信息安全等級(jí)保護(hù)項(xiàng)目計(jì)劃書(shū)

文檔編號(hào)：zzzzzzxxxxxxxxxx信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目項(xiàng)目計(jì)劃書(shū)授權(quán)方：xxxxxxxxxx被受權(quán)方：rrrrrr編制日期：2016年2月29日目錄1.概括項(xiàng)目背景依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息安全等級(jí)保護(hù)管理規(guī)定》等一系列國(guó)家及信息安全技術(shù)針對(duì)信息系統(tǒng)等級(jí)保護(hù)公布的政策法例及文件要求，定級(jí)為等級(jí)保護(hù)二級(jí)的信息系統(tǒng)應(yīng)當(dāng)每年起碼進(jìn)行一次等級(jí)測(cè)評(píng)。目前xxxxxxxxxx信息系統(tǒng)還沒(méi)有進(jìn)行過(guò)等級(jí)保護(hù)專業(yè)測(cè)評(píng)。為進(jìn)一步增強(qiáng)XXXXXXXXXX信息系統(tǒng)等級(jí)保護(hù)工作，依照《信息安全技術(shù)信息安全等級(jí)保護(hù)管理規(guī)定》有關(guān)規(guī)定，計(jì)劃對(duì)XXXXXXXXXX重要的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)專業(yè)測(cè)評(píng)。依照《信息安全等級(jí)保護(hù)管理方法》（公通字[2007]43號(hào)）的有關(guān)要求，也為了連續(xù)有效提高信息系統(tǒng)的安全防備能力，受XXXXXXXXXX拜托我中心計(jì)劃與2016年2月29日起對(duì)XXXXXXXXXX信息系統(tǒng)實(shí)行信息安全等級(jí)測(cè)評(píng)工作，以期經(jīng)過(guò)此次測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全防備舉措的單薄環(huán)節(jié)，為下一步的信息系統(tǒng)安全建設(shè)整頓供應(yīng)靠譜依照，以有效提高XXXXXXXXXX信息系統(tǒng)的安全運(yùn)轉(zhuǎn)能力。項(xiàng)目目的經(jīng)過(guò)對(duì)XXXXXXXXXX展開(kāi)安全測(cè)評(píng)工作，能夠全面、完好地認(rèn)識(shí)目前XXXXXXXXXX的安全狀況，剖析系統(tǒng)所面對(duì)的各樣風(fēng)險(xiǎn)。依據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題，并對(duì)嚴(yán)重的問(wèn)題提出相應(yīng)的風(fēng)險(xiǎn)控制策略，并為下一步進(jìn)行整個(gè)系統(tǒng)的信息系統(tǒng)安全建設(shè)做先期準(zhǔn)備。對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)是國(guó)家實(shí)行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要構(gòu)成部分。經(jīng)過(guò)對(duì)XXXXXXXXXX實(shí)行等級(jí)測(cè)評(píng)能夠發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級(jí)或目標(biāo)的差別，能夠在技術(shù)和管理方面進(jìn)行有針對(duì)性的增強(qiáng)和完美，使XXXXXXXXXX安全工作有的放矢。XXXXXXXXXX可依照等級(jí)測(cè)評(píng)結(jié)果，并聯(lián)合單位的實(shí)質(zhì)狀況，區(qū)分輕重緩急，擬訂針對(duì)性的安全整頓建議，經(jīng)過(guò)安全整頓不停提高信息系統(tǒng)的整體安全保護(hù)水平。工作依照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)區(qū)分準(zhǔn)則》(GB17859-1999)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2012)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》(GB/T28449-2012)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)行指南》(GB/T25058-2010)《信息安全技術(shù)?信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)《信息安全技術(shù)?網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)《信息安全技術(shù)?操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)《信息安全技術(shù)?數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)《信息安全技術(shù)?服務(wù)器技術(shù)要求》(GB/T21028-2007)《信息安全技術(shù)?終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T?20984-2007)2.技術(shù)思路和工作內(nèi)容技術(shù)思路測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)暫定選用《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中2級(jí)系統(tǒng)基本要求指標(biāo)，包含《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》7.1節(jié)“技術(shù)要求”中的2級(jí)通用指標(biāo)類(G2),2級(jí)業(yè)務(wù)信息安全性指標(biāo)類(S2),和2級(jí)業(yè)務(wù)服務(wù)保證類(A2)，以及7.2節(jié)“管理要求”中的全部要求，安全控制指標(biāo)以下表：/口、安^全等^級(jí)/口、安^全等^級(jí)1/保護(hù)項(xiàng)、~計(jì)I人J書(shū)安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注物理安全物理地點(diǎn)的選擇1測(cè)評(píng)物理機(jī)房所在的外面環(huán)境安全性。物理接見(jiàn)控制2測(cè)評(píng)進(jìn)出機(jī)房的審批控制手段以及機(jī)房進(jìn)出口的安全控制狀況。防偷竊和防破壞5測(cè)評(píng)機(jī)房?jī)?nèi)設(shè)備和通信線纜的安全性以及監(jiān)控報(bào)警系統(tǒng)建設(shè)狀況。防雷擊2測(cè)評(píng)建筑防雷和防感覺(jué)雷的建設(shè)狀況。防火1+測(cè)評(píng)自動(dòng)監(jiān)控防火系統(tǒng)設(shè)置狀況以及機(jī)房資料防火狀況。防水和防潮3測(cè)評(píng)機(jī)房?jī)?nèi)水管設(shè)置狀況、防備結(jié)露所米納的舉措以及監(jiān)控報(bào)警系統(tǒng)建設(shè)狀況。防靜電1測(cè)評(píng)機(jī)房防靜電所米納的舉措。溫濕度控制1+測(cè)評(píng)機(jī)房溫濕度控制舉措。電力供應(yīng)2測(cè)評(píng)電力線路、備用電源以及發(fā)電機(jī)的裝備狀況。電磁防備1測(cè)評(píng)線纜電磁防備手段和設(shè)備電磁防備手段。構(gòu)造安全4+主要核查：主要網(wǎng)絡(luò)設(shè)備的辦理能力、業(yè)務(wù)頂峰期需求帶寬、路由控制、網(wǎng)絡(luò)拓?fù)錁?gòu)造圖能否一致、子網(wǎng)區(qū)分、技術(shù)隔絕手段和帶寬分派策略。接見(jiàn)控制4+主要核查：接見(jiàn)控制功能、協(xié)議深層檢測(cè)、網(wǎng)絡(luò)連結(jié)超時(shí)、流量限制和并發(fā)連結(jié)數(shù)限制等等。網(wǎng)絡(luò)安全安全審計(jì)2主要核查：網(wǎng)絡(luò)設(shè)備日記采集、剖析和統(tǒng)計(jì)以及保護(hù)等等。界限完好性檢查1主要核查：能否能夠?qū)Ψ鞘軝?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查并正確立位和阻斷；能否能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外面網(wǎng)絡(luò)的行為進(jìn)行檢查并正確定位和阻斷。入侵防備1主要核查：部署IDSIPS系統(tǒng)以及使用狀況。:網(wǎng)絡(luò)設(shè)備防備6主要核查：用戶身份鑒識(shí)、管理員登錄地址限制、用戶表記獨(dú)一性、組合鑒識(shí)技術(shù)、口令朿略、登錄朿略、遠(yuǎn)程管理和權(quán)限分別。主機(jī)安全身份鑒識(shí)5主要核查：用戶身份鑒識(shí)方式、賬號(hào)與用戶對(duì)應(yīng)關(guān)系和密碼安全強(qiáng)度，包含賬戶和口令長(zhǎng)度設(shè)置狀況，口令改正周期等；登錄失敗辦理功能設(shè)置狀況。接見(jiàn)控制4主要核查：特權(quán)用戶的權(quán)限分別狀況；默認(rèn)賬戶的訪問(wèn)權(quán)限；剩余和過(guò)期的賬戶的辦理狀況；管理用戶最小受權(quán)原則落真相況。

安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注安全審計(jì)4主要核查：安全審計(jì)的覆蓋范圍；記錄內(nèi)容完好性；審計(jì)記錄的剖析能力；審計(jì)記錄的保護(hù)狀況。入侵防備1+主要核查：重要服務(wù)器入侵行為的檢測(cè)/報(bào)警狀況；重要程序的完好性保護(hù)狀況；主機(jī)資源的使用狀況；操作系統(tǒng)組件安裝和補(bǔ)丁升級(jí)狀況。歹意代碼防備2主要核查：系統(tǒng)補(bǔ)丁安裝狀況；防病毒和歹意代碼產(chǎn)品的使用狀況及升級(jí)狀況；核查系統(tǒng)能否有木馬程序。資源控制3主要核查：終端登錄限制方式；重要服務(wù)器資源的監(jiān)視狀況；系統(tǒng)服務(wù)水平的核查和報(bào)警能力。應(yīng)用安全身份鑒識(shí)4主要核查：用戶身份鑒識(shí)方式、賬號(hào)與用戶對(duì)應(yīng)關(guān)系和密碼安全強(qiáng)度，包含賬戶和口令長(zhǎng)度設(shè)置狀況，口令改正周期等；登錄失敗辦理功能設(shè)置狀況。接見(jiàn)控制4主要核查：特權(quán)用戶的權(quán)限分別狀況；默認(rèn)賬戶的訪問(wèn)權(quán)限；剩余和過(guò)期的賬戶的辦理狀況；管理用戶最小受權(quán)原則落真相況。安全審計(jì)3主要核查：安全審計(jì)的覆蓋范圍；記錄內(nèi)容完好性；審計(jì)記錄的剖析能力；審計(jì)記錄的保護(hù)狀況。通信完好性1+主要核查：密碼在傳輸過(guò)程中所米納的技術(shù)能否能保證通信過(guò)程中數(shù)據(jù)的完好性。通信保密性2主要核查：通信過(guò)程中信息的傳達(dá)能否加密。軟件容錯(cuò)2主要核查：數(shù)據(jù)的校驗(yàn)功能以及恢復(fù)能力。資源控制3主要核查：終端登錄限制方式；重要服務(wù)器資源的監(jiān)視狀況；系統(tǒng)服務(wù)水平的核查和報(bào)警能力。數(shù)據(jù)安全數(shù)據(jù)完好性1+主要核查：系統(tǒng)管理數(shù)據(jù)、鑒識(shí)信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中的完好性和恢復(fù)舉措。數(shù)據(jù)保密性1主要核查：系統(tǒng)管理數(shù)據(jù)、鑒識(shí)信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸保密性和儲(chǔ)存保密性。備份和恢復(fù)2主要核查：備份策略、介質(zhì)寄存和數(shù)據(jù)恢復(fù)等。安全管理制度管理制度3+主要核查：整體安全策略建設(shè)狀況；各種安全管理制度建設(shè)狀況以及各種系統(tǒng)操作規(guī)范建設(shè)狀況。擬訂和發(fā)布3主要核查：安全管理制度擬訂的責(zé)任部門建立狀況；安全管理制度的擬訂過(guò)程以及公布方式。評(píng)審和修訂1主要核查：安全管理制度評(píng)審訂正機(jī)遇以及目前安全管理制度訂正狀況。

