網(wǎng)絡安全項目標書質(zhì)量保障方案

驗收方案組織驗收本項目建設完成后由承建方向XXX提出驗收申請報告，并協(xié)助建設方組建成立由驗收小組，包括：項目建設單位、承建方、監(jiān)理方、項管方、業(yè)內(nèi)專家以及其他單位人員等，驗收小組負責對項目進行全面的驗收工作，由驗收小組審核項目測試方案和測試數(shù)據(jù)，經(jīng)驗收小組確認后提交系統(tǒng)驗收報告。驗收依據(jù)本項目招、投標書的所有文件、需求規(guī)格說明書、深化設計；若本項目有變更，需要依據(jù)雙方簽字的變更需求；雙方簽訂的合同文件；確認收到的終驗提交文檔資料情況。驗收內(nèi)容驗收內(nèi)容主要包括系統(tǒng)功能驗收，安全服務成果驗收。驗收評測工作主要包括：文檔分析、方案制定、現(xiàn)場測試、問題單提交、測試報告。驗收測試內(nèi)容主要包括：功能完整度、安全可靠性、易用性、可擴充性、兼容性、效率、資源占用率、用戶文檔。文檔驗收標準一般包括：文檔完備性、內(nèi)容針對性、內(nèi)容充分性、內(nèi)容一致性、文字明確性、圖表詳實性、易讀性、文檔價值等。軟件、硬件驗收標準要符合國家和相關標準。驗收清單：表：STYLEREF3\s6.7.3SEQTable\*ARABIC\s31驗收清單驗收模塊子系統(tǒng)驗收內(nèi)容驗收方式應用安全應用安全監(jiān)測分析平臺功能測試應用安全監(jiān)測分析平臺測試方案、測試報告交付文檔應用安全監(jiān)測分析平臺部署文檔、操作文檔產(chǎn)品培訓應用安全監(jiān)測分析平臺培訓課件、培訓確認單應用防護系統(tǒng)功能測試應用防護系統(tǒng)測試方案、測試報告交付文檔應用防護系統(tǒng)部署文檔、操作文檔產(chǎn)品培訓應用防護系統(tǒng)培訓課件、培訓確認單移動端應用安全掃描服務報告《XX程序漏洞掃描報告》5份移動端應用安全加固服務報告《XX程序安全加固報告》1份移動端應用滲透測試服務報告《XX程序滲透測試報告》5份移動APP安全監(jiān)測服務報告《XXAPP安全監(jiān)測報告》月報安全運營管理中心安全威脅檢測系統(tǒng)功能測試安全威脅檢測系統(tǒng)測試方案、測試報告交付文檔安全威脅檢測系統(tǒng)部署文檔、操作文檔產(chǎn)品培訓安全威脅檢測系統(tǒng)培訓課件、培訓確認單綜合安全攔截系統(tǒng)功能測試綜合安全攔截系統(tǒng)測試方案、測試報告交付文檔綜合安全攔截系統(tǒng)部署文檔、操作文檔產(chǎn)品培訓綜合安全攔截系統(tǒng)培訓課件、培訓確認單安全運營處置平臺功能測試安全運營處置平臺測試方案、測試報告交付文檔安全運營處置平臺部署文檔、操作文檔產(chǎn)品培訓安全運營處置平臺培訓課件、培訓確認單安全交互展示系統(tǒng)功能測試安全交互展示系統(tǒng)測試方案、測試報告交付文檔安全交互展示系統(tǒng)部署文檔、操作文檔產(chǎn)品培訓安全交互展示系統(tǒng)培訓課件、培訓確認單安全服務代碼審計安全服務服務報告《XX系統(tǒng)_VX.X代碼審計報告》10份風險評估安全服務服務報告《XXX風險評估報告》（每年1次）應急響應安全服務服務報告《XX系統(tǒng)（事件）應急響應報告》根據(jù)安全事件提供應急響應報告攻防演練安全服務服務報告《攻防演練服務方案》1份《攻防演練服務報告》（每年1次）應急演練安全服務服務報告《應急演練服務方案》1《應急演練服務報告》（每年1次）網(wǎng)絡安全培訓服務服務報告《安全培訓