技術(shù)咨詢服務(wù)項目完成報告

1、信息安全技術(shù)咨詢服務(wù) 項目完成報告項目名稱： 項目編號： 技術(shù)咨詢服務(wù)對象： 項目 負責(zé)人： 項目組成員： 項目開始時間： 項目結(jié)束 時間： 項目交付成果： 甲方： 乙方： 代表簽字： 代表簽字： 年 月 日 年 月 日目錄的 2 項 目 依據(jù) 1 3 項 目 實 施 方案 2 3.1 技 術(shù) 咨 詢 準 備 階 段 2 確 定 技 術(shù) 咨 詢 范 圍 23.1.1 制 定 項 目 計 劃 書 33.1.2 3.2 信 息 系 統(tǒng) 現(xiàn) 狀 分 析 階段 3 現(xiàn) 場 調(diào) 研 準 備 活 動 9項目進度風(fēng)險的管錄 . 33.2.2 結(jié) 果 確 認 和 資 料 歸還 . 33.2.3 3.3 技 術(shù)

2、 咨 詢 報 告 編 制 階段 4 4 項 目 組 織 方案 4 4.1 項 目 組 織 結(jié)構(gòu) 4 4.2 項 目 人 員 構(gòu) 成 和 職責(zé) 4 4.3 項 目 實 施 計劃 6 5 項 目 質(zhì) 量 管 理 和 控制 8 5.1 過 程 質(zhì) 量 控 制 管理 8 5.2 變 更 控 制 管理 8 5.3 項 目 風(fēng) 險 管理 理 . 95.3.1 項 目 協(xié) 作 與 溝 通 風(fēng) 險 的 管理 95.3.2調(diào)研工作引入風(fēng)險的管 理 95.3.3 5.4 保 密 控 制 管 理 9 人 員 保 密 管 理 95.4.1設(shè)備保密管理 105.4.2文檔保密管 理 105.4.3 -I-1項目目的XX

3、X受XXX的委托進行信息系統(tǒng)的現(xiàn) 狀分析工作，主要分析信息系統(tǒng)的安全防護能力，確 保系統(tǒng)與網(wǎng)絡(luò)的安全性和可靠性，以提供安全和可靠 的服務(wù)。 通過對信息安全進行現(xiàn)狀分析，判斷業(yè)務(wù) 系統(tǒng)的防護能力是否滿足與安全保護等級相對應(yīng)的安 全保護要求，分析總結(jié)系統(tǒng)現(xiàn)有安全防護措施存在的 優(yōu)勢和不足，并給出整改計劃，從而促進系統(tǒng)安全防護工作的完善和提高，完善安全防護體系建設(shè)，保證 信息系統(tǒng)的安全和有效運行。 2 項目依據(jù) 山東省 信息安全等級保護測評工作規(guī)范(試行)省公安廳關(guān)于信息安全等級保護工作的實施意見 (公通字 200466 號) 信息安全等級保護管理辦法 (公通 字 200743 號) 信息安全技術(shù)

4、信息系統(tǒng)安全等級 保護基本要求(GB/T 22239-2008)信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南( GB/T 22240-2008)信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指 南 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障 工作的意見 (中辦發(fā) 200327 號) 計算機信息系 統(tǒng)安全保護等級劃分準則 ( GB/T 17859-1999) 信 息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 ( GB/T 20271-2006)信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求( GB/T 20270-2006) 信息安全技術(shù)

5、 操作系統(tǒng) 安全技術(shù)要求(GB/T 20272-2006)信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 ( GB/T 20273-2006) 信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求 ( GB/T 671-2006) 信息安全技術(shù) 信息系統(tǒng)安全管 理要求( GB/T 20269-2006) 信息安全技術(shù) 信息 系統(tǒng)安全工程管理要求 (GB/T 20282-2006) 信息 安全技術(shù) 信息安全風(fēng)險評估規(guī)范 (GB/T 20984-2007) 第1頁3 項目實施方案 3.1 技術(shù)咨詢準備階段 3.1.1 確 定技術(shù)咨詢范圍 為積極響應(yīng)國家政策要求，創(chuàng)建安 全健康的網(wǎng)絡(luò)環(huán)境，建立安全管理體系，完備安