安全分類1安全子類測(cè)評(píng)項(xiàng)數(shù)備注安全管理機(jī)構(gòu)J-XJ［亠>rr岡位設(shè)置2主要核查：安全管理崗位建立及職責(zé)明確狀況。人員裝備2主要核查：安全管理崗位人員裝備狀況。受權(quán)和審批2主要核查：針對(duì)重要系統(tǒng)操作的受權(quán)和審批狀況。交流和合作2主要核查：與系統(tǒng)內(nèi)部以及外面有關(guān)部門、單位的日常交流體制。審察和檢查1主要核查：系統(tǒng)安全檢查工作規(guī)范化程度和落真相況。安全人員管理人員錄取3+主要核查：人員錄取過(guò)程規(guī)范化管理；對(duì)錄取人員保密責(zé)任的拘束方式以及對(duì)要點(diǎn)岡位職責(zé)拘束的方式。人員離崗3主要核查：人員離崗過(guò)程控制；人員離崗的保密承諾控制。人員查核1主要核查：人員平時(shí)技術(shù)查核狀況以及針對(duì)要點(diǎn)崗位的信用審察狀況。安全意識(shí)教育和培訓(xùn)3+主要核查：安全培訓(xùn)計(jì)劃的擬訂狀況和實(shí)行狀況。外面人員接見(jiàn)管理1+主要核查：對(duì)外面人員進(jìn)入重要地區(qū)的審批、控制管理。系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)3主要核查：信息系統(tǒng)能否明確其安全保護(hù)等級(jí)，系統(tǒng)定級(jí)的有關(guān)狀況。安全方案設(shè)計(jì)4主要核杳：系統(tǒng)的信息安全工作的整體規(guī)劃設(shè)計(jì)情況。產(chǎn)品采買和使用3主要核查：系統(tǒng)中信息安全產(chǎn)品的采買和使用管理措施。自行軟件開(kāi)發(fā)3主要核查：系統(tǒng)內(nèi)自行軟件開(kāi)發(fā)工作的管理和控制措施。外包軟件開(kāi)發(fā)4主要核查：外包開(kāi)發(fā)的軟件質(zhì)量，保證外包軟件安全可用。工程實(shí)行2主要核查：信息系統(tǒng)工程的實(shí)行狀況。測(cè)試查收3主要核查：信息系統(tǒng)工程的查收狀況。系統(tǒng)交托3主要核查：信息系統(tǒng)工程的交托狀況。安全服務(wù)商選擇3主要核查：對(duì)系統(tǒng)中有關(guān)的安全服務(wù)商選擇以及服務(wù)管理舉措。系統(tǒng)運(yùn)維管理環(huán)境管理4主要核查：對(duì)機(jī)房基礎(chǔ)設(shè)備平時(shí)管理狀況以及辦公環(huán)境的管理。

安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)備注財(cái)產(chǎn)管理4主要核查：對(duì)系統(tǒng)財(cái)產(chǎn)管理的制度建設(shè)狀況以及表記管理。介質(zhì)管理4主要核查：對(duì)各種介質(zhì)的傳輸、使用、儲(chǔ)存和銷毀等環(huán)節(jié)的管理。設(shè)備管理4主要核查：對(duì)各種設(shè)備平時(shí)的使用、操作和保護(hù)維修的管理。網(wǎng)絡(luò)安全管理6主要核查：安全管理制度建設(shè)狀況以及違規(guī)聯(lián)網(wǎng)檢查狀況。系統(tǒng)安全管理6主要核查：對(duì)系統(tǒng)的接見(jiàn)權(quán)限控制、補(bǔ)丁、平時(shí)破綻掃描以及審計(jì)的管理。歹意代碼防備管理3主要核查：對(duì)歹意代碼的檢測(cè)、剖析等防備工作的管理。密碼管理1主要核查：密碼使用的制度化建設(shè)及落真相況。改正管理2主要核查：改正活動(dòng)制度化建設(shè)狀況以及改正前、變更中和改正后的規(guī)范化管理狀況。備份與恢復(fù)管理3主要核查：系統(tǒng)數(shù)據(jù)的平時(shí)備份管理以及系統(tǒng)恢復(fù)管理。安全事件處理4主要核查：安全事件報(bào)告和處理的制度建設(shè)狀況以及不一樣安全事件辦理過(guò)程的規(guī)范化管理狀況。應(yīng)急方案管理2主要核查：應(yīng)急方案擬訂狀況、人力、設(shè)備、技術(shù)、財(cái)務(wù)和外面協(xié)作等方面的資源保障狀況以及對(duì)應(yīng)急方案的培訓(xùn)和平時(shí)操練狀況。測(cè)評(píng)對(duì)象選擇方法測(cè)評(píng)對(duì)象的確定采納抽查的方法，即：抽查信息系統(tǒng)中擁有代表性的組件作為測(cè)評(píng)對(duì)象。而且，在測(cè)評(píng)對(duì)象確立任務(wù)中應(yīng)兼?zhèn)涔ぷ魍度肱c結(jié)果產(chǎn)出二者的均衡關(guān)系。第二級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)，測(cè)評(píng)對(duì)象種類上基本覆蓋，數(shù)目進(jìn)行抽樣，要點(diǎn)抽查主要的設(shè)備、設(shè)備、人員和文檔等。抽查的測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：1）主機(jī)房（包含其環(huán)境、設(shè)備和設(shè)備等）和部分輔機(jī)房，應(yīng)將擱置了服務(wù)于信息系統(tǒng)的局部（包含整體）或?qū)π畔⑾到y(tǒng)的局部（包含整體）安全性起重要作用的設(shè)備、設(shè)備的輔機(jī)房選用作為測(cè)評(píng)對(duì)象；/口、安^全等^級(jí)/口、安^全等^級(jí)1/保護(hù)項(xiàng)、~計(jì)I人J書(shū)息安全等級(jí)保護(hù)項(xiàng)目計(jì)劃書(shū)息安全等級(jí)保護(hù)項(xiàng)目計(jì)劃書(shū)2)儲(chǔ)存被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的寄存環(huán)境；3)辦公場(chǎng)所；整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造；安全設(shè)備，包含防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；界限網(wǎng)絡(luò)設(shè)備(可能會(huì)包含安全設(shè)備)，包含路由器、防火墻、認(rèn)證網(wǎng)關(guān)和界限接入設(shè)備(如樓層互換機(jī))等；對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心互換機(jī)、匯聚層互換機(jī)、路由器等；承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器(包含其操作系統(tǒng)和數(shù)據(jù)庫(kù))；管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；10)業(yè)務(wù)備份系統(tǒng)；11)信息安全主管人員、各方面的負(fù)責(zé)人員、詳細(xì)負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；12)波及到信息系統(tǒng)安全的全部管理制度和記錄。在本級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，信息系統(tǒng)中配置相同的安全設(shè)備、界限網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備、服務(wù)器、終端以及備份終端，每類應(yīng)起碼抽查一臺(tái)作為測(cè)評(píng)對(duì)象。測(cè)評(píng)方法現(xiàn)場(chǎng)測(cè)評(píng)一般包含訪談、文檔審察、配置檢查、工具測(cè)試和實(shí)地觀察五個(gè)方面。訪談是指測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員(個(gè)人/集體)進(jìn)行交流、議論等活動(dòng)獲取有關(guān)憑證，認(rèn)識(shí)有關(guān)信息。文檔審察是指檢查GB/T22239-2008中規(guī)定的一定擁有的制度、策略、操作規(guī)程等文檔能否齊備，能否有完好的制度履行狀況記錄以及文件的完好性和這些文件之間的內(nèi)部一致性。實(shí)地觀察是指依據(jù)被測(cè)系統(tǒng)的實(shí)質(zhì)狀況，測(cè)評(píng)人員到系統(tǒng)運(yùn)轉(zhuǎn)現(xiàn)場(chǎng)經(jīng)過(guò)實(shí)地的觀察人員行為、技術(shù)設(shè)備和物理環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全狀況，測(cè)評(píng)其能否達(dá)到了相應(yīng)等級(jí)的安全要求。

配置檢查是依據(jù)測(cè)評(píng)結(jié)果記錄表格內(nèi)容，利用上機(jī)考證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置能否正確，能否與文檔、有關(guān)設(shè)備和部件保持一致，對(duì)文檔審察的內(nèi)容進(jìn)行核實(shí)（包含日記審計(jì)等）。2.2工作范圍內(nèi)容2.2工作范圍內(nèi)容最后內(nèi)容將經(jīng)過(guò)現(xiàn)場(chǎng)需求調(diào)研、項(xiàng)目會(huì)議等方式與用戶方最后確認(rèn)，估計(jì)對(duì)XXXXXXXXXX進(jìn)行信息安全現(xiàn)狀與標(biāo)準(zhǔn)比較的切合性檢查和檢測(cè)。這些系統(tǒng)既相互獨(dú)立，又存在著必定的業(yè)務(wù)關(guān)系。要點(diǎn)測(cè)試和評(píng)估的地區(qū)是位于中心計(jì)房的主要設(shè)備和其所支撐的網(wǎng)絡(luò)和應(yīng)用環(huán)境。等級(jí)測(cè)評(píng)詳細(xì)測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象內(nèi)容預(yù)抽樣數(shù)目物理安全測(cè)評(píng)對(duì)象XXXX研究院9樓機(jī)房、XXXX研究院B0201機(jī)房、xxxx研究院6樓機(jī)房網(wǎng)絡(luò)安全測(cè)評(píng)對(duì)象被測(cè)評(píng)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造安全設(shè)備，包含防火墻、入侵檢測(cè)設(shè)備界限網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備），包含路由器、防火墻、認(rèn)證網(wǎng)關(guān)和界限接入設(shè)備（如樓層互換機(jī)）等對(duì)整個(gè)被測(cè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心互換機(jī)、匯聚層互換機(jī)、

