信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目項(xiàng)目計(jì)劃書(2021整理)

文檔編號(hào)：zzzzzzxxxxxxxxxx信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工程工程方案書授權(quán)方：XXXXXXXXXX被授權(quán)方：rrrrrr編制日期：2021年2月29日目錄TOC\o"1-5"\h\z1. 概述 1工程背景 1工程目的 1工作依據(jù) 2\o"CurrentDocument"2. 技術(shù)思路和工作內(nèi)容 3技術(shù)思路 3測(cè)評(píng)指標(biāo) 3測(cè)評(píng)對(duì)象選擇方法 7測(cè)評(píng)方法 8工作范圍內(nèi)容 8\o"CurrentDocument"3. 工程實(shí)施方案 10工程實(shí)施過程 10階段工作產(chǎn)品 11\o"CurrentDocument"4. 工程組織方案 13工程組織結(jié)構(gòu) 13人員構(gòu)成和職責(zé) 14\o"CurrentDocument"工程實(shí)施方案 15\o"CurrentDocument"5. 工程質(zhì)量管理和控制 15過程質(zhì)量控制管理 16過程質(zhì)量管理風(fēng)險(xiǎn) 16過程質(zhì)量風(fēng)險(xiǎn)控制 16變更控制管理 24變更管理存在的風(fēng)險(xiǎn) 24變更管理控制方法 24工程風(fēng)險(xiǎn)管理 25工程進(jìn)度風(fēng)險(xiǎn)的管理 25工程協(xié)作與溝通風(fēng)險(xiǎn)的管理 27測(cè)評(píng)工作引入風(fēng)險(xiǎn)的管理 29保密控制管理 31人員保密管理 31設(shè)備保密管理 32文檔保密管理 32\o"CurrentDocument"6. 簽字確認(rèn) 331.1.1工程背景根據(jù)?中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?、?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求?、?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求?、?信息平安技術(shù)信息平安等級(jí)保護(hù)管理規(guī)定?等一系列國家及信息平安技術(shù)針對(duì)信息系統(tǒng)等級(jí)保護(hù)公布的政策法規(guī)及文件要求，定級(jí)為等級(jí)保護(hù)二級(jí)的信息系統(tǒng)應(yīng)該每年至少進(jìn)行一次等級(jí)測(cè)評(píng)。目前xxxxxxxxxx信息系統(tǒng)尚未進(jìn)行過等級(jí)保護(hù)專業(yè)測(cè)評(píng)。為進(jìn)一步加強(qiáng)xxxxxxxxxx信息系統(tǒng)等級(jí)保護(hù)工作，按照?信息平安技術(shù)信息平安等級(jí)保護(hù)管理規(guī)定?相關(guān)規(guī)定，方案對(duì)xxxxxxxxxx重要的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)專業(yè)測(cè)評(píng)。依據(jù)?信息平安等級(jí)保護(hù)管理方法?〔公通字[2007]43號(hào)〕的相關(guān)要求，也為了持續(xù)有效提高信息系統(tǒng)的平安防護(hù)能力，受xxxxxxxxxx委托我中心方案與2021年2月29日起對(duì)xxxxxxxxxx信息系統(tǒng)實(shí)施信息平安等級(jí)測(cè)評(píng)工作，以期通過此次測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)現(xiàn)有平安防護(hù)措施的薄弱環(huán)節(jié)，為下一步的信息系統(tǒng)平安建設(shè)整改提供可靠依據(jù)，以有效提高xxxxxxxxxx信息系統(tǒng)的平安運(yùn)行能力。1.2工程目的通過對(duì)xxxxxxxxxx開展平安測(cè)評(píng)工作，可以全面、完整地了解當(dāng)前xxxxxxxxxx的平安狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)。根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)系統(tǒng)存在的平安問題，并對(duì)嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略，并為下一步進(jìn)行整個(gè)系統(tǒng)的信息系統(tǒng)平安建設(shè)做前期準(zhǔn)備。對(duì)信息系統(tǒng)進(jìn)行平安等級(jí)測(cè)評(píng)是國家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行平安建設(shè)和管理的重要組成局部。通過對(duì)xxxxxxxxxx實(shí)施等級(jí)測(cè)評(píng)可以發(fā)現(xiàn)信息系統(tǒng)的平安現(xiàn)狀與需要到達(dá)的平安等級(jí)或目標(biāo)的差異，可以在技術(shù)和管理方面進(jìn)行有針對(duì)性的加強(qiáng)和完善，使xxxxxxxxxx平安工作有的放矢。xxxxxxxxxx可依據(jù)等級(jí)測(cè)評(píng)結(jié)果，并結(jié)合單位的實(shí)際情況，區(qū)分輕重緩急，制定針對(duì)性的平安整改建議，通過平安整改不斷提高信息系統(tǒng)的整體平安保護(hù)水平。1.3工作依據(jù)?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么？〔GB17859-1999〕?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)指南？〔GB/T22240-2021〕?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求？〔GB/T22239-2021〕?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求？?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求？〔GB/T28448-2021〕?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)過程指南？〔GB/T28449-2021〕?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南？〔GB/T25058-2021〕?信息平安技術(shù)信息系統(tǒng)通用平安技術(shù)要求？〔GB/T20271-2006〕?信息平安技術(shù)網(wǎng)絡(luò)根底平安技術(shù)要求？〔GB/T20270-2006〕?信息平安技術(shù)操作系統(tǒng)平安技術(shù)要求？〔GB/T20272-2006〕?信息平安技術(shù)數(shù)據(jù)庫管理系統(tǒng)平安技術(shù)要求？〔GB/T20273-2006〕?信息平安技術(shù)效勞器技術(shù)要求？〔GB/T21028-2007〕?信息平安技術(shù)終端計(jì)算機(jī)系統(tǒng)平安等級(jí)技術(shù)要求？〔GA/T671-2006〕?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)？〔GB/T20984-2007〕技術(shù)思路和工作內(nèi)容2.1技術(shù)思路2.1.1測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)暫定選取?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中2級(jí)系統(tǒng)根本要求指標(biāo)，包括?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求“技術(shù)要求〞中的2級(jí)通用指標(biāo)類(G2),2級(jí)業(yè)務(wù)信息平安性指標(biāo)類(S2)，和2級(jí)業(yè)務(wù)效勞保證類(A2“管理要求〃中的所有要求，平安控制指標(biāo)如下表：平安分類平安子類測(cè)評(píng)項(xiàng)數(shù)備注物理平安物理位置的選擇1測(cè)評(píng)物理機(jī)房所在的外部環(huán)境平安性。物理訪問控制2測(cè)評(píng)進(jìn)出機(jī)房的審批控制手段以及機(jī)房出入口的平安控制情況。防盜竊和防破壞5測(cè)評(píng)機(jī)房內(nèi)設(shè)備和通信線纜的平安性以及監(jiān)控報(bào)警系統(tǒng)建設(shè)情況。防雷擊2測(cè)評(píng)建筑防雷和防感應(yīng)雷的建設(shè)情況。防火1+測(cè)評(píng)自動(dòng)監(jiān)控防火系統(tǒng)設(shè)置情況以及機(jī)房材料防火情況。防水和防潮3測(cè)評(píng)機(jī)房內(nèi)水管設(shè)置情況、防止結(jié)露所采取的措施以及監(jiān)控報(bào)警系統(tǒng)建設(shè)情況。防靜電1測(cè)評(píng)機(jī)房防靜電所采取的措施。溫濕度控制1+測(cè)評(píng)機(jī)房溫濕度控制措施。電力供給2測(cè)評(píng)電力線路、備用電源以及發(fā)電機(jī)的配備情況。電磁防護(hù)1測(cè)評(píng)線纜電磁防護(hù)手段和設(shè)備電磁防護(hù)手段。網(wǎng)絡(luò)平安結(jié)構(gòu)平安4+主要核查：主要網(wǎng)絡(luò)設(shè)備的處理能力、業(yè)務(wù)頂峰期需求帶寬、路由控制、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否一致、子網(wǎng)劃分、技術(shù)隔離手段和帶寬分配朿略。訪問控制4+主要核查：訪問控制功能、協(xié)議深層檢測(cè)、網(wǎng)絡(luò)連接超時(shí)、流量限制和并發(fā)連接數(shù)限制等等。

