳实践，使自身的信息安全水平获得整体提升。最终通过管理体系、技术体系和运维体系的建设，实现风险可控。在日常的信息安全管理、建设、运维工作中利用PDCA模型（Plan-Do-Check-Act，规划—实施—监查—改善），不断积累风险管理知识库、信息安全知识库和运维知识库，以保障自身的安全防护能力。通过风险管理方法论实现：一个核心目标：通过信息安全建设达到风险可控。三个保障体系：从管理、技术和运维三个方面保障信息系统安全、稳定、高效的运行。两类依据：国家等级保护相关政策、标准；国际信息安全标准。四个信息安全保障工具：一体化风险管理平台、信息安全综合监管平台、统一用户管理平台、综合运维管理平台。信息安全保障体系的建设是一个动态的平衡过程，我们既要考虑眼前，也要考虑企业长远的安全规划和国家对信息安全的监管需要。通过信息安全风险管理系统为信息安全等级保护工作的全阶段、全过程进行综合监管，覆盖了等级保护工作的方方面面，最终实现信息安全等级保护工作日常化、常态化。三套知识库：信息安全知识库、风险管理知识库、运维知识库。知识经验的总结、维护和共享是提高员工信息安全、风险管理、运维技能水平，增强凝聚力的重要手段，也是把宝贵的经验、教训逐步沉淀、固化的重要方式。在本项目中，我方主要参照等级保护、ISO27000、ISO20000、COBIT等标准开展项目实施工作。等级保护相关标准多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制定了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。ISO/IEC27000系列ISO/IEC27000系列，是目前最权威的一套国际信息安全管理标准集，也是世界上从全盘考虑的安全控制管理的最佳行业实践。此标准日臻完善，列入规划的有40余部标准，涉及到信息安全管理相关的方方面面，如信息安全管理体系要求、实用规则、实施指南、有效性测量、风险管理、审核指南、信息安全治理、云计算安全等。ISO/IEC27000系列主要包括以下内容：COBITCOBIT是目前国际上通用的信息系统审计的标准，是一组由国际信息系统审计协会（ISACA）和IT治理协会ITGI联合开发的IT管理控制目标集。COBIT是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，它定义了控制目标，使用这些控制目标可以正确管理IT并能确保IT到业务需求的映射，它与商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。COBIT提出了34个高层控制imubiao，每个目标都针对特定的IT过程；这些高层控制目标又可分成4个领域：计划和组织、获得与实现、交付与支持、监控与评价，这个体系覆盖了信息及其相关技术的所有方面。通过实现着34个高层控制目标，业务过程所有者可以确保为IT环境提供一个充分的控制系统。COBIT为组织提供了目标和指导，可以按照这些规则购买、安装、测试和认可IT产品。这是相当强大的，因为现在大多数组织都在使用临时的和非正式的方式进行采购和开展流程。对于IT治理，COBIT提供了一个“检查列表”的方法，也就是在实现不同的IT功能时，需要提供一系列经过深思熟虑完成的材料。COBIT规定了执行摘要、管理指南、框架、控制目标、实现工具集、性能指标、成功因素、成熟度模型和审计准则，它勾画了一个完整的可以遵循的路线图来完成这种模式涉及的34个控制目标中的一个。ISO/IEC20000系列ISO20000，即“信息技术服务管理体系标准”，是面向机构的IT服务管理标准。ISO20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。ISO20000标准着重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务水准协议进行计划、推行和监控，并强调与客户的沟通。该标准同时关注体系的能力，体系变更时所要求的管理水平、财务预算、软件控制和分配。某化工集团公司信息安全服务项目项目实施策略和实施方案信息化项目建设周期安全管控信息化项目建设周期安全管控方案编制工作目标通过对某化工集团公司信息化项目安全管理现状进行深入调研、分析，梳理其安全管理现状方面存在的不足、优势，结合多年信息安全管控的经验，完成《信息化项目建设周期安全管控方案》的编制工作，用于指导项目开展项目周期内的安全服务工作。工作内容本项服务工作主要包括两方面的内容：一方面对中国化工的项目安全管控情况进行调研、评估、分析，编制《信息化项目建设周期安全管控方案》用以指导项目开展项目周期内的安全服务工作，并开展评审工作。另一方面，对核心安全规范（如安全开发规范等）进行补充，具体规范的类别及数量根据实际调研结果经过甲方论证后确认。工作方法本项服务内容主要采用以下几种方法开展工作，在具体项目实施过程中，将参考某化工集团公司的实际工作模式，选择适当的调研方法。文档审核我方咨询顾问通过对某化工集团公司信息安全管理相关文档的收集与检查，获取大量的安全需求，为深入访谈调研等做好准备。获取的文档包括但不限于以下内容：信息安全管理制度文档；安全规范文档等。人员访谈通过对相关人员（包括领导、项目接口人等）进行人员访谈，快速了解信息安全管控的现状及各类用户对本项目的期望。在访谈前，我方将拟定各类人员具体的访谈纪要提纲，项目组内部讨论确认后，发放提纲让相关人员提前准备，并安排访谈人员和访谈时间；执行现场访谈时，每场访谈1小时左右，一般两名顾问参与，一人主要负责沟通询问，另一人主要负责记录；访谈结束后，我方将根据访谈结果编制访谈纪要，交由访谈对象进行签字确认。