路由器等。主機(jī)安全測(cè)評(píng)對(duì)象承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包含其操作系統(tǒng)和數(shù)據(jù)庫(kù)）；管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端。應(yīng)用安全測(cè)評(píng)對(duì)象能夠達(dá)成被測(cè)系統(tǒng)不一樣業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)。管理安全測(cè)評(píng)對(duì)象信息安全主管人員、各方面的負(fù)責(zé)人員、詳細(xì)負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；波及到信息系統(tǒng)安全的全部管理制度和記錄。3?項(xiàng)目實(shí)行方案項(xiàng)目實(shí)行過(guò)程項(xiàng)目實(shí)行過(guò)程共分為四項(xiàng)活動(dòng)，即測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、剖析與報(bào)告編制活動(dòng)，基本工作流程圖以下:階段工作產(chǎn)品1）測(cè)評(píng)準(zhǔn)備活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容項(xiàng)目啟動(dòng)項(xiàng)目計(jì)劃書(shū)項(xiàng)目概括、工作依照、技

術(shù)思路、工作內(nèi)容和項(xiàng)目組織等信息采集和剖析被測(cè)系統(tǒng)基本狀況剖析報(bào)告1說(shuō)明被測(cè)系統(tǒng)的范圍、安全保護(hù)等級(jí)、業(yè)務(wù)狀況、保護(hù)狀況、被測(cè)系統(tǒng)的爭(zhēng)理模式和有關(guān)部門及角色等工具和表單準(zhǔn)備采納的測(cè)評(píng)工具清單；打印的各種表單：現(xiàn)場(chǎng)測(cè)評(píng)受權(quán)書(shū)、文檔交接單現(xiàn)場(chǎng)測(cè)評(píng)受權(quán)、交接的文檔名稱2）方案編制活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容測(cè)評(píng)對(duì)象確立測(cè)評(píng)方案的測(cè)評(píng)對(duì)象部分被測(cè)系統(tǒng)的整體構(gòu)造、邊界、網(wǎng)絡(luò)地區(qū)、重要節(jié)點(diǎn)、測(cè)評(píng)對(duì)象等測(cè)評(píng)指標(biāo)確立測(cè)評(píng)方案的測(cè)評(píng)指標(biāo)部分被測(cè)系統(tǒng)定級(jí)結(jié)果、測(cè)評(píng)指標(biāo)測(cè)評(píng)內(nèi)容確立測(cè)評(píng)方案的單項(xiàng)測(cè)評(píng)實(shí)行和系統(tǒng)測(cè)評(píng)實(shí)行部分單項(xiàng)測(cè)評(píng)實(shí)行內(nèi)容及系統(tǒng)測(cè)評(píng)實(shí)行內(nèi)容測(cè)評(píng)實(shí)行手冊(cè)開(kāi)發(fā)測(cè)評(píng)方案的測(cè)評(píng)實(shí)行手冊(cè)部分各測(cè)評(píng)對(duì)象的測(cè)評(píng)內(nèi)容及方法測(cè)評(píng)方案編制測(cè)評(píng)方案文本項(xiàng)目概括、測(cè)評(píng)對(duì)象、測(cè)

評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、單項(xiàng)測(cè)評(píng)實(shí)行和系統(tǒng)測(cè)評(píng)實(shí)行內(nèi)容、測(cè)評(píng)實(shí)行手冊(cè)等3）現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容會(huì)議記錄、確認(rèn)的受權(quán)拜托工作計(jì)劃和內(nèi)容安排，雙現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備書(shū)、更新后的測(cè)評(píng)計(jì)劃和測(cè)方人員的協(xié)調(diào)，被測(cè)單位評(píng)程序應(yīng)供應(yīng)的配合訪談技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音訪談結(jié)果文檔審察管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄管理制度和管理履行過(guò)程文檔的切合狀況配置檢杳技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格檢查內(nèi)容的結(jié)果實(shí)地觀察技術(shù)安全測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄檢查內(nèi)容的結(jié)果測(cè)評(píng)結(jié)果確認(rèn)現(xiàn)場(chǎng)核查中發(fā)現(xiàn)的問(wèn)題匯總、憑證和憑證源記錄、被測(cè)單位的書(shū)面認(rèn)同文件測(cè)評(píng)活動(dòng)中發(fā)現(xiàn)的問(wèn)題、問(wèn)題的憑證和憑證源、每項(xiàng)檢查活動(dòng)中被測(cè)單位配合人員的書(shū)面認(rèn)同4）剖析與報(bào)告編制活動(dòng)階段

任務(wù)輸出文檔文檔內(nèi)容單項(xiàng)測(cè)評(píng)結(jié)果判斷等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果部分剖析被測(cè)系統(tǒng)的安全現(xiàn)狀（各個(gè)層面的基本安全狀況）與標(biāo)準(zhǔn)中相應(yīng)等級(jí)的基本要求的切合狀況，給出單項(xiàng)測(cè)評(píng)結(jié)果單項(xiàng)測(cè)評(píng)結(jié)果匯總剖析等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果匯總剖析部分匯總統(tǒng)計(jì)剖析單項(xiàng)測(cè)評(píng)結(jié)果系統(tǒng)整體測(cè)評(píng)剖析等級(jí)測(cè)評(píng)報(bào)告的系統(tǒng)整體測(cè)評(píng)剖析部分剖析系統(tǒng)整體安全狀況及對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的修訂狀況綜合測(cè)評(píng)結(jié)論形成等級(jí)測(cè)評(píng)報(bào)告的等級(jí)測(cè)評(píng)結(jié)論部分對(duì)各項(xiàng)結(jié)果進(jìn)行剖析，形成測(cè)評(píng)結(jié)論測(cè)評(píng)報(bào)告編制等級(jí)測(cè)評(píng)報(bào)告單項(xiàng)測(cè)評(píng)記錄和結(jié)果，單項(xiàng)測(cè)評(píng)結(jié)果匯總分析，系統(tǒng)整體測(cè)評(píng)結(jié)果及剖析，等級(jí)測(cè)評(píng)結(jié)論，改良建議等項(xiàng)目組織方案組別分工姓名職責(zé)組別分工姓名職責(zé)對(duì)方配合人員4.1項(xiàng)目組織構(gòu)造項(xiàng)目管理組：負(fù)責(zé)人為兩方項(xiàng)目負(fù)責(zé)人，負(fù)責(zé)整個(gè)項(xiàng)目的工作進(jìn)展、時(shí)間、人員的安排及兩方的協(xié)調(diào)工作。管理測(cè)評(píng)組：負(fù)責(zé)管理方面的測(cè)評(píng)工作，包含：機(jī)構(gòu)管理、人員管理、制度管理、建設(shè)管理、運(yùn)維管理。技術(shù)測(cè)評(píng)組：對(duì)物理、網(wǎng)絡(luò)安全方面的進(jìn)行測(cè)評(píng)，并做好現(xiàn)場(chǎng)記錄，負(fù)責(zé)測(cè)評(píng)報(bào)告的編寫(xiě)等。質(zhì)量監(jiān)察組：負(fù)責(zé)對(duì)整個(gè)項(xiàng)目的質(zhì)量監(jiān)察，包含方案、計(jì)劃、報(bào)告等評(píng)審工作，針對(duì)測(cè)評(píng)工作中的異議問(wèn)題進(jìn)行核查解決。業(yè)務(wù)專項(xiàng)配合組：由被測(cè)評(píng)單位組織，針對(duì)被測(cè)系統(tǒng)狀況賜予說(shuō)明和配合。人員構(gòu)成和職責(zé)

項(xiàng)目管理組項(xiàng)目經(jīng)理商務(wù)經(jīng)理項(xiàng)目助理質(zhì)量管理組組長(zhǎng)組員組員組員管理測(cè)評(píng)組組長(zhǎng)組員技術(shù)測(cè)評(píng)組組長(zhǎng)組員組員組員組員組員組員業(yè)務(wù)專項(xiàng)配合組組長(zhǎng)待定組員待定階段工作內(nèi)容時(shí)間計(jì)劃對(duì)方配合內(nèi)容階段輸出4.3項(xiàng)目實(shí)行計(jì)劃階段工作內(nèi)容時(shí)間計(jì)劃對(duì)方配合內(nèi)容階段輸出

