XXX等級(jí)保護(hù)測(cè)評(píng)服務(wù)合同范本

技術(shù)服務(wù)合同合同編號(hào)甲方）：合同編號(hào)乙方）：項(xiàng)目名稱(chēng)委托方（方）：受托方（方）：簽訂時(shí)間簽訂地點(diǎn)有效期限xxx月至xxx年xxx

目錄....................................................................................................................-0....................................................................................................................-0...........................................................................................-0...............................................................................................................................-1-........................................................................................................-2........................................................................................................-3...................................................................................................................................-..............................................................................................................................................................................................................................................................................-.......................................................................................................................................................................................................................................................-5..............................................................................................6...........................................................................................................................................................................................................................................................-附件1：術(shù)協(xié)議.....................................................................................................................附件2：議..............................................................................................................................--

技術(shù)服務(wù)同1.術(shù)務(wù)目要1.1完xxx。1.2xxx系統(tǒng)xxx1.3所在地報(bào)。2.術(shù)務(wù)體求2.1

xxx

。。按3.方供工條及作項(xiàng)3.1（14人

（2。（33.2類(lèi)

對(duì)文。3.44.織管4.14.2（1，；（2，。

（1（2（3（44.2.2乙（1（2（3（4（54.35.術(shù)務(wù)酬支方5.1寫(xiě)（￥XXX元

5.2付乙方體支（1（2（3（46.術(shù)務(wù)作果驗(yàn)6.1

xxx

6.26.3召。6.47.識(shí)權(quán)7.1雙（甲7.2雙8.務(wù)8.1

得技密8.39.約任方方1方的違的違9.2

乙%的3010.同更解10.1雙10.2有向1（1（2無(wú)。10.3法書(shū)10.4本11.議決11.1因

（1/仲裁照（211.2在12.詞技術(shù)的義解13.合的成分13.1技技13.2其協(xié)。14.他14.1本責(zé)14.2本捌方方肆份有同14.3特。

簽

署

頁(yè)

(負(fù)

年

日

年日：

附件1：術(shù)協(xié)議書(shū)1.述為了落實(shí)公安部、能源局和國(guó)家電網(wǎng)公司電力信息系統(tǒng)安全等級(jí)保護(hù)要求，進(jìn)一步增強(qiáng)電力信息系統(tǒng)安全防護(hù)能力，確保電力信息系統(tǒng)安全穩(wěn)定運(yùn)行，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求22239-2008）和《電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)監(jiān)信息[2007]44號(hào)）等標(biāo)準(zhǔn)規(guī)，進(jìn)行本次電力信息系統(tǒng)等級(jí)保護(hù)。1.1.目的及圍落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)要求，健全電力信息系統(tǒng)安全防護(hù)體系，統(tǒng)一信息安全防護(hù)標(biāo)準(zhǔn)和策略，按照電力信息系統(tǒng)不同安全等級(jí)，通過(guò)合理分配資源，規(guī)電力信息系統(tǒng)安全建設(shè)與防護(hù)，對(duì)電力信息系統(tǒng)分等級(jí)實(shí)施全面保護(hù)，以提高xxx系統(tǒng)信息安全的整體防護(hù)水平。通過(guò)等級(jí)保護(hù)測(cè)評(píng)工作，全面、完整地了解

xxx

系統(tǒng)的現(xiàn)有安全狀況，通過(guò)測(cè)評(píng)其與《信息系統(tǒng)安全等級(jí)保護(hù)基本要求22239-2008信息系統(tǒng)安全等級(jí)保護(hù)要（試行級(jí)別的差距達(dá)到以檢查促安全的目的實(shí)現(xiàn)重要信息系統(tǒng)的分等級(jí)保護(hù)與監(jiān)管、信息安全事件分等級(jí)響應(yīng)的要求。經(jīng)甲乙雙方協(xié)商，本項(xiàng)目的工作圍包括：1、對(duì)xxx系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)，出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告。1.2.要求本次項(xiàng)目實(shí)施方案設(shè)計(jì)以及在具體的項(xiàng)目實(shí)施過(guò)程中，我方將嚴(yán)格遵守以下的標(biāo)準(zhǔn)和原則開(kāi)展工作：客觀性和公正性原則雖然測(cè)評(píng)工作不能完全擺脫個(gè)人主或判斷，但測(cè)評(píng)人員應(yīng)當(dāng)沒(méi)有偏見(jiàn)，在最