平安分類平安子類測(cè)評(píng)項(xiàng)數(shù)備注平安審計(jì)2主要核查：網(wǎng)絡(luò)設(shè)備日志收集、分析和統(tǒng)計(jì)以及保護(hù)等等。邊界完整性檢查1主要核查：是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查并準(zhǔn)確定位和阻斷；是否能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查并準(zhǔn)確定位和阻斷。入侵防范1主要核查：部署IDS、IPS系統(tǒng)以及使用情況。網(wǎng)絡(luò)設(shè)備防護(hù)6主要核查：用戶身份鑒別、管理員登錄地址限制、用戶標(biāo)識(shí)唯一性、組合鑒別技術(shù)、口令朿略、登錄朿略、遠(yuǎn)程管理和權(quán)限別離。主機(jī)平安身份鑒別5主要核查：用戶身份鑒別方式、賬號(hào)與用戶對(duì)應(yīng)關(guān)系和密碼平安強(qiáng)度，包括賬戶和口令長度設(shè)置情況，口令更改周期等；登錄失敗處理功能設(shè)置情況。訪問控制4主要核查：特權(quán)用戶的權(quán)限別離情況；默認(rèn)賬戶的訪問權(quán)限；多余和過期的賬戶的處理情況；管理用戶最小授權(quán)原那么落實(shí)情況。平安審計(jì)4主要核查：平安審計(jì)的覆蓋范圍；記錄內(nèi)容完整性；審計(jì)記錄的分析能力；審計(jì)記錄的保護(hù)情況。入侵防范1+主要核查：重要效勞器入侵行為的檢測(cè)/報(bào)警情況；重要程序的完整性保護(hù)情況；主機(jī)資源的使用情況；操作系統(tǒng)組件安裝和補(bǔ)丁升級(jí)情況。惡意代碼防范2主要核查：系統(tǒng)補(bǔ)丁安裝情況；防病毒和惡意代碼產(chǎn)品的使用情況及升級(jí)情況；核查系統(tǒng)是否有木馬程序。資源控制3主要核查：終端登錄限制方式；重要效勞器資源的監(jiān)視情況；系統(tǒng)效勞水平的核查和報(bào)警能力。應(yīng)用平安身份鑒別4主要核查：用戶身份鑒別方式、賬號(hào)與用戶對(duì)應(yīng)關(guān)系和密碼平安強(qiáng)度，包括賬戶和口令長度設(shè)置情況，口令更改周期等；登錄失敗處理功能設(shè)置情況。訪問控制4主要核查：特權(quán)用戶的權(quán)限別離情況；默認(rèn)賬戶的訪問權(quán)限；多余和過期的賬戶的處理情況；管理用戶最小授權(quán)原那么落實(shí)情況。平安審計(jì)3主要核查：平安審計(jì)的覆蓋范圍；記錄內(nèi)容完整性；審計(jì)記錄的分析能力；審計(jì)記錄的保護(hù)情況。通信完整性1+主要核查：密碼在傳輸過程中所米用的技術(shù)是否能保證通信過程中數(shù)據(jù)的完整性。

平安分類平安子類測(cè)評(píng)項(xiàng)數(shù)備注通信保密性2主要核查：通信過程中信息的傳遞是否加密。軟件容錯(cuò)2主要核查：數(shù)據(jù)的校驗(yàn)功能以及恢復(fù)能力。資源控制3主要核查：終端登錄限制方式；重要效勞器資源的監(jiān)視情況；系統(tǒng)效勞水平的核查和報(bào)警能力。數(shù)據(jù)平安數(shù)據(jù)完整性1+主要核查：系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性和恢復(fù)措施。數(shù)據(jù)保密性1主要核查：系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸保密性和存儲(chǔ)保密性。備份和恢復(fù)2主要核查：備份策略、介質(zhì)存放和數(shù)據(jù)恢復(fù)等。平安管理制度管理制度3+主要核查：總體平安策略建設(shè)情況；各類平安管理制度建設(shè)情況以及各類系統(tǒng)操作標(biāo)準(zhǔn)建設(shè)情況。制定和發(fā)布3主要核查：平安管理制度制定的責(zé)任部門設(shè)立情況；平安管理制度的制定過程以及發(fā)布方式。評(píng)審和修訂1主要核查：平安管理制度評(píng)審修訂時(shí)機(jī)以及目前平安管理制度修訂情況。平安管理機(jī)構(gòu)崗位設(shè)置2主要核查：平安管理崗位設(shè)立及職責(zé)明確情況。人員配備2主要核查：平安管理崗位人員配備情況。授權(quán)和審批2主要核查：針對(duì)重大系統(tǒng)操作的授權(quán)和審批情況。溝通和合作2主要核查：與系統(tǒng)內(nèi)部以及外部相關(guān)部門、單位的日常溝通機(jī)制。審核和檢查1主要核查：系統(tǒng)平安檢查工作標(biāo)準(zhǔn)化程度和落實(shí)情況。平安人員管理人員錄用3+主要核查：人員錄用過程標(biāo)準(zhǔn)化管理；對(duì)錄用人員保密責(zé)任的約束方式以及對(duì)關(guān)鍵岡位職責(zé)約束的方式。人員離崗3主要核查：人員離崗過程控制；人員離崗的保密承諾控制。人員考核1主要核查：人員日常技能考核情況以及針對(duì)關(guān)鍵崗位的信用審查情況。平安意識(shí)教育和培訓(xùn)3+主要核查：平安培訓(xùn)方案的制定情況和實(shí)施情況。外部人員訪問管理1+主要核查：對(duì)外部人員進(jìn)入重要區(qū)域的審批、控制管理。

平安分類平安子類測(cè)評(píng)項(xiàng)數(shù)備注系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)3主要核查：信息系統(tǒng)是否明確其平安保護(hù)等級(jí)，系統(tǒng)定級(jí)的相關(guān)情況。平安方案設(shè)計(jì)4主要核查：系統(tǒng)的信息平安工作的總體規(guī)劃設(shè)計(jì)情況。產(chǎn)品采購和使用3主要核查：系統(tǒng)中信息平安產(chǎn)品的米購和使用管理措施。自行軟件開發(fā)3主要核查：系統(tǒng)內(nèi)自行軟件開發(fā)工作的管理和控制措施。外包軟件開發(fā)4主要核查：外包開發(fā)的軟件質(zhì)量，保證外包軟件平安可用。工程實(shí)施2主要核查：信息系統(tǒng)工程的實(shí)施情況。測(cè)試驗(yàn)收3主要核查：信息系統(tǒng)工程的驗(yàn)收情況。系統(tǒng)父付3主要核查：信息系統(tǒng)工程的交付情況。平安效勞商選擇3主要核查：對(duì)系統(tǒng)中相關(guān)的平安效勞商選擇以及效勞管理措施。系統(tǒng)運(yùn)維管理環(huán)境管理4主要核查：對(duì)機(jī)房根底設(shè)施日常管理情況以及辦公環(huán)境的管理。資產(chǎn)管理4主要核查：對(duì)系統(tǒng)資產(chǎn)管理的制度建設(shè)情況以及標(biāo)識(shí)管理。介質(zhì)管理4主要核查：對(duì)各類介質(zhì)的傳輸、使用、存儲(chǔ)和銷毀等環(huán)節(jié)的管理。設(shè)備管理4主要核查：對(duì)各類設(shè)備日常的使用、操作和維護(hù)維修的管理。網(wǎng)絡(luò)平安管理6主要核查：平安管理制度建設(shè)情況以及違規(guī)聯(lián)網(wǎng)檢查情況。系統(tǒng)平安管理6主要核查：對(duì)系統(tǒng)的訪問權(quán)限控制、補(bǔ)丁、日常漏洞掃描以及審計(jì)的管理。惡意代碼防范管理3主要核查：對(duì)惡意代碼的檢測(cè)、分析等防范工作的管理。密碼管理1主要核查：密碼使用的制度化建設(shè)及落實(shí)情況。變更管理2主要核查：變更活動(dòng)制度化建設(shè)情況以及變更前、變更中和變更后的標(biāo)準(zhǔn)化管理情況。備份與恢復(fù)管理3主要核查：系統(tǒng)數(shù)據(jù)的日常備份管理以及系統(tǒng)恢復(fù)管理。平安事件處置4主要核查：平安事件報(bào)告和處置的制度建設(shè)情況以及不同平安事件處理過程的標(biāo)準(zhǔn)化管理情況。平安分類平安子類測(cè)評(píng)項(xiàng)數(shù)備注應(yīng)急預(yù)案管理2主要核查：應(yīng)急預(yù)案制定情況、人力、設(shè)備、技術(shù)、財(cái)務(wù)和外部協(xié)作等方面的資源保障情況以及對(duì)應(yīng)急預(yù)案的培訓(xùn)和日常演練情況。2.1.2測(cè)評(píng)對(duì)象選擇方法測(cè)評(píng)對(duì)象確實(shí)定采用抽查的方法，即：抽查信息系統(tǒng)中具有代表性的組件作為測(cè)評(píng)對(duì)象。并且，在測(cè)評(píng)對(duì)象確定任務(wù)中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。第二級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)，測(cè)評(píng)對(duì)象種類上根本覆蓋，數(shù)量進(jìn)行抽樣，重點(diǎn)抽查主要的設(shè)備、設(shè)施、人員和文檔等。抽查的測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：主機(jī)房〔包括其環(huán)境、設(shè)備和設(shè)施等〕和局部輔機(jī)房，應(yīng)將放置了效勞于信息系統(tǒng)的局部〔包括整體〕或?qū)π畔⑾到y(tǒng)的局部〔包括整體〕平安性起重要作用的設(shè)備、設(shè)施的輔機(jī)房選取作為測(cè)評(píng)對(duì)象；存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；3)辦公場(chǎng)地；整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；平安設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；邊界網(wǎng)絡(luò)設(shè)備〔可能會(huì)包含平安設(shè)備〕，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備〔如樓層交換機(jī)〕等；對(duì)整個(gè)信息系統(tǒng)或其局部的平安性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、會(huì)聚層交換機(jī)、路由器等；承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的效勞器〔包括其操作系統(tǒng)和數(shù)據(jù)庫〕；管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；10)業(yè)務(wù)備份系統(tǒng)；11)信息平安主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)平安管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；12)涉及到信息系統(tǒng)平安的所有管理制度和記錄。在本級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，信息系統(tǒng)中配置相同的平安設(shè)備、邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備、效勞器、終端以及備份終端，每類應(yīng)至少抽查一臺(tái)作為測(cè)評(píng)對(duì)象。