问卷调研对于采用人员访谈方式不方便的用户，将采用问卷调研的方式，问卷调研可根据需要设计多种形式，如Word、excel等，在问卷中将进行必要内容的备注，辅助调研对象理解调研内容。小组会议我方咨询顾问在项目实施过程中，与客户协同组织召开小组会议，讨论具体问题，达成问题共识。工作成果《信息化项目建设周期安全管控方案》《信息化项目**安全规范》等一系列具体规范（具体规范的类别及数量根据实际调研结果经过甲方论证后确认）资源投入鉴于本阶段的重要性，我方安排2人（赫言、陈楠）参与本项服务内容的实施，具备丰富的项目信息安全管控经验，均拥有cisp、ITIL等资质证书。项目全生命周期安全服务工作目标针对信息化项目各个阶段的安全管控提出信息安全整改建议，并通过项目试点，建立各阶段相应安全规范。工作内容依据拟定的《信息化项目建设周期安全管控方案》，在信息化项目全生命周期中，根据各信息化项目的实际情况对各阶段的信息安全工作进行管理，在可研立项、需求分析、规划设计、系统设计、编码开发、系统测试、系统上线及建设实施、项目验收等各阶段，相应地给出信息安全整改建议，进行信息安全相关的管控工作。并通过项目试点，建立各阶段的相应安全规范。工作方法信息化项目按类型分为开发类项目、系统集成类项目，按照项目类型，对信息化项目全生命周期的各个环节的信息安全工作进行管理。并实施项目试点，建立各阶段的相应安全规范。开发类项目系统开发类项目的建设全生命周期包括：可研立项、需求分析、系统设计、编码开发、系统测试、系统上线等阶段，在不同阶段需要开展相应安全工作，实现项目安全管理，如下图所示：在不同阶段对开发类项目进行安全把控，其重点任务包括以下几个方面：可研立项阶段在业务系统建设可研立项阶段，我方结合某化工集团公司拟新建业务系统的业务需求，完成：初步分析该业务系统的业务信息及系统服务要求，判断该信息系统的重要程度和等级保护安全防护级别；指导完成系统预定级等工作。明确防护目标，为后续开展安全需求分析及系统设计提供依据。需求分析阶段我方在明确业务系统安全防护目标的基础上，完成：业务系统安全需求分析，充分挖掘业务系统的业务安全需求、数据安全需求、业务连续性需求、合规性需求；协助某化工集团公司邀请内外部安全专家开展业务系统安全需求评审，对安全需求进行正确性及适用性验证，使业务系统相关方彻底理解安全需求，并达成一致，降低需求风险。系统设计阶段在系统设计阶段，我方结合安全需求分析，完成：监督指导软件开发商开展业务系统的系统风险分析及安全功能设计工作。系统风险分析主要从技术及管理两个方面开展，安全功能包括业务系统的密码策略及配置、访问控制策略及配置、安全审计策略及配置、软件容错、抗抵赖、数据完整性及数据保密性等。编码开发阶段在业务系统的编码开发阶段，我方主要完成：安全编码培训，安全编码培训主要是对开发人员及相关管理人员就安全开发意识、应用系统安全要求、系统安全开发规范等进行培训，使业务系统建设相关方具备较高的安全开发全意识，明确安全开发关键事项。系统测试阶段在系统测试阶段，我方完成：系统安全功能测试，结合业务系统安全功能需求，对业务系统密码策略配置、访问控制策略配置、安全审计策略配置、资源控制配置、软件容错、数据完整性及保密性等安全功能进行测试，确认其可用性及合规性。代码安全扫描测试，通过对业务系统源代码进行安全扫描，对其存在的语义缺陷、安全漏洞等进行快速查找、定位和修复应用代码中存在的安全风险。安全渗透测试，通过模拟黑客行为，对目标业务系统进行攻击测试，验证目标系统的漏洞和安全控制措施的有效性。系统上线阶段在业务系统正式上线前，我方完成：安全基线检查，在开展业务系统安全基线检查前，需首先根据业务系统的安全目标和安全需求，定义业务系统安全基线。根据该安全基线，对业务系统的安全策略进行核查，整改不达标项，使业务系统安全策略整体符合基线要求。漏洞检测，确认业务系统是否无中危及以上的安全漏洞。渗透测试，验证业务系统的漏洞修复和安全控制措施的有效性。等级保护测评，业务系统正式上线后，通过邀请第三方安全测评机构开展测评工作，验证业务系统的安全防护水平是否达到国家有关规定和标准的要求。工程类项目工程类项目的全生命周期包括可研立项、规划设计、建设实施、项目验收四个阶段，在不同阶段，开展相应工作，实现项目安全管理，如下图所示：在不同阶段对项目进行部分安全把控，其重点任务包括以下几个方面：可研立项阶段在可研立项阶段，我方结合某化工集团公司拟开展的工程项目要求，完成：1. 该工程项目建设需求对现有网络架构及安全策略的影响分析。2.安全目标合理性、安全建设内容合规性、安全手段合理性、安全效果预评估。3.安全预算合理性。规划设计阶段在规划设计阶段，我方结合影响分析，完成：指导承建商开展安全工程或集成需求分析。监督指导承建商开展风险分析及设计规划工作，并规划设计方案进行审核。协助某化工集团公司开展工程项目规划设计方案的评审工作。建设实施阶段在建设实施阶段，我方主要完成：协助用户完成建设实施方案的审核，主要对实施方案中是否有违背某化工集团公司现有安全策略的内容进行审核。如本工程项目涉及应用系统的集成，在应用系统上线前，应按照开发类的系统测试模块相关安全把控要求开展相应工作。项目验收阶段在预验收阶段，我方主要完成：对工程项目的安全策略进行核查，确保满足安全合规要求。对项目文档进行核查，确认安全部分的文档内容与实际情况相符，并满足安全规范需求。如果系统涉及到第三方等级保护测评，则需协助准备测评材料、组织建设商进行安全整改、进行自测评、并在现场测评阶段提供现场服务；在测评之后指导建设商根据测评结果进行信息安全整改和完善。工作成果项目试点，建立各阶段相应的安全管理规范项目信息安全管控落地方案资源投入鉴于本阶段的重要性，我方安排3人（陈楠、徐玉慧、李强）参与本项服务内容的实施。