方案》1份《安全培訓課件》每半年一次《培訓簽到表》《培訓反饋表》網(wǎng)絡安全風險保障服務服務報告《網(wǎng)絡安全保障工作方案》1份《網(wǎng)絡安全保障服務報告》（月報）駐場安全運營服務工作量2人駐場服務報告《漏洞掃描月度報告》《XX系統(tǒng)XX版本滲透測試報告》《基線核查檢查季度報告》《安全日志分析周報》項目初驗項目完成聯(lián)調(diào)之后，系統(tǒng)試運行前，需要由建設方（包括建設方邀請的專家）項目管理單位、監(jiān)理單位和我方公司等組成的項目驗收組對項目進行初驗，核對標書、合同、深化設計等對初驗條件的要求。目的初驗的目的是初步檢查合同執(zhí)行情況并驗證安全體系建設質(zhì)量，對本次項目所部署安全產(chǎn)品各項功能、性能、技術指標及運行狀態(tài)進行測試驗收，還應驗證配套的網(wǎng)絡安全設備系統(tǒng)功能、運行狀態(tài)是否達到網(wǎng)絡設計、技術規(guī)范及合同的要求。條件系統(tǒng)初驗條件應符合合同規(guī)定，并符合如下條件：1）可提交合同規(guī)定的文檔；2）軟硬件產(chǎn)品已納入配置管理并可交付；3）合同規(guī)定各項目建設任務已經(jīng)全部完成，內(nèi)部試運行正常，并且系統(tǒng)通過測試；5）我方向政數(shù)局方和監(jiān)理、項管提交驗收申請、計劃及方案，并通過審核。試運行試運行是第二個階段驗收活動，由我公司負責，建設方配合，對系統(tǒng)按各項技術、指標、系統(tǒng)功能、使用范圍進行檢驗，檢驗系統(tǒng)的可用性、穩(wěn)定性和有效性，試運行階段計劃為2個月，一方面要提供足夠的培訓和技術支持，保障用戶能夠正確的理解和使用系統(tǒng)，另一方面，要根據(jù)運行中出現(xiàn)的問題以及用戶需求情況，及時修改完善系統(tǒng)。試運行過程中，項目組將在收集問題，完善系統(tǒng)的同時對試運行過程中出現(xiàn)的問題及解決情況做統(tǒng)計分析，利用項目積累數(shù)據(jù)及分析模型對系統(tǒng)的最終交付質(zhì)量作出可靠評估。總體竣工驗收項目建設完成試運行2個月后，按業(yè)主要求開展第三方測試，我方協(xié)作業(yè)主委托的軟件測評中心對軟件的功能、性能、安全性等內(nèi)容進行檢測，檢驗結果必須符合系統(tǒng)建設要求，不足之處根據(jù)檢測意見進行整改完善。軟件測評檢測合格后，我方將協(xié)助業(yè)主組織專家組，會同有關部門對整個系統(tǒng)按標書、合同、相關規(guī)定等內(nèi)容進行終驗。驗收合格后雙方簽定驗收合格證書。目的總體竣工驗收的目的是對本系統(tǒng)工程進行全面最終的質(zhì)量驗收。基本要求（1）全面完成應用系統(tǒng)的設計、部署、測試和集成工作，達到功能、性能、使用等方面的要求；（2）系統(tǒng)運行穩(wěn)定，上線試運行正常。（3）試運行過程中問題基本關閉。（4）用戶報告中問題已關閉。驗收方式系統(tǒng)功能方面整體的實現(xiàn)程度。系統(tǒng)在性能方面的的評價。項目管理情況的評價。需求分析過程成果的檢查。系統(tǒng)概要設計及詳細設計過程過程成果的檢查。系統(tǒng)實現(xiàn)過程及系統(tǒng)測試過程的成果檢查。用戶現(xiàn)場測試過程成果的檢查。系統(tǒng)部署過程成果的檢查。系統(tǒng)培訓過程成果的檢查。