2.1.3測(cè)評(píng)方法現(xiàn)場(chǎng)測(cè)評(píng)一般包括訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地觀察五個(gè)方面訪談是指測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員〔個(gè)人/群體〕進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。文檔審查是指檢查GB/T22239-2021中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備，是否有完整的制度執(zhí)行情況記錄以及文件的完整性和這些文件之間的內(nèi)部一致性。實(shí)地觀察是指根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，測(cè)評(píng)人員到系統(tǒng)運(yùn)行現(xiàn)場(chǎng)通過實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的平安意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的平安情況，測(cè)評(píng)其是否到達(dá)了相應(yīng)等級(jí)的平安要求。配置檢查是根據(jù)測(cè)評(píng)結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)〔包括日志審計(jì)等〕。2.2工作范圍內(nèi)容最終內(nèi)容將通過現(xiàn)場(chǎng)需求調(diào)研、工程會(huì)議等方式與用戶方最終確認(rèn)，預(yù)計(jì)對(duì)xxxxxxxxxx進(jìn)行信息平安現(xiàn)狀與標(biāo)準(zhǔn)對(duì)照的符合性檢查和檢測(cè)。這些系統(tǒng)既相互獨(dú)立，又存在著一定的業(yè)務(wù)關(guān)聯(lián)。重點(diǎn)測(cè)試和評(píng)估的區(qū)域是位于中心機(jī)房的主要設(shè)備和其所支撐的網(wǎng)絡(luò)和應(yīng)用環(huán)境。等級(jí)測(cè)評(píng)具體測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象內(nèi)容VP? IV 冃-預(yù)抽樣數(shù)量物理平安測(cè)評(píng)對(duì)象xxxx研究院9樓機(jī)房、xxxx研究院B0201機(jī)房、xxxx研究院6樓機(jī)房網(wǎng)絡(luò)平安測(cè)評(píng)對(duì)象被測(cè)評(píng)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)平安設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備

邊界網(wǎng)絡(luò)設(shè)備〔可能會(huì)包含平安設(shè)備〕，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備〔如樓層交換機(jī)〕等對(duì)整個(gè)被測(cè)信息系統(tǒng)或其局部的平安性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、會(huì)聚層交換機(jī)、路由器等。主機(jī)平安測(cè)評(píng)對(duì)象承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的效勞器〔包括其操作系統(tǒng)和數(shù)據(jù)庫〕；管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端。應(yīng)用平安測(cè)評(píng)對(duì)象能夠完成被測(cè)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)。管理平安測(cè)評(píng)對(duì)象信息平安主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)平安管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；涉及到信息系統(tǒng)平安的所有管理制度和記錄。工程實(shí)施方案3?1工程實(shí)施過程工程實(shí)施過程共分為四項(xiàng)活動(dòng)，即測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)，根本工作流程圖如下：

3.2階段工作產(chǎn)品1)測(cè)評(píng)準(zhǔn)備活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容工程啟動(dòng)工程方案書工程概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和工程組織等信息收集和分析被測(cè)系統(tǒng)根本情況分析報(bào)告說明被測(cè)系統(tǒng)的范圍、平安保護(hù)等級(jí)、業(yè)務(wù)情況、保護(hù)情況、被測(cè)系統(tǒng)的管理模式和相關(guān)部門及角色等工具和表單準(zhǔn)備選用的測(cè)評(píng)工具清單；打印的各類表單：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、文檔交接單現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)、交接的文檔名稱2)方案編制活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容測(cè)評(píng)對(duì)象確定測(cè)評(píng)方案的測(cè)評(píng)對(duì)象局部被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)、測(cè)評(píng)對(duì)象等測(cè)評(píng)指標(biāo)確定測(cè)評(píng)方案的測(cè)評(píng)指標(biāo)局部被測(cè)系統(tǒng)定級(jí)結(jié)果、測(cè)評(píng)指標(biāo)測(cè)評(píng)內(nèi)容確定測(cè)評(píng)方案的單項(xiàng)測(cè)評(píng)實(shí)施和系統(tǒng)測(cè)評(píng)實(shí)施局部單項(xiàng)測(cè)評(píng)實(shí)施內(nèi)容及系統(tǒng)測(cè)評(píng)實(shí)施內(nèi)容測(cè)評(píng)實(shí)施手冊(cè)開發(fā)測(cè)評(píng)方案的測(cè)評(píng)實(shí)施手冊(cè)局部各測(cè)評(píng)對(duì)象的測(cè)評(píng)內(nèi)容及方法測(cè)評(píng)方案編制測(cè)評(píng)方案文本工程概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、單項(xiàng)測(cè)評(píng)實(shí)施和系統(tǒng)測(cè)評(píng)實(shí)施內(nèi)容、測(cè)評(píng)實(shí)施手冊(cè)等現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備會(huì)議記錄、確認(rèn)的授權(quán)委托書、更新后的測(cè)評(píng)方案和測(cè)評(píng)程序工作方案和內(nèi)容安排，雙方人員的協(xié)調(diào)，被測(cè)單位應(yīng)提供的配合訪談技術(shù)平安和管理平安測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音訪談結(jié)果

文檔審查管理平安測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄管理制度和管理執(zhí)行過程文檔的符合情況配置檢查技術(shù)平安測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格檢查內(nèi)容的結(jié)果實(shí)地觀察技術(shù)平安測(cè)評(píng)的物理平安和管理平安測(cè)評(píng)結(jié)果記錄檢查內(nèi)容的結(jié)果測(cè)評(píng)結(jié)果確認(rèn)現(xiàn)場(chǎng)核查中發(fā)現(xiàn)的問題匯總、證據(jù)和證據(jù)源記錄、被測(cè)單位的書面認(rèn)可文件測(cè)評(píng)活動(dòng)中發(fā)現(xiàn)的問題、問題的證據(jù)和證據(jù)源、每項(xiàng)檢查活動(dòng)中被測(cè)單位配合人員的書面認(rèn)可分析與報(bào)告編制活動(dòng)階段任務(wù)輸出文檔文檔內(nèi)容單項(xiàng)測(cè)評(píng)結(jié)果判定等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果局部分析被測(cè)系統(tǒng)的平安現(xiàn)狀〔各個(gè)層面的根本平安狀況〕與標(biāo)準(zhǔn)中相應(yīng)等級(jí)的根本要求的符合情況，給出單項(xiàng)測(cè)評(píng)結(jié)果單項(xiàng)測(cè)評(píng)結(jié)果匯總分析等級(jí)測(cè)評(píng)報(bào)告的單項(xiàng)測(cè)評(píng)結(jié)果匯總分析局部匯總統(tǒng)計(jì)分析單項(xiàng)測(cè)評(píng)結(jié)果系統(tǒng)整體測(cè)評(píng)分析等級(jí)測(cè)評(píng)報(bào)告的系統(tǒng)整體測(cè)評(píng)分析局部分析系統(tǒng)整體平安狀況及對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的修訂情況綜合測(cè)評(píng)結(jié)論形成等級(jí)測(cè)評(píng)報(bào)告的等級(jí)測(cè)評(píng)結(jié)論局部對(duì)各項(xiàng)結(jié)果進(jìn)行分析，形成測(cè)評(píng)結(jié)論測(cè)評(píng)報(bào)告編制等級(jí)測(cè)評(píng)報(bào)告單項(xiàng)測(cè)評(píng)記錄和結(jié)果，單項(xiàng)測(cè)評(píng)結(jié)果匯總分析，系統(tǒng)整體測(cè)評(píng)結(jié)果及分析，等級(jí)測(cè)評(píng)結(jié)論，改良建議等工程組織方案4.1工程組織結(jié)構(gòu)工程管理組：負(fù)責(zé)人為雙方工程負(fù)責(zé)人，負(fù)責(zé)整個(gè)工程的工作進(jìn)展、時(shí)間、人員的安排及雙方的協(xié)調(diào)工作。管理測(cè)評(píng)組：負(fù)責(zé)管理方面的測(cè)評(píng)工作，包括：機(jī)構(gòu)管理、人員管理、制度管理、建設(shè)管理、運(yùn)維管理。技術(shù)測(cè)評(píng)組：對(duì)物理、網(wǎng)絡(luò)平安方面的進(jìn)行測(cè)評(píng)，并做好現(xiàn)場(chǎng)記錄，負(fù)責(zé)測(cè)評(píng)報(bào)告的編寫等。質(zhì)量監(jiān)督組：負(fù)責(zé)對(duì)整個(gè)工程的質(zhì)量監(jiān)督，包括方案、方案、報(bào)告等評(píng)審工作，針對(duì)測(cè)評(píng)工作中的異議問題進(jìn)行核查解決。業(yè)務(wù)專項(xiàng)配合組：由被測(cè)評(píng)單位組織，針對(duì)被測(cè)系統(tǒng)情況給予說明和配合。