代码审计服务工作目标通过对某化工集团公司信息化项目中涉及开发的业务系统的源代码开展安全扫描工作，及时发现源代码中存在的语义缺陷、安全漏洞等安全风险。工作内容代码审计，通过对信息化项目中涉及开发的业务系统的源代码进行安全扫描，对其存在的语义缺陷、安全漏洞等安全风险进行快速查找、定位并给出整改建议。对整改后的源代码进行代码审计复核。主要包括以下两项工作内容：代码审计代码审计工作主要提供缺陷检测、溯源检测等方面的服务。缺陷检测缺陷检测的内容包括但不限于：SQL注入/脚本注入、XSS漏洞（跨站脚本攻击）、弱加密、弱授权/不正确的权限或访问控制表、命令注入、文件名过滤、Xpath注入、XXE漏洞、代码执行、命令执行、远程/本地文件包含、文件上传漏洞、文件读取（下载）漏洞、文件删除漏洞、越权漏洞、重置密码漏洞、目录列表应用等。溯源检测检测信息化项目中涉及开发的业务系统的源代码中是否引用了开源代码，并检测引用的开源代码模块存在的安全漏洞。安全验证在相关开发人员根据整改建议对相关源代码开展整改工作后，对整改后的源代码进行代码审计复核。工作方法源代码审计工作主要包括以下几个步骤：代码审核准备我方编制源代码审计方案，明确源代码审计的步骤、方法、内容等事宜，并提交用户审核。某化工集团公司相关人员根据实际需求，准备待检测系统的源代码。执行代码审核源代码审计方案审核通过后，在用户相关人员的监督、配合下，开展源代码审计工作，发现源代码中存在的语义缺陷、安全漏洞等安全风险，并进行快速查找、定位，提出针对性的整改建议。代码问题整改相关开发商根据我方提供的整改建议落实源代码的整改工作。代码审计复核我方对整改后的源代码开展代码审计复核，检查之前发现的语义缺陷、安全漏洞等问题是否得到修复，是否出现了新的安全风险，若仍存在问题，需进行新一轮的整改、复核工作。总结分析多方人员沟通、交流，对本次代码审计工作进行总结分析，汇总开发过程中可能存在的漏洞及针对性的解决办法，为后续系统开发提供参照意见。工作成果代码审计报告及整改建议资源投入鉴于本阶段的重要性，我方安排2人（孟伟莎、李强）参与本项服务内容的实施，均具备丰富的开发经验。信息安全专家服务本次项目中的信息安全专家服务主要包括两方面的内容：新建系统本着“同步建设、同步实施”的原则，在开展系统建设的同时，开展信息安全保障体系的建设工作。投标人需对新建系统提供系统定级服务、等保咨询服务。提供信息安全体系优化顾问服务。系统定级服务本章节遵循招标要求，详细阐述了针对某化工集团公司年度内新建系统进行定级的目标、内容、方法、资源投入以及工作成果，详细叙述了系统定级的工作方法，包括：摸底调查、确定定级对象、确定定级要素对定级进行评审等方法和流程。工作目标在完成对某化工集团公司年度内新建系统的现状梳理后，我方将针对调研结果对新建系统开展等级保护的定级工作。结合新建系统业务情况，分析业务信息安全和系统服务安全受到破坏时的所侵害的客体，明确业务信息安全和系统服务安全等级，确定年度内新建系统的安全保护等级，并编制定级报告及各类定级文档。工作内容我方将根据前期现状梳理的结果，参照《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008），从业务信息安全和系统服务安全两方面，和与之相关的受侵害客体和对客体的侵害程度可能不同对某化工集团公司本年度内新建系统进行安全等级的确定，即：从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。工作方法开展应用系统的基本情况摸底调查在前期现状调研过程中，应考虑梳理系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，在掌握了应用系统的基本情况后，按照《信息安全等级保护管理办法》（公通字[2007]43号）和《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）的要求，从某化工集团公司的角度，协助开展应用系统定级工作。遵循标准定级流程我方咨询顾问在协助系统定级工作时将按照以下阶段进行：确定作为定级对象的信息系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；依据业务信息安全保护等级矩阵表，得到业务信息安全保护等级；确定系统服务安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；依据系统服务安全保护等级矩阵表，得到系统服务安全保护等级；将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。以上步骤为确定信息系统安全保护等级的一般流程，如下图所示：33、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级1、确定定级对象确定定级对象根据《信息系统安全等级保护定级指南》，对“公民、法人和其他组织的合法权益”、“社会秩序、公共利益”、“国家安全”产生侵害的重要业务信息和系统服务信息进行梳理、分析和确定，以审核其拟定级的对象是否合适。作为定级对象的信息系统应具有如下基本特征：具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。分析确认受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力；其他影响国家安全的事项。侵害社会秩序的事项包括以下方面：影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序；影响各行业的科研、生产秩序；影响公众在法律约束和道德规范下的正常生活秩序等；其他影响社会秩序的事项。