項(xiàng)目準(zhǔn)備草擬項(xiàng)目計(jì)劃XXX個(gè)工作日項(xiàng)目計(jì)劃書(shū)評(píng)審論證項(xiàng)目計(jì)區(qū)分解評(píng)審論證系統(tǒng)檢查準(zhǔn)備檢查表XXX個(gè)工作日信息系統(tǒng)調(diào)查表采集檢查結(jié)果檢查資料剖析整理測(cè)評(píng)準(zhǔn)備擬訂核查方案評(píng)審XXX個(gè)工作日測(cè)評(píng)方案論證擬訂測(cè)試方案評(píng)審論證準(zhǔn)備測(cè)試工具模擬環(huán)境測(cè)試現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備拜托書(shū)等現(xiàn)場(chǎng)文檔XXX個(gè)工作日現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)拜托書(shū)、測(cè)試計(jì)劃、測(cè)試報(bào)告測(cè)試方案調(diào)整和確認(rèn)擬訂核查計(jì)劃現(xiàn)場(chǎng)核查記錄核查結(jié)果擬訂測(cè)試計(jì)劃現(xiàn)場(chǎng)測(cè)試記錄測(cè)試結(jié)果方案編制核查資料整理XXX個(gè)工作日等級(jí)測(cè)評(píng)報(bào)告測(cè)試資料整理撰寫(xiě)測(cè)評(píng)報(bào)告評(píng)審論證總結(jié)整個(gè)工作過(guò)程息安全等級(jí)保護(hù)項(xiàng)目計(jì)劃書(shū)息安全等級(jí)保護(hù)項(xiàng)目計(jì)劃書(shū)項(xiàng)目質(zhì)量管理和控制5.1過(guò)程質(zhì)量控制管理過(guò)程質(zhì)量管理風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)項(xiàng)目的質(zhì)量是整個(gè)測(cè)評(píng)工作的核心，如測(cè)評(píng)質(zhì)量沒(méi)有保障，整個(gè)測(cè)評(píng)工作的意義就無(wú)從談起。在質(zhì)量管理方面，主要從以下幾點(diǎn)進(jìn)行說(shuō)明：1）測(cè)評(píng)準(zhǔn)備階段本活動(dòng)是展開(kāi)等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證測(cè)評(píng)準(zhǔn)備工作能否充足直接關(guān)系到后續(xù)工作可否順利展開(kāi)。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)狀況，為實(shí)行測(cè)評(píng)做好文檔及測(cè)試工具等方面的準(zhǔn)備。2）方案編制階段本活動(dòng)是展開(kāi)等級(jí)測(cè)評(píng)工作的要點(diǎn)活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)供應(yīng)最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是開(kāi)發(fā)與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)內(nèi)容、測(cè)評(píng)實(shí)行手冊(cè)等，形成測(cè)評(píng)方案。3）現(xiàn)場(chǎng)測(cè)評(píng)階段本活動(dòng)是展開(kāi)等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是依照測(cè)評(píng)方案的整體要求，嚴(yán)格履行測(cè)評(píng)實(shí)行手冊(cè)，分步實(shí)行全部測(cè)評(píng)項(xiàng)目，包含單項(xiàng)測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)方面，以認(rèn)識(shí)系統(tǒng)的真切保護(hù)狀況，獲取足夠憑證，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。4）剖析與報(bào)告編制階段本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)論活動(dòng)。本活動(dòng)的主要任務(wù)是依據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》的有關(guān)要求，經(jīng)過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判斷和系統(tǒng)整體測(cè)評(píng)剖析等方法，剖析整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，綜合評(píng)論被測(cè)信息系統(tǒng)保護(hù)狀況，并形成測(cè)評(píng)報(bào)告文本。過(guò)程質(zhì)量風(fēng)險(xiǎn)控制1）測(cè)評(píng)準(zhǔn)備階段未填寫(xiě)《測(cè)評(píng)任務(wù)流程卡》的風(fēng)險(xiǎn)項(xiàng)目流程卡是在進(jìn)行測(cè)評(píng)活動(dòng)以前對(duì)整個(gè)測(cè)評(píng)活動(dòng)的流程進(jìn)行一個(gè)大概的描述，從中能夠?qū)Ρ粶y(cè)單位的基本資料進(jìn)行認(rèn)識(shí)，包含：被測(cè)系統(tǒng)整體描述文件，被測(cè)系統(tǒng)詳細(xì)描述文件，被測(cè)系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)查收?qǐng)?bào)告，安全需求剖析報(bào)告被測(cè)系統(tǒng)安全整體方案等。此外也能初步認(rèn)識(shí)被測(cè)單位的信息化建設(shè)狀況與發(fā)展，被測(cè)系統(tǒng)，包含被測(cè)系統(tǒng)的行業(yè)特色、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理地點(diǎn)、系統(tǒng)構(gòu)造、主要功能等被測(cè)系統(tǒng)基本狀況，獲取被測(cè)系統(tǒng)的背景信息和聯(lián)系方式等。測(cè)評(píng)人員還可以從中得悉整個(gè)測(cè)評(píng)工作的任務(wù)，在什么階段、什么時(shí)間、什么地址應(yīng)當(dāng)做什么樣的測(cè)評(píng)任務(wù)。風(fēng)險(xiǎn)點(diǎn)：未填寫(xiě)《測(cè)評(píng)任務(wù)流程卡》將造成不夠認(rèn)識(shí)被測(cè)單位的基本信息系統(tǒng)，對(duì)信息系統(tǒng)測(cè)評(píng)不全面，測(cè)評(píng)范圍不明確，甚至造成誤操作，進(jìn)而使測(cè)評(píng)數(shù)據(jù)不正確，更可能會(huì)造成測(cè)評(píng)結(jié)果與想要獲取的完好不符，影響整個(gè)測(cè)評(píng)工作的進(jìn)展，耗資了人力、物力、財(cái)力、給企業(yè)造成不用要的損失。還可能造成對(duì)測(cè)評(píng)任務(wù)不認(rèn)識(shí)，不知道怎樣進(jìn)展，或進(jìn)展工作雜亂，可能會(huì)使一部分系統(tǒng)沒(méi)有測(cè)評(píng)到，或在規(guī)定的時(shí)間內(nèi)不可以達(dá)成指定的任務(wù)，是整個(gè)測(cè)評(píng)工期延伸，影響測(cè)評(píng)任務(wù)。這些狀況都會(huì)影響到測(cè)評(píng)結(jié)果，跟定級(jí)內(nèi)容不符合，造成沒(méi)法定級(jí)，影響被側(cè)單位，也會(huì)傷害到企業(yè)的榮譽(yù)?？刂品椒ǎ涸谶M(jìn)行測(cè)評(píng)以前要仔細(xì)填寫(xiě)好《測(cè)評(píng)任務(wù)流程卡》，組建測(cè)評(píng)項(xiàng)目組，從資料、人員、計(jì)劃安排等方面為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)行做好準(zhǔn)備，熟習(xí)被測(cè)單位信息系統(tǒng)的基本信息，并編制項(xiàng)目計(jì)劃書(shū)。項(xiàng)目計(jì)劃書(shū)應(yīng)包含項(xiàng)目概括、工作依照、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等認(rèn)識(shí)整個(gè)測(cè)評(píng)任務(wù)，掌握好測(cè)評(píng)工作的進(jìn)展。使用的測(cè)評(píng)工具沒(méi)有校準(zhǔn)測(cè)評(píng)工具是在對(duì)被側(cè)單位信息系統(tǒng)、設(shè)備等進(jìn)行測(cè)試其能否能正常使用的一種工具。在測(cè)試的廣度上，應(yīng)基本覆蓋不一樣種類的體制，在數(shù)目、范圍上能夠抽樣；在測(cè)試的深度上，應(yīng)履行功能測(cè)試和浸透測(cè)試，功能測(cè)試可能波及體制的功能規(guī)范、高級(jí)設(shè)計(jì)和操作規(guī)程等文檔，浸透測(cè)試可能波及體制的全部可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)波及到破綻掃描工具、浸透測(cè)評(píng)工具集和協(xié)議剖析工具等多種測(cè)試工具。風(fēng)險(xiǎn)點(diǎn)：假如沒(méi)有進(jìn)行測(cè)評(píng)工具的校準(zhǔn)，或許測(cè)評(píng)工具準(zhǔn)備不齊，測(cè)評(píng)結(jié)果將沒(méi)法真切，全面反應(yīng)出來(lái)，以致有些系統(tǒng)沒(méi)法進(jìn)行測(cè)評(píng)，不可以全面認(rèn)識(shí)到系統(tǒng)的情況和系統(tǒng)存在的潛伏問(wèn)題，造成必定的安全隱患。假如測(cè)評(píng)工具出現(xiàn)故障，會(huì)使整個(gè)測(cè)評(píng)工作遇到影響，使正常的工作沒(méi)法進(jìn)行，不可以對(duì)系統(tǒng)進(jìn)行測(cè)試，影響測(cè)評(píng)進(jìn)度，可能會(huì)對(duì)系統(tǒng)的負(fù)載、服務(wù)器和網(wǎng)絡(luò)通信造成必定影響甚至傷害?？刂品椒ǎ涸谶M(jìn)行測(cè)評(píng)以前對(duì)付測(cè)評(píng)工具進(jìn)行校準(zhǔn)，保證其正常運(yùn)轉(zhuǎn)，依據(jù)測(cè)評(píng)活動(dòng)確立所需要準(zhǔn)備的測(cè)評(píng)工具，依照測(cè)評(píng)工具清單進(jìn)行盤(pán)點(diǎn)，保證所要用到的測(cè)評(píng)工具已經(jīng)準(zhǔn)備齊備，此外準(zhǔn)備部分備用工具作為備用。c）沒(méi)有項(xiàng)目計(jì)劃項(xiàng)目計(jì)劃是對(duì)整個(gè)測(cè)評(píng)工作進(jìn)行項(xiàng)目描述、工作流程、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織，時(shí)間控制等控制，保證項(xiàng)目能夠如期順利的達(dá)成。風(fēng)險(xiǎn)點(diǎn):假如沒(méi)有制作項(xiàng)目計(jì)劃，會(huì)以致后期項(xiàng)目任務(wù)不明確、管理無(wú)序、失控，工作不可以如期達(dá)成?？刂品椒ǎ涸谶M(jìn)行測(cè)評(píng)工作以前，做好項(xiàng)目計(jì)劃，對(duì)每個(gè)測(cè)評(píng)人員明確分功。2）方案編制階段a）測(cè)評(píng)指標(biāo)選用不正確測(cè)評(píng)指標(biāo)是在被測(cè)系統(tǒng)基本狀況剖析后，得出被測(cè)系統(tǒng)的定級(jí)結(jié)果，包含業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)。從GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中選擇相應(yīng)等級(jí)的安全，包含對(duì)ASG三類安全要求的選擇。風(fēng)險(xiǎn)點(diǎn)：假如測(cè)評(píng)指標(biāo)選用不明確，會(huì)造成錯(cuò)誤定級(jí)，依照錯(cuò)誤的等級(jí)進(jìn)行測(cè)評(píng)工作，使用錯(cuò)誤的測(cè)評(píng)方法，將造成測(cè)評(píng)結(jié)果偏離，比如：某單位系統(tǒng)服務(wù)安全保護(hù)等級(jí)為2級(jí)；則該系統(tǒng)的測(cè)評(píng)指標(biāo)將包含GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》“技術(shù)要求”中的2級(jí)通用指標(biāo)類（G2），2級(jí)業(yè)務(wù)信息安全指標(biāo)類（S2），2級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A2），以及第2級(jí)“管理要求”中的全部指標(biāo)類。