4.2人員構(gòu)成和職責(zé)組別分工姓名職責(zé)對(duì)方配合人員工程管理組工程經(jīng)理商務(wù)經(jīng)理工程助理質(zhì)量管理組組長組員組員組員管理測(cè)評(píng)組組長組員技術(shù)測(cè)評(píng)組組長組員組員組員組員組員組員業(yè)務(wù)專項(xiàng)配合組組長待定組員待定

4.3工程實(shí)施方案階段工作內(nèi)容時(shí)間方案對(duì)方配合內(nèi)容階段輸出工程準(zhǔn)備起早工程方案XXX個(gè)工作日工程方案書評(píng)審論證工程方案分解評(píng)審論證系統(tǒng)調(diào)查準(zhǔn)備調(diào)查表XXX個(gè)工作日信息系統(tǒng)調(diào)查表收集調(diào)查結(jié)果調(diào)查材料分析整理測(cè)評(píng)準(zhǔn)備制定核查方案XXX個(gè)工作日測(cè)評(píng)方案評(píng)審論證制定測(cè)試方案評(píng)審論證準(zhǔn)備測(cè)試工具模擬環(huán)境測(cè)試現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備委托書等現(xiàn)場(chǎng)文檔XXX個(gè)工作日現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書、測(cè)試方案、測(cè)試報(bào)告測(cè)試方案調(diào)整和確認(rèn)制定核查方案現(xiàn)場(chǎng)核查記錄核查結(jié)果制定測(cè)試方案現(xiàn)場(chǎng)測(cè)試記錄測(cè)試結(jié)果萬案編制核查材料整理XXX個(gè)工作日等級(jí)測(cè)評(píng)報(bào)告測(cè)試材料整理撰寫測(cè)評(píng)報(bào)告評(píng)審論證總結(jié)整個(gè)工作過程本文為網(wǎng)上收集整理，如需要該文檔得朋友，歡迎下載使用工程質(zhì)量管理和控制5.1過程質(zhì)量控制管理5.1.1過程質(zhì)量管理風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)工程的質(zhì)量是整個(gè)測(cè)評(píng)工作的核心，如測(cè)評(píng)質(zhì)量沒有保障，整個(gè)測(cè)評(píng)工作的意義就無從談起。在質(zhì)量管理方面，主要從以下幾點(diǎn)進(jìn)行說明：1）測(cè)評(píng)準(zhǔn)備階段本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的前提和根底，是整個(gè)等級(jí)測(cè)評(píng)過程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，為實(shí)施測(cè)評(píng)做好文檔及測(cè)試工具等方面的準(zhǔn)備。2）方案編制階段本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最根本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是開發(fā)與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)內(nèi)容、測(cè)評(píng)實(shí)施手冊(cè)等，形成測(cè)評(píng)方案。3）現(xiàn)場(chǎng)測(cè)評(píng)階段本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)實(shí)施手冊(cè)，分步實(shí)施所有測(cè)評(píng)工程，包括單項(xiàng)測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的平安問題。4）分析與報(bào)告編制階段本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體平安保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求?的有關(guān)要求，通過單項(xiàng)測(cè)評(píng)結(jié)果判定和系統(tǒng)整體測(cè)評(píng)分析等方法，分析整個(gè)系統(tǒng)的平安保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，綜合評(píng)價(jià)被測(cè)信息系統(tǒng)保護(hù)狀況，并形成測(cè)評(píng)報(bào)告文本。5.1.2過程質(zhì)量風(fēng)險(xiǎn)控制1） 測(cè)評(píng)準(zhǔn)備階段未填寫?測(cè)評(píng)任務(wù)流程卡?的風(fēng)險(xiǎn)工程流程卡是在進(jìn)行測(cè)評(píng)活動(dòng)之前對(duì)整個(gè)測(cè)評(píng)活動(dòng)的流程進(jìn)行一個(gè)大體的描述，從中可以對(duì)被測(cè)單位的根本資料進(jìn)行了解，包括：被測(cè)系統(tǒng)總體描述文件，被測(cè)系統(tǒng)詳細(xì)描述文件，被測(cè)系統(tǒng)平安保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，平安需求分析報(bào)告，被測(cè)系統(tǒng)平安總體方案等。另外也能初步了解被測(cè)單位的信息化建設(shè)狀況與開展，被測(cè)系統(tǒng)，包括被測(cè)系統(tǒng)的行業(yè)特征、主管機(jī)構(gòu)、業(yè)務(wù)范圍、地理位置體系結(jié)構(gòu)、主要功能等被測(cè)系統(tǒng)根本情況，獲得被測(cè)系統(tǒng)的背景信息和聯(lián)絡(luò)方式等。測(cè)評(píng)人員還能從中得知整個(gè)測(cè)評(píng)工作的任務(wù)，在什么階段、什么時(shí)間、什么地點(diǎn)應(yīng)該做什么樣的測(cè)評(píng)任務(wù)。風(fēng)險(xiǎn)點(diǎn)：未填寫?測(cè)評(píng)任務(wù)流程卡?將造成不夠了解被測(cè)單位的根本信息系統(tǒng)，對(duì)信息系統(tǒng)測(cè)評(píng)不全面，測(cè)評(píng)范圍不明確，甚至造成誤操作，從而使測(cè)評(píng)數(shù)據(jù)不準(zhǔn)確，更可能會(huì)造成測(cè)評(píng)結(jié)果與想要得到的完全不符，影響整個(gè)測(cè)評(píng)工作的進(jìn)展，消耗了人力、物力、財(cái)力、給公司造成不必要的損失。還可能造成對(duì)測(cè)評(píng)任務(wù)不了解，不知道如何進(jìn)展，或進(jìn)展工作混亂，可能會(huì)使一局部系統(tǒng)沒有測(cè)評(píng)到，或在規(guī)定的時(shí)間內(nèi)不能完成指定的任務(wù)，是整個(gè)測(cè)評(píng)工期延長，影響測(cè)評(píng)任務(wù)。這些情況都會(huì)影響到測(cè)評(píng)結(jié)果，跟定級(jí)內(nèi)容不相符，造成無法定級(jí)，影響被側(cè)單位，也會(huì)損害到公司的榮譽(yù)?？刂品椒ǎ涸谶M(jìn)行測(cè)評(píng)之前要認(rèn)真填寫好?測(cè)評(píng)任務(wù)流程卡?，組建測(cè)評(píng)工程組，從資料、人員、方案安排等方面為整個(gè)等級(jí)測(cè)評(píng)工程的實(shí)施做好準(zhǔn)備，熟悉被測(cè)單位信息系統(tǒng)的根本信息，并編制工程方案書。工程方案書應(yīng)包含工程概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和工程組織等了解整個(gè)測(cè)評(píng)任務(wù)，把握好測(cè)評(píng)工作的進(jìn)展使用的測(cè)評(píng)工具沒有校準(zhǔn)測(cè)評(píng)工具是在對(duì)被側(cè)單位信息系統(tǒng)、設(shè)備等進(jìn)行測(cè)試其是否能正常使用的一種工具。在測(cè)試的廣度上，應(yīng)根本覆蓋不同類型的機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試，功能測(cè)試可能涉及機(jī)制的功能標(biāo)準(zhǔn)、高級(jí)設(shè)計(jì)和操作規(guī)程等文檔，滲透測(cè)試可能涉及機(jī)制的所有可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。，對(duì)其進(jìn)行測(cè)評(píng)，應(yīng)涉及到漏洞掃描工具、滲透測(cè)評(píng)工具集和協(xié)議分析工具等多種測(cè)試工具。風(fēng)險(xiǎn)點(diǎn)：如果沒有進(jìn)行測(cè)評(píng)工具的校準(zhǔn)，或者測(cè)評(píng)工具準(zhǔn)備不齊，測(cè)評(píng)結(jié)果將無法真實(shí)，全面反映出來，致使有些系統(tǒng)無法進(jìn)行測(cè)評(píng)，不能全面了解到系統(tǒng)的情況和系統(tǒng)存在的潛在問題，造成一定的平安隱患。如果測(cè)評(píng)工具出現(xiàn)故障，會(huì)使整個(gè)測(cè)評(píng)工作受到影響，使正常的工作無法進(jìn)行，不能對(duì)系統(tǒng)進(jìn)行測(cè)試，影響測(cè)評(píng)進(jìn)度，可能會(huì)對(duì)系統(tǒng)的負(fù)載、效勞器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。控制方法：在進(jìn)行測(cè)評(píng)之前應(yīng)對(duì)測(cè)評(píng)工具進(jìn)行校準(zhǔn)，確保其正常運(yùn)行，根據(jù)測(cè)評(píng)活動(dòng)確定所需要準(zhǔn)備的測(cè)評(píng)工具，按照測(cè)評(píng)工具清單進(jìn)行清點(diǎn)，確保所要用到的測(cè)評(píng)工具已經(jīng)準(zhǔn)備齊全，另外準(zhǔn)備局部備用工具作為備用。