影响公共利益的事项包括以下方面：影响社会成员使用公共设施；影响社会成员获取公开信息资源；影响社会成员接受公共服务等方面；其他影响公共利益的事项。影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。分析审核侵害程度根据分析确定的信息系统，确定其受到危害时的侵害程度，主要包括以下等级：一般损害工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。严重损害工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。确定安全保护等级根据前面流程受侵害的客体及客体受侵害的程度明确业务信息安全保护等级和系统服务安全保护等级，系统的安全保护等级取业务信息安全保护等级和系统服务安全保护等级的较高者。审核确认应用系统的安全保护等级明确后，需与相关用户进行沟通、确认，保证系统的定级结果得到用户的认可。工作成果《**系统定级报告》资源投入鉴于本阶段的重要性，我方安排6人（赫言、陈楠、孟伟莎、刘璐、徐玉慧、李强）参与本项服务内容的实施，均具备丰富的系统定级经验。等级保护咨询服务等级保护咨询服务主要对年度内各新建系统进行现状调研、风险评估、差距分析、等保信息安全体系设计工作。现状调研工作目标通过全面细致的调研，对某化工集团公司年度内新建系统的信息安全现状进行详细梳理，根据《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等相关要求，针对基础环境、物理机房、网络环境、数据安全、应用系统、组织结构、管理制度及执行等进行全面调研，了解各新建系统的业务现状及信息安全现状等，为后续差距分析、风险评估和体系设计提供基础信息。工作内容现状调研工作将通过文档分析、人员访谈、问卷调查、现场走查、技术评估等方式全面调查和分析某化工集团公司年度内新建系统的信息安全现状。文档分析将收集某化工集团公司年度内新建系统相关的管理制度，包括组织架构，人员职责和责任分工；系统文档，包括系统资产清单、系统用户指南、系统管理手册、系统设计文档等；安全相关的文档，包括安全策略、审计报告等。人员访谈范围覆盖某化工集团公司年度内新建系统的相关部门，调查问卷的方式对某化工集团公司年度内新建系统的信息安全日常运维进行调研。在调研过程中将等级保护等信息安全类主要标准,明确的工作内容，重点对以下几方面进行人员访谈、现场走查和技术评估：某化工集团公司年度内新建系统资产情况：服务器、存储设备、数据库、中间件、应用软件、网络和安全设备、桌面终端系统、机房物理环境现状是否与软硬件设备清单相匹配；服务器、存储设备、数据库、中间件、应用软件、网络和安全设备、桌面终端系统、机房物理环境现状是否满足信息安全等级保护三级相关要求，是否存在脆弱性。信息安全组织机构落实及执行情况（检查信息安全管理机构、信息安全员落实情况）具体内容如下：信息安全管理总纲及相关制度是否具备，是否需要根据国家最新政策和工作实际情况进行重新修订。主要查看对象涉及与信息安全领域制度相关的各个业务部门。信息安全管理组织机构是否具备，是否要根据实际情况调整变更，主要检查对象为信息安全决策机构相关记录，信息安全执行机构相关工作情况记录、已定级及拟定级的每个信息系统三大员具体落实情况，访谈相关人员是否具备安全管理的相关技能和对日常安全管理中存在的问题做调研访谈。信息安全日常管理（检查人员、资产、外包服务、信息技术产品使用、信息安全经费保障）：信息安全管理文档中是否建立人员安全管理制度，分内部和外部人员两个方面，是否建立人员安全管理流程和表单，主要检查对象为内部人员岗位信息安全和保密协议文档，离岗人员离职信息安全管理记录；外部人员访问某化工集团公司及机房等重要区域的访问记录，违反制度规定造成信息安全事件的责任查处文档；信息安全管理文档中是否建立资产安全管理制度，是否有建立资产管理台账，是否具有资产安全管理流程和表单，主要检查对象为信息系统资产登记记录，办公软件、业务软件白名单，计算机及相关设备维修维护、报废销毁等登记记录；信息安全管理文档中是否建立外包服务（包括外包服务商）的管理制度，是否针对外包服务安全风险建立相应的安全管理措施，主要检查对象为外包服务商资质，与外包服务商签订的服务合同和保密协议（包括安全管理责任），人员现场服务记录，提供的系统维护服务记录，灾难备份中心选址，灾备服务、灾备记录及文档；信息安全管理文档中是否建立信息技术产品使用管理制度，是否建立信息技术产品安全使用的流程和工单，是否对新采购的信息技术产品进行有效的安全管理，主要检查对象为对办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等信息技术产品使用记录；是否为信息安全建立清晰、明确的经费保障，主要检查对象为部门年度财务预算，包括在信息安全防护设施建设、运行、维护、检查及管理等方面投入的分项预算，以及本年度对每个方面实际投入的经费记录。