安全服務各項內(nèi)容成果檢查試運行過程檢查用戶報告實施過程1、策劃項目按照計劃完成試運行工作，并執(zhí)行完畢系統(tǒng)試運行過程中的完善工作，由我方提出申請，并在驗收前14天將竣工報告及有關資料報建設方。申請通過之后，由驗收小組，根據(jù)項目的項目合同、初步驗收報告等共同策劃總體竣工驗收方案，用于指導驗收工作?？傮w竣工驗收方案中需要明確驗收形式、何時、何地、誰組織等事宜，提出需要的資金計劃等；對所要檢查的內(nèi)容給出相對具體的準備辦法及自查方法。2、準備驗收組根據(jù)共同制定的驗收方案執(zhí)行驗收準備工作。我方根據(jù)驗收計劃及合同、協(xié)議等約定條件準備驗收環(huán)境，并完成終驗報告及PPT。3、驗收通過一個階段的驗收準備工作，確認系統(tǒng)及各類提交件基本滿足終驗要求。建設方邀請專家團來對平臺系統(tǒng)建設工作作出第三方評審，即專家評審會。風險控制根據(jù)以往項目實施經(jīng)驗積累，通過對本項目的范圍、進度、質(zhì)量、技術、人員等項目風險進行綜合考慮和分析，認為在本項目的實施過程中可能會遇到下面幾種風險。通過對識別出的風險進行分析，從各個角度提出針對性的風險規(guī)避措施。技術風險對業(yè)務不熟悉導致項目實施方案不完善。由于本次項目范圍涉及到XXX項目中“4大中樞”“六大智慧應用”，對系統(tǒng)不熟悉可能會導致建設方案在實施過程中存在風險。規(guī)避措施：增加項目準備階段，充分了解各智慧城市項目的業(yè)務邏輯、數(shù)據(jù)流轉過程、技術架構等，整理出每個系統(tǒng)的業(yè)務數(shù)據(jù)流程，并依據(jù)標準體系的相關信息安全規(guī)范，通過深入訪談調(diào)研，完善項目實施方案，確保方案合理。項目實施方案的制定需要經(jīng)過項目組和相關三方廠商（如設備提供方、云服務商）的集中評審，以確保實施方案的完備性和可行性。進度風險1. 溝通時間造成進度拖延本項目的實施不僅僅涉及XXX及施工單位，在項目實施過程中還會涉及到業(yè)務云計算提供商、平臺硬件設備提供方等第三方。由于第三方廠商溝通順利程度和時間進度屬于不確定因素，可能會影響到項目的整體進度。規(guī)避措施：安全體系團隊成立協(xié)調(diào)組，專門和眾多的廠商進行協(xié)調(diào)，項目執(zhí)行經(jīng)理在項目實施過程中進入?yún)f(xié)調(diào)環(huán)節(jié)，將把協(xié)調(diào)申請?zhí)峤唤o三方協(xié)調(diào)組，由其統(tǒng)一安排進行協(xié)調(diào)。為了不影響項目整體進度，項目實施小組可以在等待廠商反饋期間啟動另一個業(yè)務系統(tǒng)的接入和實施。針對云平臺硬件提供方原因?qū)е碌倪M度風險，將列出詳細的工作計劃，采取提前通知備貨，提前硬件測試調(diào)試等方式，壓縮工程進度，保障項目如期實施。2. 進度計劃變更風險由于本項目涉及的業(yè)務系統(tǒng)繁多、設備數(shù)量較大、技術難度較高，并且在實施過程一定要保證項目質(zhì)量，保證系統(tǒng)的平穩(wěn)運行和安全可靠，因此可能存在許多環(huán)節(jié)影響到項目進度。規(guī)避措施：充分考慮到諸多影響項目進度的風險，在項目計劃階段，應制定風險可控的實施進度方案，主要考慮到保證項目實施方案的準確性和可行性，可能在項目實施方案制定和確認過程造成項目延遲。人員風險安全體系項目組成員的資歷都事先向XXX書面提供，并經(jīng)過XXX的認可。安全體系子項承諾確保項目組成員工作的連續(xù)性。