6、全 技術(shù)措施，全面提高信息安全防護能力，本公司提 供信息安全技術(shù)咨詢服務(wù)，包括：信息安全等級保 護服務(wù)咨詢、信息安全風(fēng)險評估服務(wù)咨詢、信息安 全管理體系建設(shè)咨詢、信息安全技術(shù)體系建設(shè)咨詢。 技術(shù)咨詢服務(wù)范圍如下表所示： 表 3-1 技術(shù)咨詢服 務(wù)范圍 咨詢范圍 具體內(nèi)容 信息系統(tǒng)定級 信息 系統(tǒng)備案 信息系統(tǒng)安全現(xiàn)狀分析 信息安全等級保 護 信息系統(tǒng)建設(shè)整改 信息系統(tǒng)等級咨詢 等 級咨詢報告編制 風(fēng)險評估準備 資產(chǎn)識別 威 脅識別 信息安全風(fēng)險評估 脆弱性識別 已 有安 全措施確認 安全管理制度 安全管理機構(gòu) 人 員安全管理 信息安全管理體系建設(shè) 系統(tǒng)建設(shè)管理 系統(tǒng)運維管理 第 2 頁物 理安

7、全 網(wǎng) 絡(luò)安全 主 機安全 信息安全技術(shù)措施建設(shè) 應(yīng)用安全 數(shù) 據(jù)安全 3.1.2 制定項目計劃書 在項目計劃書 中明確項目實施流程、項目實施人員和項 目實施時間。 3.2 信息系統(tǒng)現(xiàn)狀分析階段 3.2.1 現(xiàn)場調(diào)研準備活動 現(xiàn)場調(diào)研準備活動 的目標是最終審定項目實施方案、協(xié)調(diào)各 種資源，正式啟動現(xiàn)場調(diào)研工作。主要工 作包括：簽署現(xiàn)場調(diào)研授權(quán)書；召開首次 會議，確定實施方案；協(xié)調(diào)各種資源，包 括配合人員和需要提供的材料等。 本活動 中涉及的輸出主要是更新后的實施方案及 項目實施計劃書、現(xiàn)場調(diào)研授權(quán)書和配合 人員列表。 3.2.2 現(xiàn)場調(diào)研和結(jié)果記錄 現(xiàn)場 調(diào)研活動的目標是調(diào)研人員嚴格按照調(diào)研

8、指導(dǎo)書，對信息系統(tǒng)的調(diào)研對象進行現(xiàn)場 調(diào)研、記錄結(jié)果，并保證記錄結(jié)果的真實、 準確、及時和規(guī)范性。主要工作包括：進 程確認、實施現(xiàn)場調(diào)研、記錄調(diào)研證據(jù)、 離場確認。 本活動中涉及的輸出主要是現(xiàn) 場調(diào)研獲取的各種證據(jù)。 3.2.3 結(jié)果確認和 資料歸還 本任務(wù)的目標是對調(diào)研證據(jù)進行 匯總，查漏補缺，并對發(fā)現(xiàn)的問題進行現(xiàn) 場確認，歸還所有的資料文檔，現(xiàn)場調(diào)研 工作結(jié)束。主要工作包括：現(xiàn)場調(diào)研記錄匯總，查漏補缺，歸還所有的資料文檔。 本活動中涉及的輸出主要是匯總的現(xiàn)場調(diào) 研證據(jù)源記錄、文檔交接單。 第 3 頁3.3 技術(shù)咨詢報告編制階段 在報告編制活動中，調(diào)研人員通過分 析現(xiàn)場調(diào)研獲得的證據(jù)和資料，

9、判定信息系統(tǒng)是否達到相應(yīng)安全等 級的安全要求，然后進行整體分析和風(fēng)險分析，并提出信息系統(tǒng)整 體改進方案。 4 項目組織方案 4.1 項目組織結(jié)構(gòu) 在本次項 目中，XXX成立技術(shù)咨詢項目組，下設(shè)項目總監(jiān)、 PTO專員、管理 調(diào)研組、技術(shù)調(diào)研組和質(zhì)量保證組。項目組織結(jié)構(gòu)如下圖所示： 圖 4-1 項目組織結(jié)構(gòu)圖 4.2 項目人員構(gòu)成和職責(zé) 在項目啟動任務(wù)中， XXX 成立技術(shù)咨詢項目組，負責(zé)該項目的規(guī)劃與實施，下表為項目 組成員列表： 表 4-2 項目組成員列表 擔(dān)任職務(wù) 序號 姓名 從業(yè)資格 從業(yè)年限相關(guān)經(jīng)驗 1 項目總監(jiān) 2 PT專員第4頁管理調(diào)研組 3 組長 管理調(diào)研組 4 成員 技術(shù)調(diào)研組