信息安全防护管理（检查网络边界防护、信息系统安全、电子邮件安全、终端计算机安全、移动存储设备安全）：是否建立合理的系统总体网络规划，是否进行了网络区域和安全域的划分，是否进行有效的网络边界防护管理，主要检查对象为总体网络架构，网络区域划分现状，安全防护设备的策略配置，互联网访问安全控制措施，互联网安全访问日志；信息安全是否建立安全风险评估、等级保护等安全管理制度，是否对信息系统相关设备部署和实施相应的技术和管理策略，主要检查对象为某化工集团公司年度内新建系统安全管理策略和制度，服务器上应用、服务、端口的安装和配置，网络设备的安全配置，服务器以及网络设备账户口令强度和更新，防病毒、防火墙、入侵检测、安全审计等安全设备的部署及使用，定期检测病毒木马和漏洞扫描记录，系统补丁安装；信息系统是否建立有效的安全防护策略，主要检查对象为系统管理账户和口令管理制度，信息发布审核制度，信息系统用户账户和口令设置情况，服务器补丁管理，服务、端口和应用添加、删除和关闭记录，敏感信息、临时文件管理情况，定期进行漏洞扫描和木马检测记录；信息安全是否具有对电子邮件的管理制度，主要检查对象为各部门电子邮件用户名单，账户及口令的设置，定期更新口令的记录；信息安全是否具有对终端计算机的管理制度，主要检查对象为终端集中安全管理策略，账户及口令设置，定期更新口令的记录，终端计算机IP和MAC地址设置；信息安全是否具有对移动存储设备的管理制度，主要检查对象为移动存储设备集中安全管理策略，电子消磁或销毁设备的使用。信息安全应急管理（是否制定应急预案、是否开展应急演练、是否具备应急队伍、是否采取灾难恢复措施以及信息安全事件应急处置）：信息安全应急是否制定了应急组织相关的管理制度，是否具有应急技术支援队伍，主要检查对象为安全应急管理制度，应急技术支援队伍职责和分工、服务合同及安全保密协议，应急技术支援记录及文档；信息安全应急管理是否具有应急相关的计划、方案和记录，主要检查对象为信息安全应急预案的制定、修订、备案及宣贯培训文档，应急演练计划、方案、记录、总结报告等；信息安全对重要数据和重要信息系统是否建立了备份机制，主要检查对象为灾难备份管理制度，灾难备份资产、设备台账，设备安全运维记录，与提供灾难备份服务第三方签署的服务合同及安全保密协议；对信息安全事件是否具有有效的应急处置措施，主要检查对象为本年度信息安全事件记录和文档，对于这些安全事件所采取的相应应急手段和措施记录（包括应急措施、应急处置相关人员、处置时间和处置方案等），安全事件上报和通报文档。信息安全教育培训（检查领导干部、工作人员是否参加信息安全常识培训、信息安全管理技术人员是否参加专业培训）：是否进行信息安全、保密形势教育、警示教育培训，主要检查对象为本年度信息安全意识培训、基本安全防护技能培训和信息安全专业培训的计划、方案及通知等文档（文档中应明确培训的时间、对象、地点及简要或详细培训内容）。信息安全检查：是否针对上一年度所发生安全事件进行整改，主要检查对象为信息安全整改计划、整改措施文档，整改后进行信息安全风险评估的记录和整改结论报告，上一年度的信息安全年度检查报告；是否对信息系统相关的部门进行本年度自检，主要检查对象为建立涉及信息系统相关各部门的责任制文件，各部门本年度信息安全经费投入和使用记录，落实年度自检任务的计划、方案和实施文档，对人员、有关文档和数据的安全保密管理制度和安全保密策略，信息安全风险控制策略；信息安全是否采用了有效的技术工具，主要检查对象为在服务器、终端计算机、网络设备以及应用系统等层面的安全检测技术和策略。安全域现状调研：调研现有应用系统实际部署情况；调研现有应用系统主机IP及业务系统端口；调研现有安全措施和安全策略系统环境调研：为完成原有设备和软件与新增加的设备和软件进行无缝的互联，将对年度内新建系统现有环境进行调研勘查，旨在充分考虑用户需求，充分利用现有资源。主要将对以下情况进行调研：现有安全系统的配置、应用现状、改造规划；现有服务器系统的配置、应用现状、改造规划；现有系统软件的配置、应用现状、改造规划；梳理现有环境线缆连接情况，包括弱电井线缆和机房设备，完成后制作设备连线标签，对现有线路进行标记。工作方法根据对某化工集团业务模型的分析，并通过流程的收集、对接、整合等工作，可以完成系统全局业务流程现状图，在此基础之上再分析业务流程的IT支撑现状，并进一步明确业务对信息安全的需求，也是信息安全的目标所在。因此，通过业务分析，为信息安全体系建设奠定了基础。业务建模分析可以创建一个业务的抽象描述，使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能，我们就能较容易地完善业务，较容易地发现、识别新的业务机会（即业务的完善或革新），为网络建设、安全建设及应用开发提供需求定义。业务分析的要素在对业务流程进行风险评估前，首选要了解业务流程的基本特征并建立抽象模型，以便于进行分析与描述。业务流程是以一种或者多种输入为条件，从而为客户创造某种价值输出的活动的集合。业务流程有特定的目标，同时也受到外部环境或者其他过程中发生事件的影响。一个规则可以影响到资源组织的方式；一个资源被分配给一个特定的过程；一个目标与一个特定的过程执行相关联。业务建模的目标就是定义这些概念并展现相互的关系以及相互作用。业务建模分析工具本项目将采用UML业务流程建模。UML是统一建模语言，UML最初是为描述软件系统各方面要素所设计的，UML2.0采用了Eriksson-Penker业务扩展，此扩展为业务系统的过程、资源、规则和目标建模提供了相应的符号标识，使得我们可以对业务流程进行详细的描述。安全现状调研安全现状的调研主要包括采用文件审核、问卷调研、技术工具评估及现场访谈等方式，对某化工集团公司存在的信息安全管理相关的政策、制度和规范、业务特征或服务、现有的组织情况、网络与系统安全、日常操作与管理等内容进行调查。文档审核主要了解年度内新建系统现有的IT架构、组织架构、岗位职责、现有安全制度等，为现场访谈与技术评估等做好准备。咨询顾问可以通过对政策文档（法律规定、指示）和系统文档（系统用户指南、系统管理手册、系统设计文档等）等安全相关的文档（安全策略、审计报告等）的检查，获得大量的系统现状信息。我方咨询顾问通过对政策文档（法律规定、指示）和系统文档（系统用户指南、系统管理手册、系统设计文档等）等安全相关的文档（安全策略、审计报告等）的收集与检查，获得大量的安全现状信息，为深入访谈调研，技术评估等做好准备。