沒有工程方案工程方案是對(duì)整個(gè)測(cè)評(píng)工作進(jìn)行工程描述、工作流程、技術(shù)思路、工作內(nèi)容和工程組織，時(shí)間控制等控制，保證工程能夠按期順利的完成。風(fēng)險(xiǎn)點(diǎn):如果沒有制作工程方案，會(huì)導(dǎo)致后期工程任務(wù)不明確、管理無序、失控，工作不能按期完成。控制方法：在進(jìn)行測(cè)評(píng)工作之前，做好工程方案，對(duì)每個(gè)測(cè)評(píng)人員明確分功。方案編制階段測(cè)評(píng)指標(biāo)選取不準(zhǔn)確測(cè)評(píng)指標(biāo)是在被測(cè)系統(tǒng)根本情況分析后，得出被測(cè)系統(tǒng)的定級(jí)結(jié)果，包括業(yè)務(wù)信息平安保護(hù)等級(jí)和系統(tǒng)效勞平安保護(hù)等級(jí)。從GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中選擇相應(yīng)等級(jí)的平安，包括對(duì)ASG三類平安要求的選擇。風(fēng)險(xiǎn)點(diǎn)：如果測(cè)評(píng)指標(biāo)選取不明確，會(huì)造成錯(cuò)誤定級(jí)，按照錯(cuò)誤的等級(jí)進(jìn)行測(cè)評(píng)工作，使用錯(cuò)誤的測(cè)評(píng)方法，將造成測(cè)評(píng)結(jié)果偏離，例如：某單位系統(tǒng)效勞平安保護(hù)等級(jí)為2級(jí)；那么該系統(tǒng)的測(cè)評(píng)指標(biāo)將包括GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求？“技術(shù)要求〃中的2級(jí)通用指標(biāo)類〔G2〕，2級(jí)業(yè)務(wù)信息平安指標(biāo)類〔S2〕，2級(jí)系統(tǒng)效勞平安指標(biāo)類〔A2〕，以及第2級(jí)“管理要求〃中的所有指標(biāo)類。如果指標(biāo)錯(cuò)誤，會(huì)影響到后期的所有工作，消耗了各方面的資源，使工程不能按期順利完成，同時(shí)也給公司帶來巨大的損失。控制方法：通過召開評(píng)審會(huì)，詳細(xì)分析被測(cè)單位的信息系統(tǒng)，對(duì)被測(cè)單位做好準(zhǔn)確定級(jí)，明確測(cè)評(píng)指標(biāo)，順利做好測(cè)評(píng)工作。工程組每個(gè)成員包括工具測(cè)試人員開發(fā)測(cè)評(píng)實(shí)施手冊(cè)時(shí)對(duì)測(cè)評(píng)方法選取不當(dāng)測(cè)評(píng)實(shí)施手冊(cè)是具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)的文件，是現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等的詳細(xì)描述，是保證測(cè)評(píng)活動(dòng)可以重現(xiàn)的根本。因此，測(cè)評(píng)實(shí)施手冊(cè)應(yīng)當(dāng)盡可能詳盡、充分。風(fēng)險(xiǎn)點(diǎn)：如果測(cè)評(píng)實(shí)施手冊(cè)不使用，會(huì)直接導(dǎo)致測(cè)評(píng)工作的錯(cuò)誤進(jìn)行，包括測(cè)評(píng)項(xiàng)〔每個(gè)測(cè)評(píng)項(xiàng)可能對(duì)應(yīng)多個(gè)測(cè)評(píng)方法〕、測(cè)評(píng)方法〔訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地觀察等多種方法〕、操作步驟和預(yù)期結(jié)果等。這樣所做的整個(gè)過程都將是一個(gè)錯(cuò)誤的過程，所做的工作也就沒有應(yīng)用價(jià)值，會(huì)延長工期，會(huì)造成違約賠償問題，在人員、財(cái)力、時(shí)間的浪費(fèi)上都無法彌補(bǔ)，也會(huì)影響到公司的榮譽(yù)控制方法：具體做法就是把各層面上的測(cè)評(píng)指標(biāo)結(jié)合到具體測(cè)評(píng)對(duì)象上，并說明具體的測(cè)評(píng)方法，如此構(gòu)成一個(gè)個(gè)可以具體測(cè)評(píng)實(shí)施的單元。參照?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求?，結(jié)合已選定的測(cè)評(píng)指標(biāo)和測(cè)評(píng)對(duì)象，概要說明現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施的工作內(nèi)容來編制測(cè)評(píng)實(shí)施手冊(cè)，完成之后，對(duì)其進(jìn)行評(píng)審，通過以后，由總工、技術(shù)負(fù)責(zé)人簽字確認(rèn)。測(cè)評(píng)實(shí)施工期時(shí)間測(cè)算不準(zhǔn)確測(cè)評(píng)實(shí)施工期是對(duì)整個(gè)工程進(jìn)行的一個(gè)時(shí)間控制，這樣便于把握整個(gè)工程的進(jìn)展。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)施工期不準(zhǔn)，使整個(gè)工程的工期延后，測(cè)評(píng)質(zhì)量下降，影響后續(xù)工程的開展?？刂品椒ǎ赫匍_評(píng)審會(huì)，由專家選取工程實(shí)施工期。測(cè)評(píng)現(xiàn)場(chǎng)人員分工方案不合理風(fēng)險(xiǎn)點(diǎn)：專業(yè)技術(shù)人員分配不合理，會(huì)造成對(duì)測(cè)評(píng)的測(cè)評(píng)不夠全面、深入，不能得到完整要的數(shù)據(jù)，不能站在適宜的技術(shù)人員的角度去測(cè)評(píng)系統(tǒng)。另外，現(xiàn)場(chǎng)測(cè)評(píng)人員分工不合理，影響工程的進(jìn)展，人員太多造成現(xiàn)場(chǎng)混亂，現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間浪費(fèi)，工作質(zhì)量下降，人員太少會(huì)使測(cè)評(píng)任務(wù)無法按期完成。控制方法：通過評(píng)審會(huì)，對(duì)工程進(jìn)行分析，合理的安排測(cè)評(píng)人員。測(cè)評(píng)方案沒有評(píng)審測(cè)評(píng)方案是等級(jí)測(cè)評(píng)工作實(shí)施的根底，指導(dǎo)等級(jí)測(cè)評(píng)工作的現(xiàn)場(chǎng)實(shí)施活動(dòng)。測(cè)評(píng)方案應(yīng)包括但不局限于以下內(nèi)容：工程概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)工具的接入點(diǎn)、單項(xiàng)測(cè)評(píng)實(shí)施、系統(tǒng)測(cè)評(píng)實(shí)施以及配套的測(cè)評(píng)實(shí)施手冊(cè)等。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒有經(jīng)過評(píng)審就投入使用，其中有些信息可能不準(zhǔn)確、不全面或者是錯(cuò)誤的，如果按照這樣的測(cè)評(píng)方案進(jìn)行，就會(huì)造成誤操作，效率降低，測(cè)評(píng)結(jié)果也會(huì)有偏差，將不能得到準(zhǔn)確可靠的數(shù)據(jù)?？刂品椒ǎ赫匍_方案評(píng)審會(huì)，詳細(xì)分析被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。初步判斷被測(cè)系統(tǒng)的平安薄弱點(diǎn)。分析確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)試工具接入點(diǎn)，確定測(cè)評(píng)內(nèi)容及方法。編制測(cè)評(píng)方案文本，并對(duì)其內(nèi)部評(píng)審。取得被測(cè)機(jī)構(gòu)對(duì)測(cè)評(píng)方案所有內(nèi)容的簽字確認(rèn)，對(duì)測(cè)評(píng)方案進(jìn)行認(rèn)可，并簽字確認(rèn)。測(cè)評(píng)方案在內(nèi)部評(píng)審時(shí)沒有簽字和批準(zhǔn)風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒有經(jīng)過簽字和批準(zhǔn)就進(jìn)行測(cè)評(píng)，如果方案發(fā)生變化，而測(cè)評(píng)人員又不知道，這樣就會(huì)造成不必要的損害，已經(jīng)做過的測(cè)評(píng)工作就需要重新進(jìn)行。控制方法：測(cè)評(píng)方案在內(nèi)部評(píng)審時(shí)簽字批準(zhǔn)后再投入工程中?，F(xiàn)場(chǎng)測(cè)評(píng)階段測(cè)評(píng)方案未經(jīng)被測(cè)單位簽字認(rèn)可就開展實(shí)施風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案沒有經(jīng)過被測(cè)方簽字和批準(zhǔn)就進(jìn)行測(cè)評(píng)，會(huì)使公司承當(dāng)一定的法律和事故責(zé)任，對(duì)公司在信譽(yù)、財(cái)力上造成一定的損害。控制方法：測(cè)評(píng)方案經(jīng)過被測(cè)單位簽字確認(rèn)后在進(jìn)行工程的實(shí)施?，F(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前未與委托方簽署?現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書?風(fēng)險(xiǎn)點(diǎn)：現(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前未與委托方簽署?現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書?，造成對(duì)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括被測(cè)單位的配合人員和需要提供的測(cè)評(píng)條件，現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施具體時(shí)間不明確，無法確定測(cè)評(píng)工程雙方責(zé)任?？刂品椒ǎ含F(xiàn)場(chǎng)測(cè)評(píng)正式進(jìn)場(chǎng)前與委托方簽署?現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書?。