小主觀判斷情形下，按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案，基于明確定義的測(cè)評(píng)方式和解釋?zhuān)瑢?shí)施測(cè)評(píng)活動(dòng)。規(guī)性原則安全測(cè)評(píng)過(guò)程有統(tǒng)一的流程測(cè)評(píng)過(guò)程中使用的方法及使用的文檔，需要具有很好的規(guī)性，便于測(cè)評(píng)工作的質(zhì)量保證，并測(cè)評(píng)保證結(jié)果的一致性。標(biāo)準(zhǔn)性原則測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家及行業(yè)等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行?？煽匦栽瓌t安全測(cè)評(píng)所使用的工具方法和過(guò)程要在雙方認(rèn)可的圍之安全測(cè)評(píng)的進(jìn)度要符合進(jìn)度表的安排，保證雙方對(duì)測(cè)評(píng)工作的可控性。整體性原則安全測(cè)評(píng)的圍和容應(yīng)當(dāng)全面覆蓋xxx統(tǒng)所涉及的各個(gè)層面，并考慮各個(gè)層面的相互關(guān)系。最小影響原則測(cè)評(píng)工作應(yīng)盡可能小地影響網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)行不能對(duì)系統(tǒng)的業(yè)務(wù)產(chǎn)生顯著影響例如避免造成被測(cè)評(píng)系統(tǒng)的性能明顯下降網(wǎng)絡(luò)擁塞服務(wù)中斷等。性原則對(duì)在測(cè)評(píng)過(guò)程中所接觸到的被測(cè)評(píng)單位的所有敏感信息測(cè)評(píng)人員應(yīng)遵循相關(guān)的承諾，不利用它們進(jìn)行任何侵害被測(cè)評(píng)單位安全利益的行為。2.目容依照GB/T22239-2008《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》和《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求意見(jiàn)稿對(duì)xxx統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，確定不同等級(jí)業(yè)務(wù)系統(tǒng)當(dāng)前安全防護(hù)現(xiàn)狀，以及與國(guó)家和行業(yè)等級(jí)保護(hù)要求間的差距；分析其所面臨的威脅及其存在的脆弱性，提出有針對(duì)性的抵御威

脅的防護(hù)策略和整改措施，為防和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地防止由于電力信息系統(tǒng)安全事件引發(fā)電力安全事故，全面提高電力信息系統(tǒng)安全防護(hù)水平提供科學(xué)依據(jù)。等級(jí)測(cè)評(píng)將覆蓋物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及信息安全管理等方面的容，容包括但不限于以下容：1.總體要求測(cè)評(píng)：包括總體技術(shù)要求、總體管理要求；2.安全技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；3.安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)；4.最終版報(bào)告需加蓋電力行業(yè)等級(jí)保護(hù)測(cè)評(píng)中心的印章。3.級(jí)保護(hù)測(cè)評(píng)方3.1.主要依據(jù)?18336-2001?19715-2005?19716-2005?22239-2008?50174-2008?22239-2009?通字〔2007號(hào)?監(jiān)信息〔2007號(hào)見(jiàn)3.2.技術(shù)思路

信息技術(shù)安全性評(píng)估準(zhǔn)則信息技術(shù)安全管理指南信息安全管理實(shí)用規(guī)則信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)管理辦法電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意

工具工具和表單準(zhǔn)本項(xiàng)目主要技術(shù)思路是依據(jù)上述標(biāo)準(zhǔn)，對(duì)xxx系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，依據(jù)測(cè)評(píng)以及核查的結(jié)果綜合分析給出等級(jí)測(cè)評(píng)的結(jié)果和改進(jìn)建議。具體思路如下：（1使用問(wèn)卷調(diào)查表，對(duì)

xxx

系統(tǒng)調(diào)研，掌握

xxx

系統(tǒng)的主要功能和業(yè)務(wù)流程。調(diào)閱定級(jí)報(bào)告，詳細(xì)了解測(cè)評(píng)圍的為下一步測(cè)評(píng)指標(biāo)的選取做好準(zhǔn)備。