获取如下文档，进行文档复审和分析：组织架构图；人员职责分配；网络拓扑图；信息系统硬件设备清单；信息系统软件清单；安全设备、软件清单及配置；组织的信息安全管理制度文档；组织的信息安全操作规程文档；信息安全培训材料；机房环境的基础资料；路由配置表；日志和审计数据；安全事件处理报告；以往的安全评估报告、IT审计自评估和外审报告/发现。问卷调研通过差距分析调查问卷和日常安全运维专项调研表，全面、详细地了解年度内新建系统总体信息安全现状、各部门的安全策略执行和安全运维方面的现状。调查问卷根据信息安全等级保护标准或客户自己的规范标准而设计，包括但不限于纸面文档形式。调查问卷将在“业务分析”等阶段使用，问卷的常规内容包括：IT安全管理和策略、安全符合性检查、事件处理、人员、操作问题、业务可持续性计划、物理安全等。现场访谈通过对年度内新建系统各部门负责人、系统管理员的面对面访谈，深入了解IT应用现状和信息安全状况，并了解各部门面临的具体安全问题和对本项目的期望，获取关于现场物理环境、信息系统的安全操作的第一手资料，与信息安全管理体系相关人员进行访谈，安全评估顾问可以了解人员安全意识、对安全管理获知的程度、对安全技术的掌握程度，并且收集大量有用信息，诸如系统是如何操作和管理的，安全设备的维护使用状况等。通过对各部门的访谈，快速了解各部门的工作现状和安全状况，并了解各部门面临的具体安全问题和对本项目的期望。对某化工集团公司年度内新建系统涉及的相关人员进行现场访谈，访谈内容主要包括策略，组织，运维与技术四个方面。在访谈前，将拟定各部门具体的访谈调研提纲，项目组内部讨论确认。发放提纲让各部门提前准备，并安排访谈人员与访谈机会。执行现场访谈，每场访谈1小时左右。一般两名顾问参与，一人主要负责沟通询问，一人主要负责记录。技术评估是对评估范围所涉及的机房及机房辅助设备、网络基础架构、网络设备配置、网络安全相关设备、主机（服务器）操作系统、中间件、数据库、典型业务应用系统、个人终端等方面的安全状态、面临威胁进行抽样调研、测试和分析。评估方法包括工具扫描、人工检查等。自动弱点扫描工具是在技术性漏洞检查中广泛使用的方法。此外，技术性漏洞检查过程当中，必要时实施人员还会辅之以必要的人工操作手段，包括授权之下的渗透测试。我方专业人员通过以下途径实施安全评估：通过研读网络拓扑图、进行现场调查和人员访谈等途径，对网络整体架构的安全性进行分析和评估；借助专用的自动化扫描工具，对网络设备、主机系统、应用系统等进行漏洞扫描；登录到受测试主机本地，通过本地日志系统、配置文件、命令操作过程的审查，更深入细致地了解目标系统的安全状况；针对关键系统和设施，考察BCP框架的有效性和完备性。技术评估的实施流程如下：确定技术评估需求及相关事项，获取书面授权，启动实施；搜集必要的信息，为实施评估做好准备，相关信息包括：网络拓扑结构；主机设备的分布和基本配置；IP地址分配；相关管理和操作人员；现有的安全配置策略；已经部署的安全控制措施（产品）；现有的BCP框架及规划。安全扫描内容包括（不限于）：网络服务开放端口扫描；域名信息攫取；网络、操作系统及应用程序漏洞扫描；Web服务器漏洞扫描；SNMP探测。其他扫描探测内容（包括LDAP、SQLServer、NetBIOS等）。数据分析编写并提交技术评估报告。小组会议是在项目实施过程中，与客户协同组织召开小组会议，讨论具体问题，达成问题共识。在具体项目实施过程中，将参考某化工集团公司的实际工作模式，选择适当的调研方法。工作成果《**系统现状调研报告》资源投入鉴于本阶段的重要性，我方安排6人（赫言、陈楠、孟伟莎、刘璐、徐玉慧、李强）参与本项服务内容的实施，均具备丰富的现状调研经验。差距分析工作目标按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准，通过对照检查、风险识别等方法，分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距，其中包括：安全管理制度差距分析、安全管理机构差距分析、人员安全管理差距分析、系统建设差距分析、系统运维差距分析、物理安全差距分析、主机安全差距分析、网络安全差距分析、应用安全差距分析、数据安全差距分析等，并以此为依据开展下一步工作。工作内容本次项目我方将采用XX信息安全风险管理系统工具对某化工集团公司年度内新建系统进行差距分析，将新建系统相关组织架构、人员、信息系统、信息资产录入到平台，现场调研的结果导入平台，与平台知识库中的等级保护标准进行比对、分析，咨询顾问通过对平台输出的分析报告，编写全面细致的差距分析报告。工作方法通过对某化工集团公司年度内新建系统进行系统定级确认后，对其进行差距分析时，需确认某化工集团公司年度内新建系统的安全需求，根据其信息安全需求，并结合信息系统安全现状，参考等级保护相关标准要求，进行具体比对、分析。具体工作时我方咨询顾问将利用“信息安全风险管理系统”提供工具支持进行差距分析，实现对信息系统与相应等级要求之间的符合程度进行差距分析，包括：标准细则、差距分析、差距分析报告。基本安全需求的确认根据某化工集团公司年度内新建系统的安全保护等级，参考信息系统详细描述文件以及信息系统安全保护等级定级报告，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。本阶段内容包括：确定系统范围和分析对象明确某化工集团公司年度内新建系统的范围和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全管理制度、安全管理机构、人员安全管理、系统建设、系统运维、物理安全、主机安全、安全措施状况等。初步确定信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。