假如指標(biāo)錯(cuò)誤，會(huì)影響到后期的全部工作，耗資了各方面的資源，使項(xiàng)目不可以如期順利達(dá)成，同時(shí)也給企業(yè)帶來(lái)巨大的損失。控制方法：經(jīng)過(guò)召開(kāi)評(píng)審會(huì)，詳細(xì)剖析被測(cè)單位的信息系統(tǒng)，對(duì)被測(cè)單位做好正確立級(jí)，明確測(cè)評(píng)指標(biāo)，順利做好測(cè)評(píng)工作。b）項(xiàng)目組每個(gè)成員包含工具測(cè)試人員開(kāi)發(fā)測(cè)評(píng)實(shí)行手冊(cè)時(shí)對(duì)測(cè)評(píng)方法選用不妥測(cè)評(píng)實(shí)行手冊(cè)是詳細(xì)指導(dǎo)測(cè)評(píng)人員怎樣進(jìn)行測(cè)評(píng)活動(dòng)的文件，是現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等的詳細(xì)描述，是保證測(cè)評(píng)活動(dòng)能夠重現(xiàn)的根本。所以，測(cè)評(píng)實(shí)行手冊(cè)應(yīng)當(dāng)盡可能詳細(xì)、充足。風(fēng)險(xiǎn)點(diǎn)：假如測(cè)評(píng)實(shí)行手冊(cè)不使用，會(huì)直接以致測(cè)評(píng)工作的錯(cuò)誤進(jìn)行，包含測(cè)評(píng)項(xiàng)（每個(gè)測(cè)評(píng)項(xiàng)可能對(duì)應(yīng)多個(gè)測(cè)評(píng)方法）、測(cè)評(píng)方法（訪談、文檔審察、配置檢查、工具測(cè)試和實(shí)地觀察等多種方法）、操作步驟和預(yù)期結(jié)果等。這樣所做的整個(gè)過(guò)程都將是一個(gè)錯(cuò)誤的過(guò)程，所做的工作也就沒(méi)有應(yīng)用價(jià)值，會(huì)延伸工期，會(huì)造成違約補(bǔ)償問(wèn)題，在人員、財(cái)力、時(shí)間的浪費(fèi)上都沒(méi)法填補(bǔ)，也會(huì)影響到企業(yè)的榮譽(yù)?？刂品椒ǎ涸敿?xì)做法就是把各層面上的測(cè)評(píng)指標(biāo)聯(lián)合到詳細(xì)測(cè)評(píng)對(duì)象上，并說(shuō)明詳細(xì)的測(cè)評(píng)方法，這樣構(gòu)成一個(gè)個(gè)能夠詳細(xì)測(cè)評(píng)實(shí)行的單元。參照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》，聯(lián)合已選定的測(cè)評(píng)指標(biāo)和測(cè)評(píng)對(duì)象，綱要說(shuō)明現(xiàn)場(chǎng)測(cè)評(píng)實(shí)行的工作內(nèi)容來(lái)編制測(cè)評(píng)實(shí)行手冊(cè)，達(dá)成以后，對(duì)其進(jìn)行評(píng)審，經(jīng)過(guò)此后，由總工、技術(shù)負(fù)責(zé)人署名確認(rèn)。c）測(cè)評(píng)實(shí)行工期時(shí)間測(cè)算不正確測(cè)評(píng)實(shí)行工期是對(duì)整個(gè)項(xiàng)目進(jìn)行的一個(gè)時(shí)間控制，這樣便于掌握整個(gè)項(xiàng)目的進(jìn)展。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)行工期嚴(yán)禁，使整個(gè)項(xiàng)目的工期延后，測(cè)評(píng)質(zhì)量降落，影響后續(xù)項(xiàng)目的展開(kāi)?？刂品椒ǎ赫匍_(kāi)評(píng)審會(huì)，由專家選用項(xiàng)目實(shí)行工期。d）測(cè)評(píng)現(xiàn)場(chǎng)人員分工計(jì)劃不合理風(fēng)險(xiǎn)點(diǎn)：專業(yè)技術(shù)人員分派不合理，會(huì)造成對(duì)測(cè)評(píng)的測(cè)評(píng)不夠全面、深入，不可以獲取完好要的數(shù)據(jù)，不可以站在適合的技術(shù)人員的角度去測(cè)評(píng)系統(tǒng)。此外，現(xiàn)場(chǎng)測(cè)評(píng)人員分工不合理，影響項(xiàng)目的進(jìn)展，人員太多造成現(xiàn)場(chǎng)雜亂，現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間浪費(fèi)，工作質(zhì)量降落，人員太少會(huì)使測(cè)評(píng)任務(wù)沒(méi)法如期達(dá)成。控制方法：經(jīng)過(guò)評(píng)審會(huì)，對(duì)項(xiàng)目進(jìn)行剖析，合理的安排測(cè)評(píng)人員。e）測(cè)評(píng)方案沒(méi)有評(píng)審測(cè)評(píng)方案是等級(jí)測(cè)評(píng)工作實(shí)行的基礎(chǔ)，指導(dǎo)等級(jí)測(cè)評(píng)工作的現(xiàn)場(chǎng)實(shí)行活動(dòng)。測(cè)評(píng)方案應(yīng)包含但不限制于以下內(nèi)容：項(xiàng)目概括、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)工具的接入點(diǎn)、單項(xiàng)測(cè)評(píng)實(shí)行、系統(tǒng)測(cè)評(píng)實(shí)行以及配套的測(cè)評(píng)實(shí)行手冊(cè)等。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒(méi)有經(jīng)過(guò)評(píng)審就投入使用，此中有些信息可能不正確、不全面或許是錯(cuò)誤的，假如依照這樣的測(cè)評(píng)方案進(jìn)行，就會(huì)造成誤操作，效率降低，測(cè)評(píng)結(jié)果也會(huì)有誤差，將不可以獲取正確靠譜的數(shù)據(jù)?？刂品椒ǎ赫匍_(kāi)方案評(píng)審會(huì)，詳細(xì)剖析被測(cè)系統(tǒng)的整體構(gòu)造、界限、網(wǎng)絡(luò)地區(qū)重要節(jié)點(diǎn)等。初步判斷被測(cè)系統(tǒng)的安全單薄點(diǎn)。剖析確立測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)試工具接入點(diǎn)，確立測(cè)評(píng)內(nèi)容及方法。編制測(cè)評(píng)方案文本，并對(duì)其內(nèi)部評(píng)審。獲得被測(cè)機(jī)構(gòu)對(duì)測(cè)評(píng)方案全部?jī)?nèi)容的署名確認(rèn)，對(duì)測(cè)評(píng)方案進(jìn)行認(rèn)同，并署名確認(rèn)。測(cè)評(píng)方案在內(nèi)部評(píng)審時(shí)沒(méi)有署名和贊同風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒(méi)有經(jīng)過(guò)署名和贊同就進(jìn)行測(cè)評(píng)，假如方案發(fā)生變化，而測(cè)評(píng)人員又不知道，這樣就會(huì)造成不用要的傷害，已經(jīng)做過(guò)的測(cè)評(píng)工作就需要從頭進(jìn)行。控制方法：測(cè)評(píng)方案在內(nèi)部評(píng)審時(shí)署名贊同后再投入項(xiàng)目中?，F(xiàn)場(chǎng)測(cè)評(píng)階段測(cè)評(píng)方案未經(jīng)被測(cè)單位署名認(rèn)同就展開(kāi)實(shí)行風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒(méi)有經(jīng)過(guò)被測(cè)方署名和贊同就進(jìn)行測(cè)評(píng)，會(huì)使企業(yè)肩負(fù)必定的法律和事故責(zé)任，對(duì)企業(yè)在信用、財(cái)力上造成必定的傷害?？刂品椒ǎ簻y(cè)評(píng)方案經(jīng)過(guò)被測(cè)單位署名確認(rèn)后在進(jìn)行項(xiàng)目的實(shí)行?，F(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前未與拜托方簽訂《現(xiàn)場(chǎng)測(cè)評(píng)受權(quán)拜托書(shū)》風(fēng)險(xiǎn)點(diǎn)：現(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前未與拜托方簽訂《現(xiàn)場(chǎng)測(cè)評(píng)受權(quán)拜托書(shū)》，造成對(duì)現(xiàn)場(chǎng)測(cè)評(píng)需要的各樣資源，包含被測(cè)單位的配合人員和需要供應(yīng)的測(cè)評(píng)條件，現(xiàn)場(chǎng)測(cè)評(píng)實(shí)行詳細(xì)時(shí)間不明確，沒(méi)法確立測(cè)評(píng)項(xiàng)目?jī)煞截?zé)任?？刂品椒ǎ含F(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前與拜托方簽訂《現(xiàn)場(chǎng)測(cè)評(píng)受權(quán)拜托書(shū)》。項(xiàng)目負(fù)責(zé)人沒(méi)有依據(jù)拜托方提出的建議和建議，對(duì)測(cè)評(píng)方案進(jìn)行必需的更新風(fēng)險(xiǎn)點(diǎn)：假如沒(méi)有依照拜托方的建議對(duì)測(cè)評(píng)方案進(jìn)行更新，項(xiàng)目將不可以順利的往下展開(kāi)，拜托方將會(huì)不配合測(cè)評(píng)工作的展開(kāi)，此外測(cè)評(píng)結(jié)果也會(huì)有誤差，甚至造成測(cè)評(píng)項(xiàng)目停止。控制方法：依據(jù)拜托方提出的建議和建議，項(xiàng)目負(fù)責(zé)人對(duì)測(cè)評(píng)方案進(jìn)行必需的更新，并做更新記錄，從頭進(jìn)行內(nèi)部評(píng)審并獲取贊同后從頭裝訂測(cè)評(píng)方案。測(cè)評(píng)結(jié)果的記錄不正確測(cè)評(píng)結(jié)果是整個(gè)測(cè)評(píng)過(guò)程的一個(gè)記錄，測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員(個(gè)人/群體)進(jìn)行交流、議論、檢查等活動(dòng)，獲取有關(guān)憑證，認(rèn)識(shí)有關(guān)信息的數(shù)據(jù)反應(yīng)。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)結(jié)果錯(cuò)誤，將不可以給被測(cè)單位信息做一個(gè)正確的反應(yīng)，對(duì)所做的訪談、文檔審察、配置檢查、工具測(cè)試和實(shí)地觀察等這些方面的數(shù)據(jù)都不可以真切體現(xiàn)，嚴(yán)重的話可能需要從頭進(jìn)行測(cè)評(píng)，那將會(huì)造成不行估計(jì)的損失?？