xxx

系統(tǒng)及其包含的信息資產(chǎn)，（2在用戶許可的情況下，對(duì)

xxx

系統(tǒng)的關(guān)鍵設(shè)備和關(guān)鍵系統(tǒng)進(jìn)行手工配置檢查，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行合理性分析，對(duì)應(yīng)用系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)和分析系統(tǒng)安全技術(shù)方面與國(guó)家及行業(yè)要求之間的差距。（3采用安全核查表的形式從管理層面和技術(shù)規(guī)層面，對(duì)

xxx

系統(tǒng)進(jìn)行現(xiàn)場(chǎng)的安全管理核查，了解包括人的因素在的系統(tǒng)運(yùn)行狀況。通過(guò)對(duì)核查結(jié)果的分析，發(fā)現(xiàn)和分析管理層面與國(guó)家及行業(yè)要求之間的差距。（4在安全技術(shù)測(cè)試和安全管理核查的基礎(chǔ)上，根據(jù)

xxx

系統(tǒng)的特點(diǎn)，發(fā)現(xiàn)和分析安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，以及安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等。3.3.工作流程

xxx

系統(tǒng)整xxx

系統(tǒng)等級(jí)測(cè)評(píng)工作可以分為四個(gè)項(xiàng)目活動(dòng)階段具體實(shí)施，分別是：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)。主要工作流程如下圖所示：1)測(cè)準(zhǔn)階

動(dòng)測(cè)評(píng)準(zhǔn)備活

等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng)信息收集與分析測(cè)評(píng)準(zhǔn)備階段主要完成啟動(dòng)測(cè)評(píng)項(xiàng)目，組建測(cè)評(píng)項(xiàng)目組；通過(guò)收集和分析被測(cè)系統(tǒng)的相關(guān)資料信息，掌握被測(cè)系統(tǒng)的大體情況；通過(guò)調(diào)閱定級(jí)報(bào)告，掌握各測(cè)評(píng)對(duì)象確定

測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定

系統(tǒng)所確定的安全重要程度；并通過(guò)編制測(cè)評(píng)方案以及準(zhǔn)備測(cè)評(píng)工具和文檔等任務(wù)，為順利實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)工作打下良好的基礎(chǔ)。測(cè)評(píng)準(zhǔn)備階段實(shí)施的主要活動(dòng)包括項(xiàng)目啟動(dòng)息收集和分析編制測(cè)評(píng)方案及工具和文檔準(zhǔn)備。2)方編階本階段是開(kāi)展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是開(kāi)發(fā)與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)容、測(cè)評(píng)實(shí)施手冊(cè)等，形成測(cè)評(píng)方案。3)現(xiàn)測(cè)階本階段是開(kāi)展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)實(shí)施手冊(cè)，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單項(xiàng)測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題?，F(xiàn)場(chǎng)測(cè)評(píng)階段通過(guò)與被測(cè)單位進(jìn)行溝通和協(xié)調(diào)，為現(xiàn)場(chǎng)測(cè)評(píng)的順利開(kāi)展打下良好基礎(chǔ)，然后依據(jù)測(cè)評(píng)方案實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)工作，將測(cè)評(píng)方案和測(cè)評(píng)工具等具體落實(shí)到現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中?，F(xiàn)場(chǎng)測(cè)評(píng)工作應(yīng)取得分析與報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料。4)報(bào)編階本階段是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》的有關(guān)要求，通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定和系統(tǒng)整體測(cè)評(píng)分析等方法，分析整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，綜合評(píng)價(jià)被測(cè)信息系統(tǒng)保護(hù)狀況，并形成測(cè)評(píng)報(bào)告文本。測(cè)評(píng)人員在初步判定單項(xiàng)測(cè)評(píng)結(jié)果后，還需進(jìn)行系統(tǒng)整體測(cè)評(píng)，經(jīng)過(guò)系統(tǒng)整體測(cè)評(píng)后，有的單項(xiàng)測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂單項(xiàng)測(cè)評(píng)結(jié)果，而