工程負(fù)責(zé)人沒有根據(jù)委托方提出的意見和建議，對(duì)測(cè)評(píng)方案進(jìn)行必要的更新風(fēng)險(xiǎn)點(diǎn)：如果沒有按照委托方的意見對(duì)測(cè)評(píng)方案進(jìn)行更新，工程將不能順利的往下開展，委托方將會(huì)不配合測(cè)評(píng)工作的開展，另外測(cè)評(píng)結(jié)果也會(huì)有偏差，甚至造成測(cè)評(píng)工程停止?？刂品椒ǎ焊鶕?jù)委托方提出的意見和建議，工程負(fù)責(zé)人對(duì)測(cè)評(píng)方案進(jìn)行必要的更新，并做更新記錄，重新進(jìn)行內(nèi)部評(píng)審并獲得批準(zhǔn)后重新裝訂測(cè)評(píng)方案。測(cè)評(píng)結(jié)果的記錄不準(zhǔn)確測(cè)評(píng)結(jié)果是整個(gè)測(cè)評(píng)過程的一個(gè)記錄，測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員〔個(gè)人/群體〕進(jìn)行交流、討論、檢查等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息的數(shù)據(jù)反映。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)結(jié)果錯(cuò)誤，將不能給被測(cè)單位信息做一個(gè)正確的反映，對(duì)所做的訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地觀察等這些方面的數(shù)據(jù)都不能真實(shí)表達(dá)，嚴(yán)重的話可能需要重新進(jìn)行測(cè)評(píng)，那將會(huì)造成不可估量的損失。控制方法：可以通過現(xiàn)場(chǎng)錄音，校準(zhǔn)員對(duì)結(jié)果進(jìn)行校準(zhǔn)。測(cè)評(píng)結(jié)果沒有用戶簽字確認(rèn)風(fēng)險(xiǎn)點(diǎn)：沒有經(jīng)過用戶簽字的測(cè)評(píng)結(jié)果是沒有可信度的，如果其中存在問題，用戶可能會(huì)否認(rèn)，降低對(duì)測(cè)評(píng)結(jié)果的可信度，影響到后續(xù)的工作?？刂品椒ǎ含F(xiàn)場(chǎng)測(cè)評(píng)后的記錄應(yīng)及時(shí)讓用戶簽字確認(rèn)。管理類測(cè)評(píng)文檔審查中，測(cè)評(píng)人員對(duì)文檔審查的覆蓋面不全管理類測(cè)評(píng)文檔是對(duì)測(cè)評(píng)流程進(jìn)行記錄的一個(gè)過程，包括現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、訪談文檔審查、配置檢查、工具測(cè)試、實(shí)地觀察、測(cè)評(píng)結(jié)果確認(rèn)。風(fēng)險(xiǎn)點(diǎn)：管理類測(cè)評(píng)文檔審查中，測(cè)評(píng)人員對(duì)文檔審查的覆蓋面不全，這樣會(huì)缺少某方面的資料，使測(cè)評(píng)結(jié)果參考不夠全面，影響后續(xù)工作?？刂品椒ǎ航⒐芾眍愇臋n審查清單。測(cè)評(píng)核查表審查結(jié)果記錄落實(shí)核查表是按照被測(cè)單位的等級(jí)要求進(jìn)行核查的測(cè)評(píng)項(xiàng)清單。風(fēng)險(xiǎn)點(diǎn)：如果不對(duì)測(cè)評(píng)核查表審核的結(jié)果進(jìn)行記錄，就不知道哪些設(shè)備核查過哪些沒有核查，不便于結(jié)果的統(tǒng)計(jì)，容易造成漏查。控制方法：對(duì)已查設(shè)備做好記錄，制作補(bǔ)查表，進(jìn)行補(bǔ)查。管理類測(cè)評(píng)應(yīng)根據(jù)系統(tǒng)等級(jí)確定不同的測(cè)評(píng)強(qiáng)度不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的強(qiáng)度要求不同。一級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的一級(jí)要求。二級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的二級(jí)要求，并且所有文檔之間應(yīng)保持一致性，要求有執(zhí)行過程記錄的，過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)際情況保持一致。三級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的三級(jí)要求，所有文檔應(yīng)具備且完整，并且所有文檔之間應(yīng)保持一致性，要求有執(zhí)行過程記錄的過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)際情況保持一致，平安管理過程應(yīng)與系統(tǒng)設(shè)計(jì)方案保持一致且能夠有效管理系統(tǒng)。四級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的四級(jí)要求，所有文檔應(yīng)具備且完整，并且所有文檔之間應(yīng)保持一致性，要求有執(zhí)行過程記錄的，過程記錄文檔的記錄內(nèi)容應(yīng)與相應(yīng)的管理制度和文檔保持一致，與實(shí)際情況保持一致，平安管理過程應(yīng)與系統(tǒng)設(shè)計(jì)方案保持一致且能夠有效管理系統(tǒng)。風(fēng)險(xiǎn)點(diǎn)：在測(cè)評(píng)過程中如果對(duì)測(cè)評(píng)信息系統(tǒng)所使用的強(qiáng)度不合理，會(huì)造成錯(cuò)誤的測(cè)評(píng)結(jié)果，對(duì)被測(cè)單位制定平安方針文件、平安管理制度、平安管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等文件造成影響?？刂品椒ǎ洪_評(píng)審會(huì)，按照相應(yīng)的強(qiáng)度要求來做測(cè)評(píng)。配置檢查應(yīng)根據(jù)系統(tǒng)等級(jí)確定不同的測(cè)評(píng)強(qiáng)度技術(shù)平安測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。下面列出對(duì)不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的不同強(qiáng)度要求。一級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的一級(jí)要求。二級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的二級(jí)要求，測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)那么的一致性三級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的三級(jí)要求，測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)那么的一致性測(cè)試系統(tǒng)是否到達(dá)可用性和可靠性的要求。四級(jí)：滿足GB/T22239-2021?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?中的四級(jí)要求，測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)那么的一致性測(cè)試系統(tǒng)是否到達(dá)可用性和可靠性的要求。風(fēng)險(xiǎn)點(diǎn)：不同等級(jí)，沒有使用相對(duì)應(yīng)的測(cè)評(píng)強(qiáng)度，同樣會(huì)造成錯(cuò)誤的測(cè)評(píng)結(jié)果如果系統(tǒng)在輸入無效命令時(shí)不能完成其功能，將要對(duì)其進(jìn)行錯(cuò)誤測(cè)試，針對(duì)網(wǎng)絡(luò)連接，應(yīng)對(duì)連接規(guī)那么進(jìn)行驗(yàn)證，如果方法錯(cuò)誤，將使驗(yàn)證結(jié)果不正確?？刂品椒ǎ洪_評(píng)審會(huì)，給被測(cè)單位做好測(cè)評(píng)等級(jí)，按照相應(yīng)的強(qiáng)度要求來做。上機(jī)驗(yàn)證存在誤操作的風(fēng)險(xiǎn)風(fēng)險(xiǎn)點(diǎn)：上機(jī)誤操作會(huì)得到錯(cuò)誤的數(shù)據(jù)，使測(cè)評(píng)結(jié)果不準(zhǔn)確，可能會(huì)對(duì)系統(tǒng)造成一定的影響，造成系統(tǒng)數(shù)據(jù)喪失，或損害到了其中的某些配置。控制方法：測(cè)評(píng)人員要有一定的專業(yè)技術(shù)知識(shí)儲(chǔ)藏，原那么上由被測(cè)單位技術(shù)人員按照作業(yè)指導(dǎo)書進(jìn)行操作，要有一定的應(yīng)急預(yù)案，在上機(jī)操作之前對(duì)機(jī)器上的資料進(jìn)行備份。分析與報(bào)告階段測(cè)評(píng)分析應(yīng)根據(jù)信息系統(tǒng)的不同等級(jí)進(jìn)行不同強(qiáng)度的分析和概括在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，測(cè)評(píng)機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果進(jìn)行匯總分析形成等級(jí)測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告。測(cè)評(píng)人員在初步判定單項(xiàng)測(cè)評(píng)結(jié)果后，還需進(jìn)行系統(tǒng)整體測(cè)評(píng)，經(jīng)過系統(tǒng)整體測(cè)評(píng)后，有的單項(xiàng)測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂單項(xiàng)測(cè)評(píng)結(jié)果，而后形成等級(jí)測(cè)評(píng)結(jié)論。風(fēng)險(xiǎn)點(diǎn)：不同信息系統(tǒng)被定為不同的等級(jí)，應(yīng)進(jìn)行不同強(qiáng)度的分析和概括，等級(jí)、強(qiáng)度不能夠相適應(yīng)的進(jìn)行分析，會(huì)對(duì)測(cè)評(píng)最終的測(cè)評(píng)報(bào)告造成偏差，影響被測(cè)單位的系統(tǒng)結(jié)果分析?？