刂品椒ǎ耗軌蚪?jīng)過(guò)現(xiàn)場(chǎng)錄音，校準(zhǔn)員對(duì)結(jié)果進(jìn)行校準(zhǔn)。測(cè)評(píng)結(jié)果沒(méi)實(shí)用戶署名確認(rèn)風(fēng)險(xiǎn)點(diǎn)：沒(méi)有經(jīng)過(guò)用戶署名的測(cè)評(píng)結(jié)果是沒(méi)有可信度的，假如此中存在問(wèn)題，用戶可能會(huì)否定，降低對(duì)測(cè)評(píng)結(jié)果的可信度，影響到后續(xù)的工作。控制方法：現(xiàn)場(chǎng)測(cè)評(píng)后的記錄應(yīng)實(shí)時(shí)讓用戶署名確認(rèn)。管理類測(cè)評(píng)文檔審察中，測(cè)評(píng)人員對(duì)文檔審察的覆蓋面不全管理類測(cè)評(píng)文檔是對(duì)測(cè)評(píng)流程進(jìn)行記錄的一個(gè)過(guò)程，包含現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、訪談、文檔審察、配置檢查、工具測(cè)試、實(shí)地觀察、測(cè)評(píng)結(jié)果確認(rèn)。風(fēng)險(xiǎn)點(diǎn)：管理類測(cè)評(píng)文檔審察中，測(cè)評(píng)人員對(duì)文檔審察的覆蓋面不全，這樣會(huì)缺乏某方面的資料，使測(cè)評(píng)結(jié)果參照不夠全面，影響后續(xù)工作?？刂品椒ǎ撼闪⒐芾眍愇臋n審察清單。測(cè)評(píng)核查表審察結(jié)果記錄落實(shí)核查表是依照被測(cè)單位的等級(jí)要求進(jìn)行核查的測(cè)評(píng)項(xiàng)清單。風(fēng)險(xiǎn)點(diǎn)：假如不對(duì)測(cè)評(píng)核查表審察的結(jié)果進(jìn)行記錄，就不知道哪些設(shè)備核查過(guò)，哪些沒(méi)有核查，不便于結(jié)果的統(tǒng)計(jì)，簡(jiǎn)單造成漏查?？刂品椒ǎ簩?duì)已查設(shè)備做好記錄，制作補(bǔ)查表，進(jìn)行補(bǔ)查。管理類測(cè)評(píng)應(yīng)依據(jù)系統(tǒng)等級(jí)確立不一樣的測(cè)評(píng)強(qiáng)度不一樣樣級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)行時(shí)的強(qiáng)度要求不一樣。一級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的一級(jí)要求二級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的二級(jí)要求，而且全部文檔之間應(yīng)保持一致性，要求有履行過(guò)程記錄的，過(guò)程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)質(zhì)狀況保持一致。三級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的三級(jí)要求，全部文檔應(yīng)具備且完好，而且全部文檔之間應(yīng)保持一致性，要求有履行過(guò)程記錄的，過(guò)程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)質(zhì)狀況保持一致，安全管理過(guò)程應(yīng)與系統(tǒng)設(shè)計(jì)方案保持一致且能夠有效管理系統(tǒng)。四級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的四級(jí)要求，全部文檔應(yīng)具備且完好，而且全部文檔之間應(yīng)保持一致性，要求有履行過(guò)程記錄的，過(guò)程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)質(zhì)狀況保持一致，安全管理過(guò)程應(yīng)與系統(tǒng)設(shè)計(jì)方案保持一致且能夠有效管理系統(tǒng)。風(fēng)險(xiǎn)點(diǎn)：在測(cè)評(píng)過(guò)程中假如對(duì)測(cè)評(píng)信息系統(tǒng)所使用的強(qiáng)度不合理，會(huì)造成錯(cuò)誤的測(cè)評(píng)結(jié)果，對(duì)被測(cè)單位擬訂安全目標(biāo)文件、安全管理制度、安全管理的履行過(guò)程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)質(zhì)配置說(shuō)明、系統(tǒng)的各樣運(yùn)轉(zhuǎn)記錄文檔、機(jī)房建設(shè)有關(guān)資料、機(jī)房進(jìn)出記錄等文件造成影響?？刂品椒ǎ洪_(kāi)評(píng)審會(huì)，依照相應(yīng)的強(qiáng)度要求來(lái)做測(cè)評(píng)。配置檢查應(yīng)依據(jù)系統(tǒng)等級(jí)確立不一樣的測(cè)評(píng)強(qiáng)度技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。下邊列出對(duì)不一樣樣級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)行時(shí)的不一樣強(qiáng)度要求。一級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的一級(jí)要求。二級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的二級(jí)要求，測(cè)評(píng)其實(shí)行的正確性和有效性，檢查配置的完好性，測(cè)試網(wǎng)絡(luò)連結(jié)規(guī)則的一致性。三級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的三級(jí)要求測(cè)評(píng)其實(shí)行的正確性和有效性，檢查配置的完好性，測(cè)試網(wǎng)絡(luò)連結(jié)規(guī)則的一致性，測(cè)試系統(tǒng)能否達(dá)到可用性和靠譜性的要求。四級(jí)：知足GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的四級(jí)要求測(cè)評(píng)其實(shí)行的正確性和有效性，檢查配置的完好性，測(cè)試網(wǎng)絡(luò)連結(jié)規(guī)則的一致性，測(cè)試系統(tǒng)能否達(dá)到可用性和靠譜性的要求。風(fēng)險(xiǎn)點(diǎn)：不一樣樣級(jí)，沒(méi)有使用相對(duì)應(yīng)的測(cè)評(píng)強(qiáng)度，相同會(huì)造成錯(cuò)誤的測(cè)評(píng)結(jié)果，假如系統(tǒng)在輸入無(wú)效命令時(shí)不可以達(dá)成其功能，將要對(duì)其進(jìn)行錯(cuò)誤測(cè)試，針對(duì)網(wǎng)絡(luò)連結(jié)，對(duì)付連結(jié)規(guī)則進(jìn)行考證，假如方法錯(cuò)誤，將使考證結(jié)果不正確?？刂品椒ǎ洪_(kāi)評(píng)審會(huì)，給被測(cè)單位做好測(cè)評(píng)等級(jí)，依照相應(yīng)的強(qiáng)度要求來(lái)做。上機(jī)考證存在誤操作的風(fēng)險(xiǎn)風(fēng)險(xiǎn)點(diǎn)：上機(jī)誤操作會(huì)獲取錯(cuò)誤的數(shù)據(jù)，使測(cè)評(píng)結(jié)果不正確，可能會(huì)對(duì)系統(tǒng)造成必定的影響，造成系統(tǒng)數(shù)據(jù)丟掉，或傷害到了此中的某些配置。控制方法：測(cè)評(píng)人員要有必定的專業(yè)技術(shù)知識(shí)貯備，原則上由被測(cè)單位技術(shù)人員依照作業(yè)指導(dǎo)書(shū)進(jìn)行操作，要有必定的應(yīng)急方案，在上機(jī)操作以前對(duì)機(jī)器上的資料進(jìn)行備份。剖析與報(bào)告階段測(cè)評(píng)剖析應(yīng)依據(jù)信息系統(tǒng)的不一樣樣級(jí)進(jìn)行不一樣強(qiáng)度的剖析和歸納在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，測(cè)評(píng)機(jī)構(gòu)對(duì)付現(xiàn)場(chǎng)測(cè)評(píng)獲取的測(cè)評(píng)結(jié)果進(jìn)行匯總剖析，形成等級(jí)測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告。測(cè)評(píng)人員在初步判斷單項(xiàng)測(cè)評(píng)結(jié)果后，還需進(jìn)行系統(tǒng)整體測(cè)評(píng)，經(jīng)過(guò)系統(tǒng)整體測(cè)評(píng)后，有的單項(xiàng)測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步訂正單項(xiàng)測(cè)評(píng)結(jié)果，爾后形成等級(jí)測(cè)評(píng)結(jié)論。風(fēng)險(xiǎn)點(diǎn)：不一樣信息系統(tǒng)被定為不一樣的等級(jí)，應(yīng)進(jìn)行不一樣強(qiáng)度的剖析和歸納，等級(jí)、強(qiáng)度不可以夠相適應(yīng)的進(jìn)行剖析，會(huì)對(duì)測(cè)評(píng)最后的測(cè)評(píng)報(bào)告造成誤差，影響被測(cè)單位的系統(tǒng)結(jié)果剖析。控制方法：依照不一樣樣級(jí)測(cè)評(píng)強(qiáng)度的要求，進(jìn)行不一樣樣級(jí)強(qiáng)度的剖析和歸納整體測(cè)評(píng)不該只考慮單項(xiàng)測(cè)評(píng)結(jié)果風(fēng)險(xiǎn)點(diǎn)：系統(tǒng)整體測(cè)評(píng)假如只考慮單項(xiàng)測(cè)評(píng)結(jié)果，不可以針對(duì)單項(xiàng)測(cè)評(píng)的不切合項(xiàng)，采納逐條判斷的方法，也不可以夠從安全控制間、層面間和地區(qū)間出發(fā)考慮，給出系統(tǒng)整體測(cè)評(píng)的詳細(xì)結(jié)果和結(jié)論，會(huì)影響到系統(tǒng)構(gòu)造的整體安全測(cè)評(píng)。不對(duì)其余有關(guān)項(xiàng)進(jìn)行剖析，沒(méi)法正確判斷該測(cè)評(píng)項(xiàng)與其余有關(guān)安全控制項(xiàng)可否發(fā)生關(guān)系關(guān)系，發(fā)生什么樣的關(guān)系關(guān)系，這些關(guān)系關(guān)系產(chǎn)生的作用能否能夠“填補(bǔ)”該測(cè)評(píng)項(xiàng)的不足。不可以剖析出與該測(cè)評(píng)項(xiàng)有關(guān)的其余層面測(cè)評(píng)對(duì)象可否和它發(fā)生關(guān)系關(guān)系，發(fā)生什么樣的關(guān)系關(guān)系，這些關(guān)系關(guān)系產(chǎn)生的作用能否能夠“填補(bǔ)”該測(cè)評(píng)項(xiàng)的不足。不可以剖析出該測(cè)評(píng)項(xiàng)有關(guān)的其余地區(qū)測(cè)評(píng)對(duì)象可否和它發(fā)生關(guān)系關(guān)系，發(fā)生什么樣的關(guān)系關(guān)系，這些關(guān)系關(guān)系產(chǎn)生的作用能否能夠“填補(bǔ)”該測(cè)評(píng)項(xiàng)的不足。