后形成等級(jí)測(cè)評(píng)結(jié)論。最終組織專(zhuān)家對(duì)測(cè)評(píng)結(jié)論進(jìn)行評(píng)審。3.4.測(cè)評(píng)方法等級(jí)測(cè)評(píng)的主要方式有：訪談、檢查和測(cè)試。?談訪談是指測(cè)評(píng)人員通過(guò)與xxx系統(tǒng)有關(guān)人員（個(gè)/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)表明

xxx

系統(tǒng)安全保護(hù)措施是否落實(shí)的一種方法。在訪談的圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類(lèi)型，在數(shù)量上可以抽樣。?查檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明國(guó)

xxx

系統(tǒng)安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在檢查圍上，應(yīng)基本覆蓋所有的對(duì)象種類(lèi)（設(shè)備、文檔、機(jī)制等量上可以抽樣。?試測(cè)試是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法工具使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查看、分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證明

xxx

安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在測(cè)試圍上，應(yīng)基本覆蓋不同類(lèi)型的機(jī)制，在數(shù)量上可以抽樣。3.5.測(cè)評(píng)原則對(duì)于各種類(lèi)型測(cè)評(píng)對(duì)象數(shù)量的選擇采取抽樣的方式，其數(shù)量應(yīng)能夠滿足各級(jí)系統(tǒng)整體測(cè)評(píng)分析的需要。本項(xiàng)中涉及的設(shè)備、設(shè)施、人員和文檔的抽樣結(jié)果需在系統(tǒng)完整調(diào)查之后最終確定，并與用戶單位溝通確認(rèn)。三級(jí)及以上系統(tǒng)重點(diǎn)抽查“主要”的設(shè)備、設(shè)施、人員和文檔，其中必查的測(cè)評(píng)對(duì)象主要包括：主機(jī)房和部分輔機(jī)房（包括其環(huán)境、設(shè)備和設(shè)施等查的輔機(jī)房中放

置了服務(wù)于

xxx

系統(tǒng)的局部（包括整體）或?qū)?/p>

xxx

系統(tǒng)的局部（包括整體）安全性起重要作用的設(shè)備、設(shè)施；重要介質(zhì)的存放環(huán)境，存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存環(huán)境。整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；安全設(shè)備，包括防火墻、和防病毒網(wǎng)關(guān)等；邊界網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備（如樓層交換機(jī)）等。主要網(wǎng)絡(luò)互聯(lián)設(shè)備整個(gè)xxx系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)等；服務(wù)器中的主要服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫(kù)承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器；終端中的主要終端括管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)的終端抽查其中的一部分；應(yīng)用系統(tǒng)中的主要應(yīng)用系統(tǒng)夠完成被測(cè)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；硬件冗余設(shè)備（重要網(wǎng)絡(luò)、服務(wù)器和通信線路業(yè)務(wù)備份系統(tǒng)；安全主管人員各方面的負(fù)責(zé)人員具體負(fù)責(zé)安全管理的當(dāng)事人業(yè)務(wù)負(fù)責(zé)人、所有管理制度和記錄；4.目質(zhì)量管理與制4.1.項(xiàng)目質(zhì)量承諾為了保證本次項(xiàng)目的品質(zhì)和質(zhì)量，我方承諾：

根據(jù)標(biāo)準(zhǔn)性規(guī)性可控性整體性最小影響性及性原則做到守時(shí)、保質(zhì)；指派工作經(jīng)驗(yàn)豐富技術(shù)實(shí)力雄厚的安全顧問(wèn)結(jié)合技術(shù)領(lǐng)先結(jié)論可靠的測(cè)評(píng)工具為xxx系統(tǒng)作全面的等級(jí)保護(hù)符合性測(cè)評(píng)。承諾咨詢過(guò)程