10、5 組長 6 技術(shù)調(diào)研組成員 78 質(zhì)量保證組 質(zhì)量保證組9 成員 第 5 頁4.3 項目實施計劃 表 4-3 技術(shù)咨詢項目計劃表 工作階段 工作小組 工作內(nèi)容 工作日 項目啟動 成立 項目組及成員分工 項目準備階段 咨詢小組 1 編制項 目計劃 編制系統(tǒng)調(diào)研表 相關(guān)資料收集 系統(tǒng)調(diào)研 系統(tǒng) 調(diào)研階段 咨詢小組 3 系統(tǒng)資料整理和分析 編制系統(tǒng) 調(diào)研報告 確定咨詢范圍 確定具體的咨詢對象 確定咨 詢工作的方法 咨詢方案準備階段 咨詢小組 準備咨詢 工具 2 編制咨詢方案 編制咨詢現(xiàn)場工作計劃 咨詢方 案和現(xiàn)場工作計劃確認 管理訪談 管理咨詢組 管理文 件查閱 技術(shù)訪談 4 現(xiàn)場咨詢階段 人工配

11、置核查 技 術(shù)咨詢組 工具測試 第 6 頁工作階段 工作小組 工作內(nèi)容 工作日 訪談結(jié)果整 理和分析 查閱結(jié)果整理和分析 整體安全管理分析 管 理咨詢組 不符合項整理 管理咨詢結(jié)論形成 改進建議 分析 訪談結(jié)果分析 現(xiàn)狀分析階段 9 核查結(jié)果分析 滲 透結(jié)果分析 技術(shù)咨詢組 不符合項整理 技術(shù)咨詢結(jié)論 形成 防范手段分析 完成咨詢報告技術(shù)部分和管理部 分 技術(shù)咨詢組 報告評審和修改 技術(shù)咨詢報告編制 咨 詢小組 編制技術(shù)咨詢服務(wù)報告 3 項目材料和文檔移 交 咨詢小組 2 項目驗收 項目驗收總結(jié) 合計 24 第 7頁5 項目質(zhì)量管理和控制 5.1 過程質(zhì)量控制管 理 過程自檢始終穿插在過程質(zhì)量

12、控制管理體系中， 它是保證過程質(zhì)量的最重要方面。過程專檢是在項目 的各個階段由項目質(zhì)量組和 PTO 專員負責(zé)對本階段 工作質(zhì)量和進度進行檢查。過程總檢是在項目的各個 階段由項目質(zhì)量組和 PTO 專員負責(zé)對總體質(zhì)量和進 度進行檢查。通過三個檢查的共同作用來保證項目的 質(zhì)量和工作的進度。 質(zhì)量保證組負責(zé)過程質(zhì)量控制 管理體系的建設(shè)和實施。質(zhì)量保證組負責(zé)過程質(zhì)量控 制管理體系的試運行和內(nèi)部審核。質(zhì)量保證組和 PTO 專員負責(zé)監(jiān)督過程質(zhì)量控制管理體系的落實情況并提 出整改意見。質(zhì)量保證組由項目總監(jiān)任命并對項目總 監(jiān)負責(zé)。 5.2 變更控制管理 對處于項目質(zhì)量和控制管 理下的變更進行控制，確保相關(guān)工作產(chǎn)

13、品和項目活動 狀態(tài)與其保持一致，使其合理、可控制、可追溯。 變更申請一般包括以下幾個步驟： 1) 提交變更申請 2) 審核變更申請 3) 識別變更可行性 4) 批準變更申請 5) 實施變更申請 變更控制管理相關(guān)人員包括變更申請 人、變更經(jīng)理、變更可行性研究小組、變更審批小組、 變更小組。其中除申請人外均由項目總監(jiān)任命質(zhì)量保 證組和PTO專員負責(zé)。 項目總監(jiān)設(shè)立PTO專員和項 目質(zhì)量保證組，對整個項目進行跟蹤和監(jiān)控。由 PTO 專員負責(zé)制定項目變更控制程序，對項目變更的提出、 變更的審核與批準、變更的實施等各個變更控制環(huán)節(jié) 的流程和內(nèi)容進行規(guī)范和指導(dǎo)。從而保證有效地控制 和管理項目變更。 第 8