刂品椒ǎ喊凑詹煌燃?jí)測(cè)評(píng)強(qiáng)度的要求，進(jìn)行不同等級(jí)強(qiáng)度的分析和概括。整體測(cè)評(píng)不應(yīng)只考慮單項(xiàng)測(cè)評(píng)結(jié)果風(fēng)險(xiǎn)點(diǎn)：系統(tǒng)整體測(cè)評(píng)如果只考慮單項(xiàng)測(cè)評(píng)結(jié)果，不能針對(duì)單項(xiàng)測(cè)評(píng)的不符合項(xiàng)，采取逐條判定的方法，也不能夠從平安控制間、層面間和區(qū)域間出發(fā)考慮，給出系統(tǒng)整體測(cè)評(píng)的具體結(jié)果和結(jié)論，會(huì)影響到系統(tǒng)結(jié)構(gòu)的整體平安測(cè)評(píng)。不對(duì)其他相關(guān)項(xiàng)進(jìn)行分析，無法正確判斷該測(cè)評(píng)項(xiàng)與其他相關(guān)平安控制項(xiàng)能否發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)〞該測(cè)評(píng)項(xiàng)的缺乏。不能分析出與該測(cè)評(píng)項(xiàng)相關(guān)的其他層面測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)〞該測(cè)評(píng)項(xiàng)的缺乏。不能分析出該測(cè)評(píng)項(xiàng)相關(guān)的其他區(qū)域測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)〞該測(cè)評(píng)項(xiàng)的缺乏?？刂品椒ǎ簭钠桨步嵌确治霰粶y(cè)系統(tǒng)整體結(jié)構(gòu)的平安性，從系統(tǒng)角度分析被測(cè)系統(tǒng)整體平安防范的合理性。整體測(cè)評(píng)除要考慮單項(xiàng)測(cè)評(píng)結(jié)果之外，應(yīng)根據(jù)不同信息系統(tǒng)的特點(diǎn)，進(jìn)行有針對(duì)性的分析，召開內(nèi)部專家人員會(huì)議共同分析討論，對(duì)測(cè)評(píng)結(jié)果進(jìn)行補(bǔ)充。單項(xiàng)測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果判定不準(zhǔn)確風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果情況不準(zhǔn)確，對(duì)測(cè)評(píng)結(jié)果將不能給出真實(shí)的反映，會(huì)對(duì)下面的整體測(cè)評(píng)造成一定的影響?？刂品椒ǎ喊磳用娣謩e匯總不同測(cè)評(píng)對(duì)象對(duì)應(yīng)測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果情況，包括測(cè)評(píng)多少項(xiàng)，符合要求的多少項(xiàng)等內(nèi)容，一般以表格形式列出。表格中清楚的描繪出測(cè)評(píng)對(duì)象，測(cè)評(píng)指標(biāo)。并以“〃表示“符合〃，“〃表示局部符合，“X〃表示“不符合〃，“N/A〃表示“不適用〃。這樣對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的判斷就很清晰準(zhǔn)確了，另外由質(zhì)量監(jiān)督員對(duì)判定結(jié)果進(jìn)行審核，出現(xiàn)爭議，由技術(shù)負(fù)責(zé)人進(jìn)行仲裁。對(duì)測(cè)評(píng)報(bào)告的審核沒有通過評(píng)審會(huì)進(jìn)行風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)報(bào)告的審核如果沒有通過評(píng)審會(huì)進(jìn)行，中間存在的問題可能就無法表達(dá)出來，對(duì)被測(cè)單位的系統(tǒng)狀況也無法清晰的了解，可能會(huì)得到不準(zhǔn)確的結(jié)論控制方法：對(duì)測(cè)評(píng)報(bào)告的審核應(yīng)通過評(píng)審會(huì)進(jìn)行，應(yīng)選擇具有高職稱的技術(shù)人員實(shí)施參加。沒有對(duì)測(cè)評(píng)報(bào)告的編制格式統(tǒng)一風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)報(bào)告的編制格式不統(tǒng)一，容易造成文檔混亂，不便于管理，也不方便查詢。控制方法：定制統(tǒng)一的文檔編號(hào)標(biāo)準(zhǔn)，文檔蓋章標(biāo)準(zhǔn)。5.2變更控制管理變更管理存在的風(fēng)險(xiǎn)工程組成員受外部因素影響出現(xiàn)變動(dòng)在工程進(jìn)行過程中，工程組成員因工作調(diào)動(dòng)、外出學(xué)習(xí)、身體健康等原因，需要變更人員、調(diào)整成員分工的情況，會(huì)對(duì)測(cè)評(píng)按時(shí)保質(zhì)完成造成影響。變更管理控制方法風(fēng)險(xiǎn)點(diǎn)：在工程進(jìn)行過程中，工程組成員因工作調(diào)動(dòng)、外出學(xué)習(xí)、身體健康等原因，需要變更人員、調(diào)整成員分工的情況，會(huì)對(duì)測(cè)評(píng)按時(shí)保質(zhì)完成造成影響?？刂品椒ǎ涸诠こ探M成立后，原那么不允許人員中途退出。確實(shí)無法防止，由工程經(jīng)理指派其他有能力的人員代替，相關(guān)人員需寫出工作移交報(bào)告，妥善完成工作交接程序。本文為網(wǎng)上收集整理，如需要該文檔得朋友，歡迎下載使用5.3工程風(fēng)險(xiǎn)管理5.3.1工程進(jìn)度風(fēng)險(xiǎn)的管理5.3.1.1工程進(jìn)度管理存在的風(fēng)險(xiǎn)工程進(jìn)度管理在工程管理體系中是比擬重要的一個(gè)方面，要求在保證工程質(zhì)量的前提下按時(shí)完成工程是工程進(jìn)度管理的主要目的。工程進(jìn)度管理主要從工程時(shí)間方案和工程時(shí)間控制等方面對(duì)工程進(jìn)行管理，保證測(cè)評(píng)工程按時(shí)完成。等級(jí)測(cè)評(píng)工程管理中應(yīng)關(guān)注以下幾點(diǎn)：與委托方交涉過程中委托方不重視等級(jí)測(cè)評(píng)造成的工程時(shí)間拖延，如需要委托方確認(rèn)的工程方案書委托方遲遲不給答復(fù)，需要委托方提供的資料委托方不按時(shí)交給工程組等；沒有合理安排現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)時(shí)間，造成無法進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)和造成委托方損失等情況。如安排在委托方工作繁忙階段做測(cè)評(píng)、安排在被測(cè)系統(tǒng)業(yè)務(wù)頂峰期做滲透測(cè)試等活動(dòng)；沒有合理方案工程周期造成本錢增加影響其他工程工作進(jìn)行；工程中時(shí)間把握不準(zhǔn)確造成工程時(shí)間延誤，如在現(xiàn)場(chǎng)測(cè)評(píng)階段和方案編制階段時(shí)間的把握不準(zhǔn)確，導(dǎo)致階段工作沒有按時(shí)完成等。5.3.1.2工程進(jìn)度管理控制方法時(shí)間管理關(guān)系效益，因此需要在工程的啟動(dòng)階段時(shí)對(duì)工程合理的方案，與委托方溝通使其對(duì)測(cè)評(píng)工作充分重視，并與其協(xié)商合理安排現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間，把握階段時(shí)間控制。具體方法如下：現(xiàn)場(chǎng)準(zhǔn)備階段風(fēng)險(xiǎn)點(diǎn)：被測(cè)單位為測(cè)評(píng)工程組提供其所需要的各種資料，包括被測(cè)單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測(cè)系統(tǒng)總體描述文件網(wǎng)絡(luò)拓?fù)鋱D、管理記錄文檔等。假設(shè)委托方提交相關(guān)信息系統(tǒng)資料超期、不及時(shí)將導(dǎo)致工程整體工期拖延?？刂品椒ǎ簯?yīng)對(duì)委托方詳細(xì)介紹測(cè)評(píng)的重要性和必要性，說明提供信息資料對(duì)整個(gè)測(cè)評(píng)過程的重要性。提供詳細(xì)的信息系統(tǒng)資準(zhǔn)備清單，指導(dǎo)被測(cè)單位準(zhǔn)備相關(guān)信息資料。方案編制階段風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)方案初稿應(yīng)通過測(cè)評(píng)工程組全體成員評(píng)審，假設(shè)評(píng)審時(shí)間過長將影響工程后續(xù)工作開展。測(cè)評(píng)工程組將確定的測(cè)評(píng)方案提交給被測(cè)單位后，被測(cè)單位應(yīng)對(duì)該測(cè)評(píng)方案進(jìn)行簽字認(rèn)可，但假設(shè)遲遲未認(rèn)可簽字，將致使后續(xù)工作沒有方法進(jìn)行，影響工程整體進(jìn)度?？刂品椒ǎ?、工程組制定會(huì)議日程，對(duì)方案內(nèi)的任務(wù)要準(zhǔn)時(shí)完成。2、方案經(jīng)與委托方協(xié)商確定后，隨著工程的開展，應(yīng)適時(shí)提醒委托方提供時(shí)間、人員等的配合。風(fēng)險(xiǎn)點(diǎn)：安排工具測(cè)試時(shí)沒有避開被測(cè)系統(tǒng)的業(yè)務(wù)頂峰期?？刂品椒ǎ簩?shí)施現(xiàn)場(chǎng)測(cè)評(píng)或工具測(cè)試前應(yīng)充分與被測(cè)單位進(jìn)行協(xié)商，確定適宜的時(shí)間點(diǎn)實(shí)施測(cè)評(píng)。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)施整體工期測(cè)算不準(zhǔn)確導(dǎo)致工期拖延工程本錢提高、影響其它后續(xù)工程工作安排。控制方法：測(cè)評(píng)方案初稿形成后應(yīng)召開內(nèi)部專家評(píng)審會(huì)，針對(duì)時(shí)間安排、測(cè)評(píng)對(duì)象等關(guān)鍵點(diǎn)進(jìn)行評(píng)審并簽字確認(rèn)?，F(xiàn)場(chǎng)測(cè)評(píng)階段風(fēng)險(xiǎn)點(diǎn)：現(xiàn)場(chǎng)測(cè)評(píng)階段需召開現(xiàn)場(chǎng)測(cè)評(píng)首次會(huì)，測(cè)評(píng)工程組介紹測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)方案和方案中的內(nèi)容。