按照國(guó)際標(biāo)準(zhǔn)進(jìn)行，并保證對(duì)客戶的資料嚴(yán)格；確保選派高級(jí)專(zhuān)家參與整個(gè)項(xiàng)目保證項(xiàng)目質(zhì)量，并在收到中標(biāo)通知后，立即召集參與項(xiàng)目的專(zhuān)家準(zhǔn)備項(xiàng)目實(shí)施；在指定的地點(diǎn)進(jìn)行測(cè)評(píng)工作和等級(jí)保護(hù)符合性測(cè)評(píng)報(bào)告的編寫(xiě)在測(cè)評(píng)期間和測(cè)評(píng)結(jié)束后，不帶走測(cè)評(píng)中的重要資料和結(jié)果。4.2.項(xiàng)目管理方法在項(xiàng)目的實(shí)施過(guò)程中，根據(jù)項(xiàng)目的具體要求，整個(gè)項(xiàng)目的管理參考美國(guó)項(xiàng)目管理協(xié)會(huì)PMI提出的項(xiàng)目管理方法學(xué)，以及一些安全專(zhuān)業(yè)領(lǐng)域的專(zhuān)家、顧問(wèn)對(duì)項(xiàng)目的實(shí)施進(jìn)行規(guī)管理實(shí)施。同時(shí)通過(guò)規(guī)化的項(xiàng)目管理，保證項(xiàng)目進(jìn)程中的過(guò)程的質(zhì)量。4.3.項(xiàng)目變更管理不受控制的項(xiàng)目變更，包括目標(biāo)變更、圍變更、人員變更、環(huán)境變更、文檔修改等等是對(duì)項(xiàng)目質(zhì)量的重大威脅。但是，期望實(shí)施過(guò)程中不出現(xiàn)變更也是不現(xiàn)實(shí)的?？陀^上，項(xiàng)目可能需要隨時(shí)修改自己的計(jì)劃、調(diào)整資源分配等以適應(yīng)項(xiàng)目的最新情況。變更控制的關(guān)鍵在于使得變更的出現(xiàn)和接受被置于項(xiàng)目雙方的嚴(yán)格管理中。本項(xiàng)目中由專(zhuān)門(mén)的質(zhì)量保證工程師負(fù)責(zé)全程監(jiān)管項(xiàng)目中隨時(shí)可能出現(xiàn)的變更情況，保證不同層次的變更能夠得到相應(yīng)的、適當(dāng)?shù)奶幚?，所有重要的修改都?jīng)過(guò)項(xiàng)目雙方的認(rèn)真討論和確認(rèn)。在確認(rèn)接受變更的情況下，項(xiàng)目雙方可能需要重新審定工期、資源、目標(biāo)、甚至商務(wù)等相關(guān)條文，并且通過(guò)配置管理保證所有人員和基線相關(guān)條目都得到了更新。對(duì)于項(xiàng)目變更管理流程如下圖：

4.4.風(fēng)險(xiǎn)與控制4.4.1.可能存在的風(fēng)險(xiǎn)1.驗(yàn)測(cè)試對(duì)行系統(tǒng)可能造成影在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作，部分測(cè)試容需要上機(jī)查看一些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。2.敏信息泄

泄漏被檢測(cè)單位xxx系統(tǒng)態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。3.對(duì)評(píng)結(jié)果爭(zhēng)議測(cè)評(píng)方和被測(cè)評(píng)單位對(duì)測(cè)評(píng)結(jié)果可能存在爭(zhēng)議。風(fēng)險(xiǎn)的規(guī)避1.簽署委托測(cè)評(píng)協(xié)議在測(cè)評(píng)工作正式開(kāi)始之前，測(cè)評(píng)方和被測(cè)評(píng)單位需要以委托協(xié)議的方式明確測(cè)評(píng)工作的目標(biāo)、圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求、以及雙方的責(zé)任和義務(wù)等。使得測(cè)評(píng)雙方對(duì)測(cè)評(píng)過(guò)程中的基本問(wèn)題達(dá)成共識(shí)，后續(xù)的工作以此為基礎(chǔ)，避免以后的工做出現(xiàn)大的分歧。2.簽署協(xié)議測(cè)評(píng)雙方應(yīng)簽署完善的、合乎法律規(guī)的協(xié)議，以約束測(cè)評(píng)雙方現(xiàn)在及將來(lái)的行為。協(xié)議規(guī)定了測(cè)評(píng)雙方方面的權(quán)利與義務(wù)。測(cè)評(píng)工作的成果屬被測(cè)評(píng)單位所有，測(cè)評(píng)方對(duì)其的引用與公開(kāi)應(yīng)得到被測(cè)評(píng)單位的授權(quán)，否則被測(cè)評(píng)單位將按照協(xié)議的要求追究測(cè)評(píng)單位的法律責(zé)任。3.現(xiàn)場(chǎng)測(cè)評(píng)工作風(fēng)險(xiǎn)的規(guī)避進(jìn)行驗(yàn)證測(cè)試時(shí)，測(cè)評(píng)方需要與被測(cè)評(píng)單位充分的協(xié)調(diào)，安排好測(cè)試時(shí)間，盡量避開(kāi)業(yè)務(wù)高峰期，在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行，并需要被測(cè)評(píng)單位對(duì)整個(gè)測(cè)試過(guò)程進(jìn)行監(jiān)督；在進(jìn)行驗(yàn)證測(cè)試前，需要對(duì)關(guān)鍵數(shù)據(jù)做好備份工作，并對(duì)可能出現(xiàn)的影響制定相應(yīng)的處理方案；上機(jī)驗(yàn)證測(cè)試原則上由被測(cè)評(píng)單位提供相應(yīng)的技術(shù)人員進(jìn)行操作，測(cè)評(píng)人員根據(jù)情況提出需要操作的容，并進(jìn)行查看和驗(yàn)證。避免由于測(cè)評(píng)人員對(duì)某些專(zhuān)用設(shè)備不熟悉造成誤操作。4.規(guī)化的實(shí)施過(guò)程為保證按計(jì)劃高質(zhì)量地完成測(cè)評(píng)工作當(dāng)明確測(cè)評(píng)記錄和測(cè)評(píng)報(bào)告要求，明確測(cè)評(píng)過(guò)程中每一階段需要產(chǎn)生的相關(guān)文檔，使測(cè)評(píng)有章可循。在委托協(xié)議和