安全體系子項將派遣有經(jīng)驗的顧問和工程師參加本項目，同時還會安排有經(jīng)驗的項目經(jīng)理、質(zhì)量保證人員和標準化審核人員等支持項目工作。安全體系的項目組成員將在SOW中明確定義并得到雙方的認可、確認和簽署。如果根據(jù)項目的具體情況，需要進行人員調(diào)整時，必須經(jīng)過正規(guī)的項目變更程序，并得到雙方的正式認可和簽署。保密工作如項目需要，安全體系項目團隊將簽訂保密協(xié)議，在法律上明確項目實施公司及實施人員要承擔的責任，確保如果發(fā)現(xiàn)項目實施公司和項目實施人員有信息泄漏、出售及攻擊行為后，可以依據(jù)保密協(xié)議追究其法律責任，并盡可能將損失降到最小。場地環(huán)境項目期間內(nèi)的安全保密管理規(guī)定所有進入工作場地的人員，均應遵守本安全保密規(guī)定。項目中，為了安全保密的需要，在項目組所在的辦公環(huán)境中，安全體系全體成員不允許私自攜帶便攜存儲介質(zhì)。文檔材料的安全管理辦法對需要其他子項目提供的文檔資料，安全體系交付人員提交《項目文檔需求申請單》給相關接口人。在申請單規(guī)定期限內(nèi)，XXX其他子項應當提供要求的文檔資料。文檔申請單上，明確文檔申請人，文檔使用人員等涉及此文檔的人員。對紙質(zhì)文檔，統(tǒng)一保管在指定的文件柜里。使用完后返還提供方，并填寫《項目文檔需求歸還單》。對電子文檔，傳遞通過指定的介質(zhì)，保存在文檔申請人及使用人員的筆記本上，項目組筆記本電腦的應設安全級別高的口令。質(zhì)量保障項目質(zhì)量管理項目施工遵循原則遵守可控性、完整性、最小影響、保密的原則，是順利完成本項目的保證?？煽匦栽瓌t遵循可控性原則，配合項目單位完成本次項目的建設實施：人員可控性安全體系實施會根據(jù)項目單位的安排，派遣有經(jīng)驗的顧問工程師參與本項目的工作，同時還可安排有經(jīng)驗的項目管理人員、質(zhì)量保證人員、標準化審核人員完成項目管理工作。在項目實施前，將參與項目建設的所有項目組人員的資質(zhì)及簡歷提交用戶方，并經(jīng)過認可，以確保項目組成員工作的連續(xù)性。項目過程可控性本項目的管理建議依據(jù)PMI項目管理方法學、SSE-CMM安全工程成熟度模型等項目管理方法。特別是在項目管理中突出“溝通管理”，達到項目過程的可控性。為了保證能夠按照工程進度實施，由供、需雙方組成的項目組應該在進行項目實施之前舉行會議，正式形成文字材料，書面確定雙方項目組的職責和義務。期間雙方將本著友好合作的態(tài)度完成各自的職責。完整性原則項目管理與實施方案應該涉及本項目的各個層次，全面覆蓋本項目的實際需求；安全體系所進行的綜合分析和解決方案將結合積累的項目管理經(jīng)驗完成。最小影響原則從項目管理層面和工具技術層面將項目實施工作對用戶業(yè)務正常運行的可能影響降低到最低限度，以保證不會對現(xiàn)有網(wǎng)絡和業(yè)務的正常運行造成影響。項目質(zhì)量目標質(zhì)量保證的總體目標應按照合同及國家有關標準，以項目順利完成為總體目標。信息安全產(chǎn)品培訓目標建議將本次工程的培訓分為現(xiàn)場培訓與集中培訓相結合的方式進行，培訓主要針對用戶的工程管理人員和具體的操作人員。集中培訓的目標是使用戶人員能夠?qū)ο到y(tǒng)進行整體的規(guī)劃與設計和對安全產(chǎn)品和技術的深入掌握?，F(xiàn)場培訓的目標則是使用戶人員具備使用和維護安全系統(tǒng)的能力。設備檢測目標由于本項目安全建設方面可能涉及多個物理區(qū)域位置，任何一個節(jié)點出現(xiàn)設備故障都會給項目的執(zhí)行帶來重大損失。