14、 頁5.3 項目風(fēng)險管理 5.3.1 項目進度風(fēng)險的管理 采用 科學(xué)的方法確定進度目標，編制進度計劃與資源供應(yīng) 計劃，進行進度控制，在與質(zhì)量、費用、安全目標協(xié) 調(diào)的基礎(chǔ)上，實現(xiàn)工期目標。 編制進度計劃前進行 詳細的項目結(jié)構(gòu)分析，系統(tǒng)地剖析整個項目結(jié)構(gòu)構(gòu)成， 包括實施過程和細節(jié)，系統(tǒng)規(guī)則地分解項目。做到明 確單元之間的邏輯關(guān)系與工作關(guān)系，作到每個單元具 體地落實到責(zé)任者，并能進行各部門、各專業(yè)的協(xié)調(diào)。 5.3.2 項目協(xié)作與溝通風(fēng)險的管理 項目組內(nèi)部、咨詢 小組與被咨詢單位之間的適時、充分的溝通是達成項 目目標、保證項目成功的重要因素。項目總監(jiān)負責(zé)建 立項目溝通機制，保持暢通的項目溝通渠道。 5

15、.3.3 調(diào)研工作引入風(fēng)險的管理 調(diào)研工作的開展應(yīng)該以不 對被測系統(tǒng)造成不良影響為前提。在調(diào)研工作中要遵 循以下要求： XXX 加強對本公司調(diào)研人員安全意識教 育，提高調(diào)研實施人員主動規(guī)避風(fēng)險的能力；調(diào)研開 始前調(diào)研人員需要被測單位確認調(diào)研對象中的關(guān)鍵數(shù) 據(jù)已經(jīng)備份。如沒有備份則不進行核查；調(diào)研工作開 始前對調(diào)研可能對被測系統(tǒng)造成的影響進行評估，如 有潛在風(fēng)險則不允許在被測生產(chǎn)系統(tǒng)上核查，可協(xié)調(diào) 被測單位搭建測試環(huán)境進行核查；對于調(diào)研過程中可 能對被測系統(tǒng)產(chǎn)生較大壓力的調(diào)研動作要求必須避開 業(yè)務(wù)高峰期進行；嚴格執(zhí)行保密協(xié)議和文檔交接送還 制度，保證被測單位重要信息不外泄，調(diào)研過程由被 測單位相

16、關(guān)技術(shù)人員陪同，嚴格遵守被測單位工作紀 律和操作規(guī)程。 5.4 保密控制管理 5.4.1 人員保密管 理 調(diào)研活動開始前調(diào)研人員需要與被測單位簽訂保 密協(xié)議。調(diào)研過程中嚴格執(zhí)行保密協(xié)議規(guī)定保證被測 單位信息不被披露或使用，包括意外或過失。對違反 保密協(xié) 第 9 頁議的人員依法追究法律責(zé)任。 5.4.2 設(shè)備保 密管理 調(diào)研活動中調(diào)研人員嚴格禁止出現(xiàn)下 列行為： 將涉密信息設(shè)備接入互聯(lián)網(wǎng)及其 他公共信息網(wǎng)絡(luò)； 使用非涉密信息設(shè)備存 儲、處理國家秘密； 在涉密計算機與非涉 密計算機之間交叉使用存儲介質(zhì)； 使用低 密級信息設(shè)備存儲、處理高密級信息； 在 涉密計算機與非涉密計算機之間共用打印機、 掃描

17、儀等信息設(shè)備； 擅自卸載涉密計算機 上的安全保密防護軟件或設(shè)備； 5.4.3 文檔保 密管理 所有重要文檔集中管理，維護檔案的 安全與完整。 各項目小組人員在工作中形成 的具有參考價值的文件、材料由個人或項目 負責(zé)人整理后報文檔管理人員存檔。 檔案工 作人員必須嚴格遵守保密制度的規(guī)定，確保 檔案安全。借閱、查閱涉密文檔，應(yīng)嚴格履 行領(lǐng)導(dǎo)審批 、本人登記手續(xù)。利用涉密文檔 者負有保密的責(zé)任，不得將文檔帶走或轉(zhuǎn)借 他人，禁止攜帶文檔外出。文檔檔案一般不 得復(fù)印、摘抄，如確屬正常工作需要，需經(jīng) 有關(guān)領(lǐng)導(dǎo)批準。密文檔收回后要及時入柜加 鎖，不得在外存放。文檔工作人員發(fā)現(xiàn)失、 泄密事件要及時報告并采取補

18、救措施，避免 或減輕損害后果。 第 10 頁 獎品名稱： 500 萬 U 豆體驗卡 卡號： 50Dd4fea7001everage D、 stain7、The words below equals to one another except().A 、 the high season B 、 the busy season C 、 the peak season D. the off seasonA、熱辣的B、菜系C、苦干的D、大堂吧10、The wordA 、確認B、算賬C、結(jié)賬D、算錯賬11、C、聚會D、黨員12、 “ PC”is short for()A、 potato chips B 、 portable computer C 、 personal computer D 、 both B and C13、what should the reser