控制方法：從安全角度剖析被測(cè)系統(tǒng)整體構(gòu)造的安全性，從系統(tǒng)角度剖析被測(cè)系統(tǒng)整體安全防備的合理性。整體測(cè)評(píng)除要考慮單項(xiàng)測(cè)評(píng)結(jié)果以外，應(yīng)依據(jù)不一樣信息系統(tǒng)的特色，進(jìn)行有針對(duì)性的剖析，召開(kāi)內(nèi)部專家人員會(huì)議共同剖析議論，對(duì)測(cè)評(píng)結(jié)果進(jìn)行增補(bǔ)。單項(xiàng)測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果判斷不正確風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果狀況不正確，對(duì)測(cè)評(píng)結(jié)果將不可以給出真切的反應(yīng)，會(huì)對(duì)下邊的整體測(cè)評(píng)造成必定的影響?？刂品椒ǎ喊磳用娣謩e匯總不一樣測(cè)評(píng)對(duì)象對(duì)應(yīng)測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果狀況，包含測(cè)評(píng)多少項(xiàng)，切合要求的多少項(xiàng)等內(nèi)容，一般以表格形式列出。表格中清楚的描述出測(cè)評(píng)對(duì)象，測(cè)評(píng)指標(biāo)。并以“”表示“切合”，“”表示部分切合，“X”表示“不切合”，“N/A”表示“不合用”。這樣對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的判斷就很清楚正確了，此外由質(zhì)量監(jiān)察員對(duì)判斷結(jié)果進(jìn)行審察，出現(xiàn)爭(zhēng)議，由技術(shù)負(fù)責(zé)人進(jìn)行仲裁。對(duì)測(cè)評(píng)報(bào)告的審察沒(méi)有經(jīng)過(guò)評(píng)審會(huì)進(jìn)行風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)報(bào)告的審察假如沒(méi)有經(jīng)過(guò)評(píng)審會(huì)進(jìn)行，中間存在的問(wèn)題可能就無(wú)法表現(xiàn)出來(lái)，對(duì)被測(cè)單位的系統(tǒng)狀況也沒(méi)法清楚的認(rèn)識(shí)，可能會(huì)獲取不正確的結(jié)論?？刂品椒ǎ簩?duì)測(cè)評(píng)報(bào)告的審察應(yīng)經(jīng)過(guò)評(píng)審會(huì)進(jìn)行，應(yīng)選擇擁有高職稱的技術(shù)人員實(shí)行參加。沒(méi)有對(duì)測(cè)評(píng)報(bào)告的編制格式一致風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)報(bào)告的編制格式不一致，簡(jiǎn)單造成文檔雜亂，不便于管理，也不方便查問(wèn)?？刂品椒ǎ憾ㄖ埔恢碌奈臋n編號(hào)規(guī)范，文檔蓋印規(guī)范。5.2改正控制管理改正管理存在的風(fēng)險(xiǎn)項(xiàng)目構(gòu)成員受外面要素影響出現(xiàn)改動(dòng)在項(xiàng)目進(jìn)行過(guò)程中，項(xiàng)目構(gòu)成員因工作調(diào)換、出門學(xué)習(xí)、身體健康等原由，需要改正人員、調(diào)整成員分工的狀況，會(huì)對(duì)測(cè)評(píng)準(zhǔn)時(shí)保質(zhì)達(dá)成造成影響。改正管理控制方法風(fēng)險(xiǎn)點(diǎn)：在項(xiàng)目進(jìn)行過(guò)程中，項(xiàng)目構(gòu)成員因工作調(diào)換、出門學(xué)習(xí)、身體健康等原由，需要改正人員、調(diào)整成員分工的狀況，會(huì)對(duì)測(cè)評(píng)準(zhǔn)時(shí)保質(zhì)達(dá)成造成影響。控制方法：在項(xiàng)目構(gòu)成立后，原則不一樣意人員半途退出。的確沒(méi)法防止，由項(xiàng)目經(jīng)理指派其余有能力的人員取代，有關(guān)人員需寫(xiě)出工作移交報(bào)告，妥當(dāng)達(dá)成工作交接程序。5.3項(xiàng)目風(fēng)險(xiǎn)管理項(xiàng)目進(jìn)度風(fēng)險(xiǎn)的管理5.3.1.1項(xiàng)目進(jìn)度管理存在的風(fēng)險(xiǎn)項(xiàng)目進(jìn)度管理在項(xiàng)目管理系統(tǒng)中是比較重要的一個(gè)方面，要求在保證項(xiàng)目質(zhì)量的前提下準(zhǔn)時(shí)達(dá)成項(xiàng)目是項(xiàng)目進(jìn)度管理的主要目的。項(xiàng)目進(jìn)度管理主要從項(xiàng)目時(shí)間計(jì)劃和項(xiàng)目時(shí)間控制等方面對(duì)項(xiàng)目進(jìn)行管理，保證測(cè)評(píng)項(xiàng)目準(zhǔn)時(shí)達(dá)成。等級(jí)測(cè)評(píng)項(xiàng)目管理中應(yīng)關(guān)注以下幾點(diǎn)：與拜托方交涉過(guò)程中拜托方不重視等級(jí)測(cè)評(píng)造成的項(xiàng)目時(shí)間遲延，如需要拜托方確認(rèn)的項(xiàng)目計(jì)劃書(shū)拜托方遲遲不給回復(fù)，需要拜托方供應(yīng)的資料拜托方嚴(yán)禁時(shí)交給項(xiàng)目組等；沒(méi)有合理安排現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)時(shí)間，造成沒(méi)法進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)和造成拜托方損失等狀況。如安排在拜托方工作忙碌階段做測(cè)評(píng)、安排在被測(cè)系統(tǒng)業(yè)務(wù)頂峰期做浸透測(cè)試等活動(dòng)；沒(méi)有合理計(jì)劃項(xiàng)目周期造成成本增添影響其余項(xiàng)目工作進(jìn)行；項(xiàng)目中時(shí)間掌握不正確造成項(xiàng)目時(shí)間延遲，如在現(xiàn)場(chǎng)測(cè)評(píng)階段和方案編制階段時(shí)間的掌握不正確，以致階段工作沒(méi)有準(zhǔn)時(shí)達(dá)成等。5.3.1.2項(xiàng)目進(jìn)度管理控制方法時(shí)間管理關(guān)系效益，所以需要在項(xiàng)目的啟動(dòng)階段時(shí)對(duì)項(xiàng)目合理的計(jì)劃，與拜托方交流使其對(duì)測(cè)評(píng)工作充足重視，并與其磋商合理安排現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間，掌握階段時(shí)間控制。詳細(xì)方法以下：現(xiàn)場(chǎng)準(zhǔn)備階段風(fēng)險(xiǎn)點(diǎn)：被測(cè)單位為測(cè)評(píng)項(xiàng)目組供應(yīng)其所需要的各樣資料，包含被測(cè)單位的各種目標(biāo)文件、規(guī)章制度及有關(guān)過(guò)程管理記錄、被測(cè)系統(tǒng)整體描述文件網(wǎng)絡(luò)拓?fù)鋱D、管理記錄文檔等。若拜托方提交有關(guān)信息系統(tǒng)資料超期、不實(shí)時(shí)將以致項(xiàng)目整體工期遲延。控制方法：對(duì)付拜托方詳細(xì)介紹測(cè)評(píng)的重要性和必需性，說(shuō)明供應(yīng)信息資料對(duì)整個(gè)測(cè)評(píng)過(guò)程的重要性。供應(yīng)詳細(xì)的信息系統(tǒng)資準(zhǔn)備清單，指導(dǎo)被測(cè)單位準(zhǔn)備有關(guān)信息資料。方案編制階段風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案草稿應(yīng)經(jīng)過(guò)測(cè)評(píng)項(xiàng)目組全體成員評(píng)審，若評(píng)審時(shí)間過(guò)長(zhǎng)將影響項(xiàng)目后續(xù)工作展開(kāi)。測(cè)評(píng)項(xiàng)目組將確立的測(cè)評(píng)方案提交給被測(cè)單位后，被測(cè)單位對(duì)付該測(cè)評(píng)方案進(jìn)行署名認(rèn)同，但若遲遲未認(rèn)同署名，將以致后續(xù)工作沒(méi)有方法進(jìn)行，影響項(xiàng)目整體進(jìn)度?？刂品椒ǎ?、項(xiàng)目組擬訂會(huì)議日程，對(duì)計(jì)劃內(nèi)的任務(wù)要準(zhǔn)時(shí)達(dá)成。2、方案經(jīng)與拜托方磋商確立后，跟著項(xiàng)目的展開(kāi)，應(yīng)合時(shí)提示拜托方供應(yīng)時(shí)間、人員等的配合。風(fēng)險(xiǎn)點(diǎn)：安排工具測(cè)試時(shí)沒(méi)有避開(kāi)被測(cè)系統(tǒng)的業(yè)務(wù)頂峰期?？刂品椒ǎ簩?shí)行現(xiàn)場(chǎng)測(cè)評(píng)或工具測(cè)試前應(yīng)充足與被測(cè)單位進(jìn)行磋商，確立適合的時(shí)間點(diǎn)實(shí)行測(cè)評(píng)。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)行整體工期測(cè)算不正確以致工期遲延項(xiàng)目成本提高、影響其余后續(xù)項(xiàng)目工作安排?？刂品椒ǎ簻y(cè)評(píng)方案草稿形成后應(yīng)召開(kāi)內(nèi)部專家評(píng)審會(huì)，針對(duì)時(shí)間安排、測(cè)評(píng)對(duì)象等要點(diǎn)點(diǎn)進(jìn)行評(píng)審并署名確認(rèn)。現(xiàn)場(chǎng)測(cè)評(píng)階段風(fēng)險(xiǎn)點(diǎn)：現(xiàn)場(chǎng)測(cè)評(píng)階段需召開(kāi)現(xiàn)場(chǎng)測(cè)評(píng)首次會(huì)，測(cè)評(píng)項(xiàng)目組介紹測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)計(jì)劃和方案中的內(nèi)容。測(cè)評(píng)兩方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各樣資源，包含被測(cè)單位的配合人員和需要供應(yīng)的測(cè)評(píng)條件等。被測(cè)單位簽訂現(xiàn)場(chǎng)測(cè)評(píng)受權(quán)拜托書(shū)。但現(xiàn)場(chǎng)準(zhǔn)備階段時(shí)間控制不好耗資了很長(zhǎng)時(shí)間，造成的項(xiàng)目工期的延遲。控制方法：對(duì)項(xiàng)目準(zhǔn)備階段進(jìn)行時(shí)間計(jì)劃，擬訂首次測(cè)評(píng)現(xiàn)場(chǎng)會(huì)會(huì)議日程。剖析報(bào)告階段風(fēng)險(xiǎn)點(diǎn)：在剖析報(bào)告階段要進(jìn)行單項(xiàng)測(cè)評(píng)結(jié)果判斷、單項(xiàng)測(cè)評(píng)結(jié)果匯總剖析、系統(tǒng)整體測(cè)評(píng)剖析、綜合測(cè)評(píng)結(jié)論形成、測(cè)評(píng)報(bào)告編制等五個(gè)階段。