因此，在發(fā)貨前對設備的檢測就顯得極為重要。所有的設備與材料在發(fā)貨前必須在送達用戶指定地點前進行統(tǒng)一的檢測與標識，同時要確保所有的設備與材料在發(fā)貨之前100%的無故障。節(jié)點安裝目標根據(jù)項目合同要求對設備、產(chǎn)品的型號、規(guī)格、數(shù)量、包裝及資料、文件（如裝箱單、保修單、隨箱介質(zhì)等）進行逐項檢查，保證與設備清單一致。完成該項目所涉及的各系統(tǒng)的安裝、調(diào)試、初驗，保證工程實施的成功率為100％。安全服務目標本項目的安全服務目標是：從安全服務的角度完成產(chǎn)品到貨驗收；從安全咨詢的角度設計安全部署方案；從安全集成的角度提供現(xiàn)場安全安裝調(diào)試；和安全技術策略規(guī)范同步，保證真正落實。項目質(zhì)量保證方法質(zhì)量標準的量化對于大型網(wǎng)絡建設集成項目，質(zhì)量考核標準一直是困擾廣大項目人員的問題，但是作為項目的管理者，如果不能夠通過科學、公平的質(zhì)量評價標準，就不能夠?qū)Π踩身椖孔陨硪约绊椖咳藛T進行有效的衡量與考核。因此，在本項目的建設過程中對各項質(zhì)量指標進行量化顯得尤為重要。規(guī)范的文檔模版無論需求、設計、計劃、實施、測試、驗收等各階段，我們都通過統(tǒng)一的需求分析、詳細設計文檔、實施文檔、測試計劃、驗收大綱等模板以及書寫規(guī)范，從而規(guī)范項目中的溝通與執(zhí)行過程，保證項目各階段信息的完整性、一致性與規(guī)范性。高效的溝通方式建議同時對項目組內(nèi)部的溝通以及與用戶的溝通全部通過項目協(xié)調(diào)會、周報、用戶需求確認表等形式，把各個接口進行統(tǒng)一的規(guī)劃，盡量保證項目組內(nèi)以及項目組與用戶間信息交流及時準確。完整的配置管理配置管理同樣是項目質(zhì)量的有力保證，通過項目文檔版本的有效控制以及安裝、調(diào)試過程的詳細記錄，包括遇到的問題記錄、經(jīng)驗的記錄，使配置庫不僅僅是項目文檔的管理和保存，更是項目組共同智慧、經(jīng)驗的積累和記錄。項目管理和工程實施遵循的標準為了保證整個項目集成實施的質(zhì)量和進度，建議參考并遵守一些國際上最新的相關工程標準和最新的研究成果，如：PMI項目管理方法學SSE-CMM信息安全工程成熟度模型IATF信息系統(tǒng)安全工程（ISSE）過程模型項目溝通管理日常項目溝通在本項目中，將采用正式項目溝通程序和日常溝通相結合的方式，來保證參與項目的各方能夠保持對項目的了解和支持。這些管理和溝通措施將對項目過程的質(zhì)量和結果的質(zhì)量具有重要的作用。正式的項目溝通包括項目啟動會議、階段評審會議、項目協(xié)調(diào)會議、驗收會議等，這些溝通通常提供書面的會議紀要共雙方簽字作為記錄。日常溝通的主要渠道包括：視頻會議、電話、電子郵件、傳真等。網(wǎng)絡安全突發(fā)事件溝通為進一步建立健全XXX項目安全事件應急工作機制，提高項目組安全事件應急處置能力，預防和減少網(wǎng)絡安全事件造成的損失和危害，保障各系統(tǒng)安全穩(wěn)定運行，XXX項目組將成立安全事件應急工作組，應急工作組包含應急領導小組和應急工作小組，急領導小組負責網(wǎng)絡安全事件應急處置組織、協(xié)調(diào)和領導工作。應急工作小組，具體負責網(wǎng)絡安全事件應急處置工作。