測(cè)評(píng)方案中，需要明確雙方的人員職責(zé)、測(cè)評(píng)對(duì)象、時(shí)間計(jì)劃、測(cè)評(píng)容要求等。5.溝通與交流為避免測(cè)評(píng)工作中可能出現(xiàn)的爭(zhēng)議，在測(cè)評(píng)開(kāi)始前與測(cè)評(píng)過(guò)程中，雙方需要進(jìn)行積極有效的溝通和交流，及時(shí)解決測(cè)評(píng)中出現(xiàn)的問(wèn)題，這對(duì)保證測(cè)評(píng)的過(guò)程質(zhì)量和結(jié)果質(zhì)量有重要的作用。6.現(xiàn)場(chǎng)行為規(guī)不偽造測(cè)評(píng)記錄；不泄露

xxx

系統(tǒng)信息；不暗示被測(cè)評(píng)單位，如果提供某種利益就可以修改測(cè)評(píng)結(jié)果；測(cè)評(píng)人員進(jìn)入現(xiàn)場(chǎng)佩戴工作牌；在不違反測(cè)評(píng)工作原則的基礎(chǔ)上，遵從被測(cè)評(píng)單位的機(jī)房管理制度；使用測(cè)評(píng)專(zhuān)用的筆記本電腦，并由有資格的測(cè)評(píng)人員使用；不得將測(cè)評(píng)結(jié)果復(fù)制給非測(cè)評(píng)人員；不擅自評(píng)價(jià)測(cè)評(píng)結(jié)果。4.4.3.項(xiàng)目溝通管理在本項(xiàng)目中，將采用一些正規(guī)的項(xiàng)目溝通程序，保證參與項(xiàng)目的各方能夠保持對(duì)項(xiàng)目的了解和支持。這些管理和溝通措施將對(duì)項(xiàng)目過(guò)程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。4.4.4.日常溝通、記錄和備忘錄鼓勵(lì)項(xiàng)目參加各方在項(xiàng)目進(jìn)行過(guò)程中隨時(shí)對(duì)相關(guān)問(wèn)題進(jìn)行溝通有重要的、有主題的日常溝通活動(dòng)都應(yīng)留下記錄或形成備忘錄。日常溝通的主要渠道包括：

非正式會(huì)議電子傳真等4.4.5.會(huì)議

會(huì)議是項(xiàng)目管理活動(dòng)的重要形式，是項(xiàng)目各方進(jìn)行正式溝通的渠道。?目啟動(dòng)會(huì)議項(xiàng)目啟動(dòng)會(huì)議是項(xiàng)目正式啟動(dòng)和開(kāi)始的標(biāo)志，項(xiàng)目啟