階段間的工作環(huán)環(huán)相扣，假如時(shí)間安排不合理將以致下一階段的工作沒(méi)法連續(xù)或整體工期遲延。控制方法：擬訂詳細(xì)的剖析報(bào)告階段時(shí)間計(jì)劃。項(xiàng)目構(gòu)成員間踴躍交流，協(xié)調(diào)工作展開(kāi)。項(xiàng)目協(xié)作與交流風(fēng)險(xiǎn)的管理5.3.2.1協(xié)作與交流原則為保證項(xiàng)目順利實(shí)行，項(xiàng)目構(gòu)成員應(yīng)依照相互協(xié)作、主動(dòng)交流和盡早交流的原則。項(xiàng)目實(shí)行中，只有相互協(xié)作、盡早交流、主動(dòng)交流才能實(shí)時(shí)發(fā)現(xiàn)問(wèn)題和解決問(wèn)題，保證項(xiàng)目的順利實(shí)行。5.3.2.2交流管理方法為防止項(xiàng)目人員被動(dòng)式、對(duì)付式交流，任意而行、雜亂無(wú)序，為讓項(xiàng)目人員明確自己的交流職責(zé)，特?cái)M訂以下交流計(jì)劃：1）與拜托方的交流a）在測(cè)評(píng)準(zhǔn)備階段，業(yè)務(wù)受理人員應(yīng)見(jiàn)告拜托方信息系統(tǒng)等級(jí)測(cè)評(píng)所一定提交的詳細(xì)資料；b）項(xiàng)目負(fù)責(zé)人應(yīng)在測(cè)評(píng)項(xiàng)目立項(xiàng)后，應(yīng)向拜托方揭露測(cè)評(píng)風(fēng)險(xiǎn)，說(shuō)明測(cè)評(píng)過(guò)程中可能帶來(lái)的風(fēng)險(xiǎn)，并說(shuō)明風(fēng)險(xiǎn)躲避的方法；C）在測(cè)評(píng)項(xiàng)目準(zhǔn)備階段，項(xiàng)目負(fù)責(zé)人應(yīng)與拜托方交流，對(duì)測(cè)評(píng)時(shí)間、人員等做出合理安排，以保證測(cè)評(píng)實(shí)行工期避開(kāi)被測(cè)系統(tǒng)的業(yè)務(wù)頂峰期，保證測(cè)評(píng)項(xiàng)目順利達(dá)成；d）項(xiàng)目負(fù)責(zé)人在測(cè)評(píng)方案經(jīng)過(guò)內(nèi)部評(píng)審后，實(shí)時(shí)與拜托方交流，明確見(jiàn)告拜托方測(cè)評(píng)范圍，以便拜托方供應(yīng)與測(cè)評(píng)方案符合的配合資源（人力場(chǎng)所）；e）測(cè)評(píng)核查表審察結(jié)果記錄必定要由拜托方人員署名，保證記錄結(jié)果的有效性；f）現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，項(xiàng)目構(gòu)成員與拜托方人員交流時(shí)，應(yīng)采納對(duì)方能接受的溝通風(fēng)格。注意肢體語(yǔ)言、語(yǔ)態(tài)給對(duì)方的感覺(jué)。一直向拜托方傳達(dá)一種誠(chéng)實(shí)，公正態(tài)度。無(wú)論在何種狀況下，都要防止與拜托方人員產(chǎn)生語(yǔ)言上的矛盾；g）測(cè)評(píng)組作為一個(gè)整體對(duì)外建議要一致，一個(gè)團(tuán)隊(duì)要用一種聲音說(shuō)話，防止拜托方對(duì)測(cè)評(píng)人員公正公正度產(chǎn)生誤會(huì)；h）現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，假如出現(xiàn)測(cè)評(píng)人員與拜托方交流成效不理想，要實(shí)時(shí)認(rèn)識(shí)問(wèn)題，追求有關(guān)領(lǐng)導(dǎo)和職能部門的輔助，合理的借用外面力量達(dá)到項(xiàng)目組的既定目標(biāo)。2）部門間交流a）在拜托方提交信息系統(tǒng)等級(jí)測(cè)評(píng)所必需的資料后，系統(tǒng)測(cè)評(píng)部應(yīng)會(huì)同業(yè)務(wù)受理部，組織專家對(duì)拜托方供應(yīng)的資料做詳細(xì)剖析和整理。判斷測(cè)評(píng)項(xiàng)目能否能夠立項(xiàng)，以保證測(cè)評(píng)工作順利展開(kāi)；b）系統(tǒng)測(cè)評(píng)部應(yīng)按期與質(zhì)量保障部交流，以便質(zhì)量保障部供應(yīng)相應(yīng)的軟、硬件保障，保證測(cè)評(píng)質(zhì)量。3）項(xiàng)目構(gòu)成員間交流a）項(xiàng)目構(gòu)成員內(nèi)部交流應(yīng)著重文檔化，實(shí)現(xiàn)團(tuán)隊(duì)項(xiàng)目經(jīng)驗(yàn)的有效累積；b）項(xiàng)目構(gòu)成員在項(xiàng)目實(shí)行中應(yīng)著重技術(shù)性交流，方便項(xiàng)目新成員提高技術(shù)水平；C）項(xiàng)目負(fù)責(zé)人經(jīng)過(guò)各樣門路將企圖傳達(dá)給項(xiàng)目履行人員并使項(xiàng)目履行人員理解和履行。防止項(xiàng)目履行人員理解不清最后以致項(xiàng)目雜亂甚至項(xiàng)目失?。籨）項(xiàng)目構(gòu)成員在達(dá)成各自的測(cè)評(píng)工作后，應(yīng)以項(xiàng)目日?qǐng)?bào)形式向項(xiàng)目負(fù)責(zé)人報(bào)告，以便項(xiàng)目負(fù)責(zé)人掌握項(xiàng)目進(jìn)度；e）項(xiàng)目構(gòu)成員達(dá)成測(cè)評(píng)報(bào)告后，報(bào)告所得出的結(jié)論應(yīng)磋商一致，防止拜托方對(duì)測(cè)評(píng)報(bào)告的結(jié)果提出異議。4）與領(lǐng)導(dǎo)的交流a）應(yīng)清楚各級(jí)領(lǐng)導(dǎo)的權(quán)限和角色，解決問(wèn)題時(shí)必定是要找到要點(diǎn)路徑上的要點(diǎn)領(lǐng)導(dǎo)，防止將問(wèn)題同時(shí)拋給多個(gè)領(lǐng)導(dǎo)，造成領(lǐng)導(dǎo)之間的交流成本加大，影響問(wèn)題的解決效率；b）關(guān)于項(xiàng)目中不行能達(dá)成的工作，不要一味的向領(lǐng)導(dǎo)妥協(xié)，這既是對(duì)工作的負(fù)責(zé)，也是對(duì)項(xiàng)目組的負(fù)責(zé)。經(jīng)過(guò)多方面的交流管理，為提高信用度，與客戶成立優(yōu)秀的合作關(guān)系，打好堅(jiān)固的基礎(chǔ)。測(cè)評(píng)工作引入風(fēng)險(xiǎn)的管理5.3.3.1測(cè)評(píng)工作過(guò)程的風(fēng)險(xiǎn)考證測(cè)試影響系統(tǒng)正常運(yùn)轉(zhuǎn)在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行必定的考證測(cè)試工作，部分測(cè)試內(nèi)容需要上機(jī)查察一些信息，這便可能對(duì)系統(tǒng)的運(yùn)轉(zhuǎn)造成必定的影響，甚至存在誤操作的可能。敏感信息泄漏泄漏被測(cè)系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全體制、安全隱患和有關(guān)文檔信息。對(duì)測(cè)評(píng)結(jié)果存有爭(zhēng)議測(cè)評(píng)機(jī)構(gòu)和被測(cè)單位對(duì)測(cè)評(píng)結(jié)果可能存在爭(zhēng)議。5.3.3.2風(fēng)險(xiǎn)管理控制方法為了對(duì)測(cè)評(píng)過(guò)程存在的風(fēng)險(xiǎn)進(jìn)行有效躲避，將針對(duì)測(cè)評(píng)流程經(jīng)過(guò)以下幾個(gè)階段實(shí)行風(fēng)險(xiǎn)管理：測(cè)評(píng)準(zhǔn)備階段a)風(fēng)險(xiǎn)點(diǎn)：準(zhǔn)備階段在與拜托方進(jìn)行首次交流磋商后，需要拜托方供應(yīng)必定量的信息系統(tǒng)有關(guān)資料，以便經(jīng)過(guò)這些資料的認(rèn)識(shí)研究，確立下一步測(cè)評(píng)工作的展開(kāi)方法，而這些資料可能波及到拜托方的內(nèi)部機(jī)密，假如此類資料丟掉或泄漏，將對(duì)拜托方產(chǎn)生較大影響及造成經(jīng)濟(jì)損失?？刂品椒ǎ涸谂c拜托方首次交流時(shí)，簽訂《拜托階段保密協(xié)議》；從拜托方獲取資料時(shí)，應(yīng)填寫(xiě)《資料交接單》，并經(jīng)拜托方署名確認(rèn)后方可使用。b)風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)行過(guò)程中可能需要對(duì)設(shè)備和系統(tǒng)進(jìn)行上機(jī)檢查，浸透測(cè)試等而這些操作可能會(huì)對(duì)拜托方的系統(tǒng)運(yùn)轉(zhuǎn)設(shè)備安全等造成必定威迫，假如在測(cè)評(píng)項(xiàng)目準(zhǔn)備階段沒(méi)有向拜托方陳說(shuō)此類題，可能將以致實(shí)行過(guò)程中的拜托方系統(tǒng)服務(wù)中止，設(shè)備宕機(jī)等問(wèn)題?？刂品椒ǎ涸谂c拜托方交流協(xié)調(diào)時(shí)，一定將上述隱患見(jiàn)告拜托方，并建議其做相應(yīng)的保護(hù)舉措。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)工作是一項(xiàng)嚴(yán)實(shí)而又復(fù)雜的工作，其內(nèi)容波及信息系統(tǒng)的各個(gè)方面，假如測(cè)評(píng)準(zhǔn)備階段沒(méi)有將測(cè)評(píng)工作的意義及流程見(jiàn)告拜托方，將造成后期配合上的隱患，以致項(xiàng)目進(jìn)展遲緩，或沒(méi)法有序展開(kāi)?？刂品椒ǎ号c拜托方交流協(xié)調(diào)時(shí)，有必需對(duì)項(xiàng)目目的、流程及需要配合的事宜完好的見(jiàn)告拜托方，防止由此引起的不理解，不配合。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)工作需要有相當(dāng)專業(yè)技術(shù)能力的人員和有關(guān)測(cè)評(píng)工具的配合，假如測(cè)評(píng)工具準(zhǔn)備不妥或測(cè)評(píng)人員知識(shí)貯備量不足，都將對(duì)測(cè)評(píng)工作的展開(kāi)及測(cè)評(píng)結(jié)果造成影響?？刂品椒ǎ航M織測(cè)評(píng)隊(duì)伍時(shí)對(duì)付有關(guān)人員資格進(jìn)行審察，有關(guān)設(shè)備的操作人員需按期培訓(xùn)，并在確立了測(cè)評(píng)所需設(shè)備后，對(duì)所需設(shè)備進(jìn)行校準(zhǔn)。風(fēng)險(xiǎn)點(diǎn)：因?yàn)闇y(cè)評(píng)過(guò)程中波及到上機(jī)檢查，實(shí)地查察等，檢查過(guò)程中如遇突發(fā)狀況或突發(fā)威迫，如沒(méi)有對(duì)此類狀況進(jìn)行充足考慮，必然造成測(cè)評(píng)過(guò)程的中止、造成設(shè)備破壞甚至人身事故?？刂品椒ǎ簩?duì)可能波及到的安全事故應(yīng)擬