應急領導小組成員：安全服務項目經(jīng)理、XXX項目經(jīng)理；應急領導小組的主要職責包括：負責網(wǎng)絡安全事件的應急指揮、組織協(xié)調(diào)和過程控制；負責研究、決定網(wǎng)絡安全事件應急處置決策和應對措施；負責向單位領導、監(jiān)管部門和公安機關匯報應急處置進展情況和總結報告；負責統(tǒng)籌協(xié)調(diào)，確定行管職能部門應急處理工作職責及具體分工。應急工作小組成員：駐場及遠程安全運營人員、；應急工作小組的主要職責包括：定期向應急領導小組匯報網(wǎng)絡安全狀況；在應急領導小組組織、協(xié)調(diào)、指導下，開展網(wǎng)絡安全事件應急處置工作；負責對網(wǎng)絡安全事件產(chǎn)生的影響和損失進行分析與評估，及時通報評估結果；負責網(wǎng)絡安全事件應急預案的制定、修訂、落實；網(wǎng)絡安全事件溝通及處置流程：重保期間溝通重保期間將成立重保安全小組，安全體系提供7*24小組值守服務。重保領導小組成員：XXX項目經(jīng)理、XXX相關領導；重保領導小組的主要職責包括：負責網(wǎng)絡安全事件的重保指揮、組織協(xié)調(diào)和過程控制；負責研究、決定網(wǎng)絡安全事件重保處置決策和應對措施；負責向單位領導、監(jiān)管部門和公安機關匯報重保處置進展情況和總結報告；負責統(tǒng)籌協(xié)調(diào)，確定行管職能部門重保處理工作職責及具體分工。重保安全小組成員：安全服務項目經(jīng)理、駐場及遠程安全運營人員、；重保安全小組的主要職責包括：定期向重保領導小組匯報網(wǎng)絡安全狀況；在重保領導小組組織、協(xié)調(diào)、指導下，開展網(wǎng)絡安全事件重保處置工作；負責對網(wǎng)絡安全事件產(chǎn)生的影響和損失進行分析與評估，及時通報評估結果；負責網(wǎng)絡安全事件重保預案的制定、修訂、落實；項目風險管理在本項目進行過程中會出現(xiàn)大量的不確定性，即項目風險。工程實施方案所提到的“風險”是指對項目“不利”的不確定因素。對項目不利的風險存在于任何項目中，并往往會給項目的推進和項目的成功帶來負面影響。風險一旦發(fā)生，它的影響是多方面的，如導致項目產(chǎn)品/服務的功能無法滿足客戶的需要、項目費用超出預算、項目計劃拖延或被迫取消等，其最終體現(xiàn)為客戶滿意度的降低。因此，識別風險、評估風險并采取措施應對風險即風險管理對項目管理具有十分重要的意義。項目風險管理模型如下：圖：STYLEREF3\s6.8.4SEQTable\*ARABIC\s31項目更顯管理模型項目風險管理主要分為以下幾個步驟：風險識別、定性/定量風險分析、風險應對計劃編制及風險監(jiān)控。風險識別風險識別，是指識別并記錄可能對項目造成不利影響的因素。由于項目處于不斷發(fā)展變化的過程中，因此風險識別也貫穿于整個項目實施的全過程，而不僅僅是項目的開始階段。風險識別不是一次性的工作，而需要更多系統(tǒng)的、橫向的思維。幾乎所有關于項目的計劃與信息都可能作為風險識別的依據(jù)，如項目進度計劃、安裝結構、項目組織結構、項目范圍、類似項目的歷史信息等。定性/定量風險分析通過風險識別過程所識別出的潛在風險數(shù)量很多，但這些潛在的風險對項目的影響是各不相同的?！帮L險分析”即通過分析、比較、評估等各種方式，對確定各風險的重要性，對風險排序并評估其對項目可能后果，從而使項目實施人員可以將主要精力集中于為數(shù)不多的主要風險上，從而使項目的整體風險得到有效的控制。風險分析主要可采用的方法有：風險概率/影響評估矩陣、