形成评价指标和评估方案根据某化工集团公司年度内新建系统的安全保护等级，从信息系统安全等级保护基本要求中选择相应等级的指标，形成评价指标。根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下内容：管理状况评估表格；网络状况评估表格；网络设备（含安全设备）评估表格；主机设备评估表格；主要设备安全测试方案；重要操作的作业指导书。现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、安全检测等方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统安全保护的基本需求。额外/特殊安全需求的确认参考某化工集团公司年度内新建系统的详细描述文件和信息系统安全保护等级定级报告，通过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分，采用需求分析/风险分析的方法，确定可能的安全风险，判断对超出等级保护基本要求部分实施特殊安全措施的必要性，提出信息系统的特殊安全保护需求。本阶段内容包括：重要资产的分析明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点，包括技术上和管理上的；分析安全弱点被利用的可能性。重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率。综合风险分析分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。形成差距分析报告根据前期需求的确定，以及现状调研的基础数据，我方咨询顾问将采用“信息安全风险管理系统”提供工具支持，进行本项目的差距分析，其主要工作步骤如下：某化工集团公司年度内新建系统录入；某化工集团公司年度内新建系统信息资产录入；某化工集团公司年度内新建系统调查问卷录入；某化工集团公司年度内新建系统风险评估结果录入；生成某化工集团公司年度内新建系统差距分析报告。差距分析报告中将包含以下内容：信息系统描述；安全需求描述；安全管理状况；安全技术状况；存在的不足和可能的风险。工作成果《**系统差距分析报告》资源投入鉴于本阶段的重要性，我方安排6人（赫言、陈楠、孟伟莎、刘璐、徐玉慧、李强）参与本项服务内容的实施，均具备丰富的差距分析经验。风险评估工作目标本次项目中风险评估工作涵盖某化工集团公司年度内新建系统的全部信息资产，从资产梳理、脆弱性、威胁和已有安全措施等多个维度，结合风险承受能力，综合分析评价本项目系统所有信息资产面临的风险。工作内容本项目采用GB/T20984:2007中的信息安全风险评估模型，对某化工集团公司年度内新建系统涉及的网络、主机、数据库等信息资产开展风险评估，并提出针对这些风险的安全控制措施，具体包括以下内容：1、对某化工集团公司年度内新建系统所覆盖的全部资产进行识别，并合理分类；在资产识别过程中，详细识别核心资产的安全属性，重点识别出资产在遭受泄密、中断、损害等破坏时所遭受的影响，为资产影响分析及综合风险分析提供参考数据。2、通过对某化工集团公司年度内新建系统网络架构和业务系统及流程进行威胁调查、取样等手段，识别某化工集团公司年度内新建系统的资产将面临的威胁源，及其威胁可能采用的威胁方法，对资产所产生的影响，并为后续威胁分析及综合风险分析提供参考数据。3、对某化工集团公司年度内新建系统的服务器、存储设备、数据库、中间件、应用软件、网络和安全设备、桌面终端系统、机房物理环境、安全管理制度及流程进行脆弱性识别，采用工具扫描、手工、访谈、文档分析方法进行脆弱性识别，脆弱性识别具体内容包括：针对某化工集团公司年度内新建系统技术架构、网络设备进行评估，完成整体网络架构、网络设备安全的分析工作。安全设备配置及策略评价，如防火墙、安全审计设备等，重点是对利旧设备采用的安全策略进行评估。操作系统及数据库安全策略评价，内容包括操作系统文件的完整性、补丁安装、用户权限管理、口令管理、多种操作系统间的协作性等进行评估。操作系统主要有windowsserver系列、Unix系列、Linux系列。4、在资产分析、威胁分析、脆弱性分析的基础上，完成某化工集团公司年度内新建系统的信息安全综合风险分析。工作方法资产所有者应对信息资产进行保护，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。风险评估中各要素的关系如下所示：上图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着这些基本要素展开，在对这些要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。上图中的风险要素及属性之间存在着以下关系：业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；资产价值越大，原则上则其面临的风险越大；风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事件；弱点越多，威胁利用脆弱性导致安全事件的可能性越大；脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险；风险的存在及对风险的认识导出安全需求；安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响；风险不可能也没有必要降为零，在实施了安全措施后还可能有残余风险。