測(cè)評(píng)雙方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括被測(cè)單位的配合人員和需要提供的測(cè)評(píng)條件等。被測(cè)單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書。但現(xiàn)場(chǎng)準(zhǔn)備階段時(shí)間控制不好消耗了很長時(shí)間，造成的工程工期的延誤?？刂品椒ǎ簩?duì)工程準(zhǔn)備階段進(jìn)行時(shí)間方案，制定首次測(cè)評(píng)現(xiàn)場(chǎng)會(huì)會(huì)議日程。分析報(bào)告階段風(fēng)險(xiǎn)點(diǎn)：在分析報(bào)告階段要進(jìn)行單項(xiàng)測(cè)評(píng)結(jié)果判定、單項(xiàng)測(cè)評(píng)結(jié)果匯總分析、系統(tǒng)整體測(cè)評(píng)分析、綜合測(cè)評(píng)結(jié)論形成、測(cè)評(píng)報(bào)告編制等五個(gè)階段。階段間的工作環(huán)環(huán)相扣，如果時(shí)間安排不合理將導(dǎo)致下一階段的工作無法繼續(xù)或整體工期拖延?？刂品椒ǎ褐贫ㄔ敿?xì)的分析報(bào)告階段時(shí)間方案。工程組成員間積極溝通，協(xié)調(diào)工作開展。5.3.2工程協(xié)作與溝通風(fēng)險(xiǎn)的管理5.3.2.1協(xié)作與溝通原那么為保證工程順利實(shí)施，工程組成員應(yīng)遵循互相協(xié)作、主動(dòng)溝通和盡早溝通的原那么。工程實(shí)施中，只有互相協(xié)作、盡早溝通、主動(dòng)溝通才能及時(shí)發(fā)現(xiàn)問題和解決問題，保證工程的順利實(shí)施。5.3.2.2溝通管理方法為防止工程人員被動(dòng)式、應(yīng)付式溝通，隨意而行、混亂無序，為讓工程人員明確自己的溝通職責(zé)，特制定以下溝通方案：與委托方的溝通在測(cè)評(píng)準(zhǔn)備階段，業(yè)務(wù)受理人員應(yīng)告知委托方信息系統(tǒng)等級(jí)測(cè)評(píng)所必須提交的詳細(xì)資料；工程負(fù)責(zé)人應(yīng)在測(cè)評(píng)工程立項(xiàng)后，應(yīng)向委托方揭示測(cè)評(píng)風(fēng)險(xiǎn)，說明測(cè)評(píng)過程中可能帶來的風(fēng)險(xiǎn)，并說明風(fēng)險(xiǎn)躲避的方法；在測(cè)評(píng)工程準(zhǔn)備階段，工程負(fù)責(zé)人應(yīng)與委托方溝通，對(duì)測(cè)評(píng)時(shí)間、人員等做出合理安排，以保證測(cè)評(píng)實(shí)施工期避開被測(cè)系統(tǒng)的業(yè)務(wù)頂峰期，確保測(cè)評(píng)工程順利完成；工程負(fù)責(zé)人在測(cè)評(píng)方案通過內(nèi)部評(píng)審后，及時(shí)與委托方交流，明確告知委托方測(cè)評(píng)范圍，以便委托方提供與測(cè)評(píng)方案吻合的配合資源〔人力、場(chǎng)地〕；測(cè)評(píng)核查表審查結(jié)果記錄一定要由委托方人員簽字，確保記錄結(jié)果的有效性；現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，工程組成員與委托方人員溝通時(shí)，應(yīng)采用對(duì)方能接受的溝通風(fēng)格。注意肢體語言、語態(tài)給對(duì)方的感覺。始終向委托方傳遞一種老實(shí)，公正態(tài)度。不管在何種情況下，都要防止與委托方人員產(chǎn)生言語上的沖突；測(cè)評(píng)組作為一個(gè)整體對(duì)外意見要一致，一個(gè)團(tuán)隊(duì)要用一種聲音說話，防止委托方對(duì)測(cè)評(píng)人員公平公正度產(chǎn)生誤解；現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，如果出現(xiàn)測(cè)評(píng)人員與委托方溝通效果不理想，要及時(shí)認(rèn)識(shí)問題，尋求相關(guān)領(lǐng)導(dǎo)和職能部門的協(xié)助，合理的借用外部力量到達(dá)工程組的既定目標(biāo)。2)部門間溝通在委托方提交信息系統(tǒng)等級(jí)測(cè)評(píng)所必需的資料后，系統(tǒng)測(cè)評(píng)部應(yīng)會(huì)同業(yè)務(wù)受理部，組織專家對(duì)委托方提供的資料做詳細(xì)分析和整理。判定測(cè)評(píng)工程是否可以立項(xiàng)，以保證測(cè)評(píng)工作順利開展；系統(tǒng)測(cè)評(píng)部應(yīng)定期與質(zhì)量保障部溝通，以便質(zhì)量保障部提供相應(yīng)的軟、硬件保障，確保測(cè)評(píng)質(zhì)量。3)工程組成員間溝通工程組成員內(nèi)部溝通應(yīng)注重文檔化，實(shí)現(xiàn)團(tuán)隊(duì)工程經(jīng)驗(yàn)的有效積累；工程組成員在工程實(shí)施中應(yīng)注重技術(shù)性溝通，方便工程新成員提高技術(shù)水平；工程負(fù)責(zé)人通過各種途徑將意圖傳遞給工程執(zhí)行人員并使工程執(zhí)行人員理解和執(zhí)行。防止工程執(zhí)行人員理解不清最終導(dǎo)致工程混亂甚至工程失??；工程組成員在完成各自的測(cè)評(píng)工作后，應(yīng)以工程日?qǐng)?bào)形式向工程負(fù)責(zé)人匯報(bào)，以便工程負(fù)責(zé)人把握工程進(jìn)度；工程組成員完成測(cè)評(píng)報(bào)告后，報(bào)告所得出的結(jié)論應(yīng)協(xié)商一致，防止委托方對(duì)測(cè)評(píng)報(bào)告的結(jié)果提出異議。4)與領(lǐng)導(dǎo)的溝通應(yīng)清楚各級(jí)領(lǐng)導(dǎo)的權(quán)限和角色，解決問題時(shí)一定是要找到關(guān)鍵路徑上的關(guān)鍵領(lǐng)導(dǎo)，防止將問題同時(shí)拋給多個(gè)領(lǐng)導(dǎo)，造成領(lǐng)導(dǎo)之間的溝通本錢加大，影響問題的解決效率；對(duì)于工程中不可能完成的工作，不要一味的向領(lǐng)導(dǎo)妥協(xié)，這既是對(duì)工作的負(fù)責(zé)，也是對(duì)工程組的負(fù)責(zé)。通過多方面的溝通管理，為提升信譽(yù)度，與客戶建立良好的合作關(guān)系，打好堅(jiān)實(shí)的根底。5.3.3測(cè)評(píng)工作引入風(fēng)險(xiǎn)的管理5.3.3.1測(cè)評(píng)工作過程的風(fēng)險(xiǎn)驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作，局部測(cè)試內(nèi)容需要上機(jī)查看一些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。敏感信息泄漏泄漏被測(cè)系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、平安機(jī)制、平安隱患和有關(guān)文檔信息。對(duì)測(cè)評(píng)結(jié)果存有爭議測(cè)評(píng)機(jī)構(gòu)和被測(cè)單位對(duì)測(cè)評(píng)結(jié)果可能存在爭議。5.3.3.2風(fēng)險(xiǎn)管理控制方法為了對(duì)測(cè)評(píng)過程存在的風(fēng)險(xiǎn)進(jìn)行有效躲避，將針對(duì)測(cè)評(píng)流程通過如下幾個(gè)階段實(shí)施風(fēng)險(xiǎn)管理：測(cè)評(píng)準(zhǔn)備階段a)風(fēng)險(xiǎn)點(diǎn)：準(zhǔn)備階段在與委托方進(jìn)行初次溝通協(xié)商后，需要委托方提供一定量的信息系統(tǒng)相關(guān)資料，以便通過這些資料的了解研究，確定下一步測(cè)評(píng)工作的開展方法，而這些資料可能涉及到委托方的內(nèi)部機(jī)密，如果此類資料喪失或泄露，將對(duì)委托方產(chǎn)生較大影響及造成經(jīng)濟(jì)損失?？刂品椒ǎ涸谂c委托方首次溝通時(shí)，簽署?委托階段保密協(xié)議?；從委托方獲取資料時(shí)，應(yīng)填寫?資料交接單?，并經(jīng)委托方簽字確認(rèn)前方可使用。b)風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)實(shí)施過程中可能需要對(duì)設(shè)備和系統(tǒng)進(jìn)行上機(jī)檢查，滲透測(cè)試等，而這些操作可能會(huì)對(duì)委托方的系統(tǒng)運(yùn)行設(shè)備平安等造成一定威脅，如果在測(cè)評(píng)工程準(zhǔn)備階段沒有向委托方陳述此類題，可能將導(dǎo)致實(shí)施過程中的委托方系統(tǒng)效勞中斷，設(shè)備宕機(jī)等問題。控制方法：在與委托方溝通協(xié)調(diào)時(shí)，必須將上述隱患告知委托方，并建議其做相應(yīng)的保護(hù)措施。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)工作是一項(xiàng)嚴(yán)密而又復(fù)雜的工作，其內(nèi)容涉及信息系統(tǒng)的各個(gè)方面，如果測(cè)評(píng)準(zhǔn)備階段沒有將測(cè)評(píng)工作的意義及流程告知委托方，將造成后期配合上的隱患，導(dǎo)致工程進(jìn)展緩慢，或無法有序開展。控制方法：與委托方溝通協(xié)調(diào)時(shí)，有必要對(duì)工程目的、流程及需要配合的事宜完整的告知委托方，防止由此引發(fā)的不理解，不配合。風(fēng)險(xiǎn)點(diǎn)：測(cè)評(píng)工作需要有相當(dāng)專業(yè)技術(shù)能力的人員和相關(guān)測(cè)評(píng)工具的配合，如果測(cè)評(píng)工具準(zhǔn)備不當(dāng)或測(cè)評(píng)人員知識(shí)儲(chǔ)藏量缺乏，都將對(duì)測(cè)評(píng)工作的開展及測(cè)評(píng)結(jié)果造成影響?？刂品椒ǎ航M織測(cè)評(píng)隊(duì)伍時(shí)應(yīng)對(duì)相關(guān)人員資格進(jìn)行審核，有關(guān)設(shè)備的操作人員需定期培訓(xùn)，并在確定了測(cè)評(píng)所需設(shè)備后，對(duì)所需設(shè)備進(jìn)行校準(zhǔn)。風(fēng)險(xiǎn)點(diǎn)：由于測(cè)評(píng)過程中涉及到上機(jī)檢查，實(shí)地查看等