技術咨詢服務項目完成報告

1、信息安全技術咨詢服務 項目完成報告項目名稱： 項目編號： 技術咨詢服務對象： 項目 負責人： 項目組成員： 項目開始時間： 項目結束 時間： 項目交付成果： 甲方： 乙方： 代表簽字： 代表簽字： 年 月 日 年 月 日目錄的 2 項 目 依據 1 3 項 目 實 施 方案 2 3.1 技 術 咨 詢 準 備 階 段 2 確 定 技 術 咨 詢 范 圍 23.1.1 制 定 項 目 計 劃 書 33.1.2 3.2 信 息 系 統(tǒng) 現 狀 分 析 階段 3 現 場 調 研 準 備 活 動 9項目進度風險的管錄 . 33.2.2 結 果 確 認 和 資 料 歸還 . 33.2.3 3.3 技 術

2、 咨 詢 報 告 編 制 階段 4 4 項 目 組 織 方案 4 4.1 項 目 組 織 結構 4 4.2 項 目 人 員 構 成 和 職責 4 4.3 項 目 實 施 計劃 6 5 項 目 質 量 管 理 和 控制 8 5.1 過 程 質 量 控 制 管理 8 5.2 變 更 控 制 管理 8 5.3 項 目 風 險 管理 理 . 95.3.1 項 目 協 作 與 溝 通 風 險 的 管理 95.3.2調研工作引入風險的管 理 95.3.3 5.4 保 密 控 制 管 理 9 人 員 保 密 管 理 95.4.1設備保密管理 105.4.2文檔保密管 理 105.4.3 -I-1項目目的XX

3、X受XXX的委托進行信息系統(tǒng)的現 狀分析工作，主要分析信息系統(tǒng)的安全防護能力，確 保系統(tǒng)與網絡的安全性和可靠性，以提供安全和可靠 的服務。 通過對信息安全進行現狀分析，判斷業(yè)務 系統(tǒng)的防護能力是否滿足與安全保護等級相對應的安 全保護要求，分析總結系統(tǒng)現有安全防護措施存在的 優(yōu)勢和不足，并給出整改計劃，從而促進系統(tǒng)安全防護工作的完善和提高，完善安全防護體系建設，保證 信息系統(tǒng)的安全和有效運行。 2 項目依據 山東省 信息安全等級保護測評工作規(guī)范(試行)省公安廳關于信息安全等級保護工作的實施意見 (公通字 200466 號) 信息安全等級保護管理辦法 (公通 字 200743 號) 信息安全技術

4、信息系統(tǒng)安全等級 保護基本要求(GB/T 22239-2008)信息安全技術 信息系統(tǒng)安全等級保護定級指南( GB/T 22240-2008)信息安全技術 信息系統(tǒng)安全等級保護實施指南 信息安全技術 信息系統(tǒng)安全等級保護測評要求 信息安全技術 信息系統(tǒng)安全等級保護測評過程指 南 國家信息化領導小組關于加強信息安全保障 工作的意見 (中辦發(fā) 200327 號) 計算機信息系 統(tǒng)安全保護等級劃分準則 ( GB/T 17859-1999) 信 息安全技術 信息系統(tǒng)通用安全技術要求 ( GB/T 20271-2006)信息安全技術 網絡基礎安全技術要求( GB/T 20270-2006) 信息安全技術

5、 操作系統(tǒng) 安全技術要求(GB/T 20272-2006)信息安全技術 數據庫管理系統(tǒng)安全技術要求 ( GB/T 20273-2006) 信息安全技術 終端計算機系統(tǒng)安全等級技術要求 ( GB/T 671-2006) 信息安全技術 信息系統(tǒng)安全管 理要求( GB/T 20269-2006) 信息安全技術 信息 系統(tǒng)安全工程管理要求 (GB/T 20282-2006) 信息 安全技術 信息安全風險評估規(guī)范 (GB/T 20984-2007) 第1頁3 項目實施方案 3.1 技術咨詢準備階段 3.1.1 確 定技術咨詢范圍 為積極響應國家政策要求，創(chuàng)建安 全健康的網絡環(huán)境，建立安全管理體系，完備安

6、全 技術措施，全面提高信息安全防護能力，本公司提 供信息安全技術咨詢服務，包括：信息安全等級保 護服務咨詢、信息安全風險評估服務咨詢、信息安 全管理體系建設咨詢、信息安全技術體系建設咨詢。 技術咨詢服務范圍如下表所示： 表 3-1 技術咨詢服 務范圍 咨詢范圍 具體內容 信息系統(tǒng)定級 信息 系統(tǒng)備案 信息系統(tǒng)安全現狀分析 信息安全等級保 護 信息系統(tǒng)建設整改 信息系統(tǒng)等級咨詢 等 級咨詢報告編制 風險評估準備 資產識別 威 脅識別 信息安全風險評估 脆弱性識別 已 有安 全措施確認 安全管理制度 安全管理機構 人 員安全管理 信息安全管理體系建設 系統(tǒng)建設管理 系統(tǒng)運維管理 第 2 頁物 理安