有些残余风险的原因可能是安全措施不当或无效,需要继续控制；而有些残余风险则是在综合考虑了安全成本与效益后未去控制的风险，是可以接受的；残余风险应受到密切监视，它可能会在将来诱发新的安全事件。风险分析原理如下所示：风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。信息系统风险评估参照的标准如下：《信息安全风险评估指南》《ARiskManagementStandard》《CONSTRUCTIONOFANITRISKFRAMEWORK》ISO/IECTR13335《信息技术——IT安全管理指导方针》国信办发布的《信息安全技术‐‐信息安全风险评估规范》GB/T9361-2000计算机场地安全要求GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336-2001信息技术安全技术信息技术安全性评估准则GB/T19716-2005信息技术信息安全管理实用规则其他IT风险管理标准监管部门的风险评估的相关要求本次项目中，我方咨询顾问按照上述工作方法并采用“信息安全风险管理系统（等保标准版）”提供工具支持进行本项目的风险评估，基于前期调研的资料的收集，通过信息安全风险管理系统（等保标准版）的风险评估模块进行评估，并出具相应报告。如图所示，对所有IT资源（资产）进行安全风险评估，包括资产价值评估、威胁可能性评估、弱点严重程度评估、综合风险评价、风险处置以及残余风险分析，其中包括：资产价值评估；资产威胁评估；资产弱点评估；风险评估和处置措施。下图给出风险评估的实施流程，围绕风险评估流程阐述风险评估各具体实施步骤。风险评估准备过程风险评估的准备过程是某化工集团公司年度内新建系统进行风险评估的基础，是整个风险评估过程有效性的保证。在准备过程中应明确以下工作。确认范围此次风险评估的范围包括某化工集团公司年度内新建系统涉及的信息资产。确定目标本项目涉及的信息资产的风险评估既满足内部业务持续发展的需要、又满足国内法律法规（包括信息等级保护）的要求以及相关部门的监管要求。确定组织结构在风险评估过程之前，应组建信息安全风险评估小组，小组成员由管理层、相关业务骨干、IT技术人员等组成，以推进评估过程，保证能够达到风险评估目标。确定风险评估方法风险评估方法应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与年度内新建系统的环境和安全要求相适应。信息系统识别与评价对某化工集团公司年度内新建系统涉及的网络架构和业务进行一一识别，并且按照信息系统赋值方法对信息系统进行资产价值打分。所有识别的信息系统都是与信息安全相关的，不涉及信息安全方面的资产（例如，日常办公的桌子、椅子、楼宇建筑、车辆等）在风险评估中不进行识别。在信息系统的识别过程中，我方将采取包括但不限于以下的方法识别信息系统。辅助资料某化工集团公司应提供最新的、详细网络拓扑图，有助于资产识别活动的开展，并且避免资产识别过程发生遗漏。自动探测工具我方将采用X-SCAN、WebScan等漏洞扫描工具，在用专门的扫描策略下，可以完成对绝大部分信息系统的精确辨别。(当然，被辨别或被识别的对象应该具有各自的IP地址。)这样就便可以省去资产识别人员评估对某化工集团公司年度内新建系统的现场调查和访谈等活动，大大节约了资产识别活动花费的时间。手工记录表格在信息系统自动探测工具使用的基础上，我方提供用于资产识别活动的记录表格（示例见下表），以准确识别并详细记录信息系统所有信息。以下为人工资产识别活动的记录表格，在实际操作过程中，可能会根据具体情况有所删减或调整。资产识别记录表项目名称或编号表格编号资产识别活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息所属业务业务编号所属类别类别编号资产名称资产编号IP地址物理位置功能描述机密性要求完整性要求可用性要求重要程度相关的安全控制措施已有的安全控制措施缺失或薄弱的安全控制措施负责人备注输出结果在资产划分的基础上，再进行资产的统计、汇总，形成完备的《信息系统及评价报告》。此报告属于评估活动的过程文件，将被视为分析阶段的输入文档之一。在实现对所有的信息系统有效的安全防护，同时有效控制信息安全建设成本，优化信息安全资源配置的等级保护指导原则下，需对信息系统进行划分，并且同时要考虑以下几个方面：相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下，可以保证遵循相同的安全管理策略。相同的业务类型信息系统内的各业务子系统具有相同的业务类型，安全需求相近，可以保证遵循相同的安全策略。相同的物理位置或相似的运行环境信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一的安全保护。在完成信息系统资产表之后，为了明确对信息系统的保护，有必要对信息系统的价值进行评估，其价值大小不仅仅是考虑其自身的价值，还要考虑其业务的相关性和一定条件下的潜在价值。信息系统价值常常是以安全事件发生时所产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失，从而导致企业资金、市场份额、企业形象的损失。信息系统具有不同的安全属性，机密性、完整性和可用性，分别反映了信息系统在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息系统进行估价赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。资产的价值应当由资产的所有者和相关用户来确定，只有他们才最清楚资产对组织业务的重要性，才能较准确地评估出资产的实际价值。对资产的赋值不仅要考虑资产本