7、全 網 絡安全 主 機安全 信息安全技術措施建設 應用安全 數 據安全 3.1.2 制定項目計劃書 在項目計劃書 中明確項目實施流程、項目實施人員和項 目實施時間。 3.2 信息系統(tǒng)現狀分析階段 3.2.1 現場調研準備活動 現場調研準備活動 的目標是最終審定項目實施方案、協調各 種資源，正式啟動現場調研工作。主要工 作包括：簽署現場調研授權書；召開首次 會議，確定實施方案；協調各種資源，包 括配合人員和需要提供的材料等。 本活動 中涉及的輸出主要是更新后的實施方案及 項目實施計劃書、現場調研授權書和配合 人員列表。 3.2.2 現場調研和結果記錄 現場 調研活動的目標是調研人員嚴格按照調研

8、指導書，對信息系統(tǒng)的調研對象進行現場 調研、記錄結果，并保證記錄結果的真實、 準確、及時和規(guī)范性。主要工作包括：進 程確認、實施現場調研、記錄調研證據、 離場確認。 本活動中涉及的輸出主要是現 場調研獲取的各種證據。 3.2.3 結果確認和 資料歸還 本任務的目標是對調研證據進行 匯總，查漏補缺，并對發(fā)現的問題進行現 場確認，歸還所有的資料文檔，現場調研 工作結束。主要工作包括：現場調研記錄匯總，查漏補缺，歸還所有的資料文檔。 本活動中涉及的輸出主要是匯總的現場調 研證據源記錄、文檔交接單。 第 3 頁3.3 技術咨詢報告編制階段 在報告編制活動中，調研人員通過分 析現場調研獲得的證據和資料，

9、判定信息系統(tǒng)是否達到相應安全等 級的安全要求，然后進行整體分析和風險分析，并提出信息系統(tǒng)整 體改進方案。 4 項目組織方案 4.1 項目組織結構 在本次項 目中，XXX成立技術咨詢項目組，下設項目總監(jiān)、 PTO專員、管理 調研組、技術調研組和質量保證組。項目組織結構如下圖所示： 圖 4-1 項目組織結構圖 4.2 項目人員構成和職責 在項目啟動任務中， XXX 成立技術咨詢項目組，負責該項目的規(guī)劃與實施，下表為項目 組成員列表： 表 4-2 項目組成員列表 擔任職務 序號 姓名 從業(yè)資格 從業(yè)年限相關經驗 1 項目總監(jiān) 2 PT專員第4頁管理調研組 3 組長 管理調研組 4 成員 技術調研組

10、5 組長 6 技術調研組成員 78 質量保證組 質量保證組9 成員 第 5 頁4.3 項目實施計劃 表 4-3 技術咨詢項目計劃表 工作階段 工作小組 工作內容 工作日 項目啟動 成立 項目組及成員分工 項目準備階段 咨詢小組 1 編制項 目計劃 編制系統(tǒng)調研表 相關資料收集 系統(tǒng)調研 系統(tǒng) 調研階段 咨詢小組 3 系統(tǒng)資料整理和分析 編制系統(tǒng) 調研報告 確定咨詢范圍 確定具體的咨詢對象 確定咨 詢工作的方法 咨詢方案準備階段 咨詢小組 準備咨詢 工具 2 編制咨詢方案 編制咨詢現場工作計劃 咨詢方 案和現場工作計劃確認 管理訪談 管理咨詢組 管理文 件查閱 技術訪談 4 現場咨詢階段 人工配

11、置核查 技 術咨詢組 工具測試 第 6 頁工作階段 工作小組 工作內容 工作日 訪談結果整 理和分析 查閱結果整理和分析 整體安全管理分析 管 理咨詢組 不符合項整理 管理咨詢結論形成 改進建議 分析 訪談結果分析 現狀分析階段 9 核查結果分析 滲 透結果分析 技術咨詢組 不符合項整理 技術咨詢結論 形成 防范手段分析 完成咨詢報告技術部分和管理部 分 技術咨詢組 報告評審和修改 技術咨詢報告編制 咨 詢小組 編制技術咨詢服務報告 3 項目材料和文檔移 交 咨詢小組 2 項目驗收 項目驗收總結 合計 24 第 7頁5 項目質量管理和控制 5.1 過程質量控制管 理 過程自檢始終穿插在過程質量

12、控制管理體系中， 它是保證過程質量的最重要方面。過程專檢是在項目 的各個階段由項目質量組和 PTO 專員負責對本階段 工作質量和進度進行檢查。過程總檢是在項目的各個 階段由項目質量組和 PTO 專員負責對總體質量和進 度進行檢查。通過三個檢查的共同作用來保證項目的 質量和工作的進度。 質量保證組負責過程質量控制 管理體系的建設和實施。質量保證組負責過程質量控 制管理體系的試運行和內部審核。質量保證組和 PTO 專員負責監(jiān)督過程質量控制管理體系的落實情況并提 出整改意見。質量保證組由項目總監(jiān)任命并對項目總 監(jiān)負責。 5.2 變更控制管理 對處于項目質量和控制管 理下的變更進行控制，確保相關工作產

13、品和項目活動 狀態(tài)與其保持一致，使其合理、可控制、可追溯。 變更申請一般包括以下幾個步驟： 1) 提交變更申請 2) 審核變更申請 3) 識別變更可行性 4) 批準變更申請 5) 實施變更申請 變更控制管理相關人員包括變更申請 人、變更經理、變更可行性研究小組、變更審批小組、 變更小組。其中除申請人外均由項目總監(jiān)任命質量保 證組和PTO專員負責。 項目總監(jiān)設立PTO專員和項 目質量保證組，對整個項目進行跟蹤和監(jiān)控。由 PTO 專員負責制定項目變更控制程序，對項目變更的提出、 變更的審核與批準、變更的實施等各個變更控制環(huán)節(jié) 的流程和內容進行規(guī)范和指導。從而保證有效地控制 和管理項目變更。 第 8

14、 頁5.3 項目風險管理 5.3.1 項目進度風險的管理 采用 科學的方法確定進度目標，編制進度計劃與資源供應 計劃，進行進度控制，在與質量、費用、安全目標協 調的基礎上，實現工期目標。 編制進度計劃前進行 詳細的項目結構分析，系統(tǒng)地剖析整個項目結構構成， 包括實施過程和細節(jié)，系統(tǒng)規(guī)則地分解項目。做到明 確單元之間的邏輯關系與工作關系，作到每個單元具 體地落實到責任者，并能進行各部門、各專業(yè)的協調。 5.3.2 項目協作與溝通風險的管理 項目組內部、咨詢 小組與被咨詢單位之間的適時、充分的溝通是達成項 目目標、保證項目成功的重要因素。項目總監(jiān)負責建 立項目溝通機制，保持暢通的項目溝通渠道。 5

15、.3.3 調研工作引入風險的管理 調研工作的開展應該以不 對被測系統(tǒng)造成不良影響為前提。在調研工作中要遵 循以下要求： XXX 加強對本公司調研人員安全意識教 育，提高調研實施人員主動規(guī)避風險的能力；調研開 始前調研人員需要被測單位確認調研對象中的關鍵數 據已經備份。如沒有備份則不進行核查；調研工作開 始前對調研可能對被測系統(tǒng)造成的影響進行評估，如 有潛在風險則不允許在被測生產系統(tǒng)上核查，可協調 被測單位搭建測試環(huán)境進行核查；對于調研過程中可 能對被測系統(tǒng)產生較大壓力的調研動作要求必須避開 業(yè)務高峰期進行；嚴格執(zhí)行保密協議和文檔交接送還 制度，保證被測單位重要信息不外泄，調研過程由被 測單位相

16、關技術人員陪同，嚴格遵守被測單位工作紀 律和操作規(guī)程。 5.4 保密控制管理 5.4.1 人員保密管 理 調研活動開始前調研人員需要與被測單位簽訂保 密協議。調研過程中嚴格執(zhí)行保密協議規(guī)定保證被測 單位信息不被披露或使用，包括意外或過失。對違反 保密協 第 9 頁議的人員依法追究法律責任。 5.4.2 設備保 密管理 調研活動中調研人員嚴格禁止出現下 列行為： 將涉密信息設備接入互聯網及其 他公共信息網絡； 使用非涉密信息設備存 儲、處理國家秘密； 在涉密計算機與非涉 密計算機之間交叉使用存儲介質； 使用低 密級信息設備存儲、處理高密級信息； 在 涉密計算機與非涉密計算機之間共用打印機、 掃描

17、儀等信息設備； 擅自卸載涉密計算機 上的安全保密防護軟件或設備； 5.4.3 文檔保 密管理 所有重要文檔集中管理，維護檔案的 安全與完整。 各項目小組人員在工作中形成 的具有參考價值的文件、材料由個人或項目 負責人整理后報文檔管理人員存檔。 檔案工 作人員必須嚴格遵守保密制度的規(guī)定，確保 檔案安全。借閱、查閱涉密文檔，應嚴格履 行領導審批 、本人登記手續(xù)。利用涉密文檔 者負有保密的責任，不得將文檔帶走或轉借 他人，禁止攜帶文檔外出。文檔檔案一般不 得復印、摘抄，如確屬正常工作需要，需經 有關領導批準。密文檔收回后要及時入柜加 鎖，不得在外存放。文檔工作人員發(fā)現失、 泄密事件要及時報告并采取補

18、救措施，避免 或減輕損害后果。 第 10 頁 獎品名稱： 500 萬 U 豆體驗卡 卡號： 50Dd4fea7001everage D、 stain7、The words below equals to one another except().A 、 the high season B 、 the busy season C 、 the peak season D. the off seasonA、熱辣的B、菜系C、苦干的D、大堂吧10、The wordA 、確認B、算賬C、結賬D、算錯賬11、C、聚會D、黨員12、 “ PC”is short for()A、 potato chips B 、 portable computer C 、 personal computer D 、 both B and C13、what should the reser