(完整)技术咨询服务项目完成报告.doc

(完整)技术咨询服务项目完成报告.doc

《(完整)技术咨询服务项目完成报告.doc》由会员分享，可在线阅读，更多相关《(完整)技术咨询服务项目完成报告.doc（16页珍藏版）》请在冰点文库上搜索。

信息安全技术咨询服务

项目完成报告

项目名称:

项目编号：

技术咨询服务对象：

项目负责人：

项目组成员：

项目开始时间：

项目结束时间:

项目交付成果:

甲方：

乙方：

代表签字:

代表签字:

年月日

年月日

目录

1 项目目的 1

2 项目依据 1

3 项目实施方案 2

3.1 技术咨询准备阶段 2

3.1。

1 确定技术咨询范围 2

3。

1。

2 制定项目计划书 3

3。

2 信息系统现状分析阶段 3

3。

2。

1 现场调研准备活动 3

3。

2.2 现场调研和结果记录 3

3。

2。

3 结果确认和资料归还 3

3.3 技术咨询报告编制阶段 4

4 项目组织方案 4

4.1 项目组织结构 4

4.2 项目人员构成和职责 4

4.3 项目实施计划 6

5 项目质量管理和控制 8

5。

1 过程质量控制管理 8

5.2 变更控制管理 8

5.3 项目风险管理 9

5。

3。

1 项目进度风险的管理 9

5.3.2 项目协作与沟通风险的管理 9

5.3.3 调研工作引入风险的管理 9

5。

4 保密控制管理 9

5。

4。

1 人员保密管理 9

5.4。

2 设备保密管理 10

5。

4.3 文档保密管理 10

1项目目的

XXX受XXX的委托进行信息系统的现状分析工作,主要分析信息系统的安全防护能力,确保系统与网络的安全性和可靠性，以提供安全和可靠的服务。

通过对信息安全进行现状分析,判断业务系统的防护能力是否满足与安全保护等级相对应的安全保护要求，分析总结系统现有安全防护措施存在的优势和不足，并给出整改计划，从而促进系统安全防护工作的完善和提高,完善安全防护体系建设，保证信息系统的安全和有效运行。

2项目依据

《山东省信息安全等级保护测评工作规范（试行）》省公安厅

《关于信息安全等级保护工作的实施意见》（公通字[2004］66号）

《信息安全等级保护管理办法》（公通字［2007］43号）

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）

《信息安全技术信息系统安全等级保护定级指南》（GB/T22240—2008）

《信息安全技术信息系统安全等级保护实施指南》

《信息安全技术信息系统安全等级保护测评要求》

《信息安全技术信息系统安全等级保护测评过程指南》

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003]27号）

《计算机信息系统安全保护等级划分准则》（GB/T17859-1999）

《信息安全技术信息系统通用安全技术要求》（GB/T20271—2006）

《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

《信息安全技术操作系统安全技术要求》（GB/T20272—2006）

《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）

《信息安全技术终端计算机系统安全等级技术要求》（GB/T671—2006）

《信息安全技术信息系统安全管理要求》（GB/T20269-2006）

《信息安全技术信息系统安全工程管理要求》（GB/T20282—2006）

《信息安全技术信息安全风险评估规范》（GB/T20984-2007）

3项目实施方案

3.1技术咨询准备阶段

3.1.1确定技术咨询范围

为积极响应国家政策要求，创建安全健康的网络环境，建立安全管理体系，完备安全技术措施,全面提高信息安全防护能力，本公司提供信息安全技术咨询服务，包括：

信息安全等级保护服务咨询、信息安全风险评估服务咨询、信息安全管理体系建设咨询、信息安全技术体系建设咨询.

技术咨询服务范围如下表所示：

表3-1技术咨询服务范围

咨询范围

具体内容

信息安全等级保护

l信息系统定级

l信息系统备案

l信息系统安全现状分析

l信息系统建设整改

l信息系统等级咨询

l等级咨询报告编制

信息安全风险评估

l风险评估准备

l资产识别

l威胁识别

l脆弱性识别

l已有安全措施确认

信息安全管理体系建设

l安全管理制度

l安全管理机构

l人员安全管理

l系统建设管理

l系统运维管理

信息安全技术措施建设

l物理安全

l网络安全

l主机安全

l应用安全

l数据安全

3.1.2制定项目计划书

在项目计划书中明确项目实施流程、项目实施人员和项目实施时间。

3.2信息系统现状分析阶段

3.2.1现场调研准备活动

现场调研准备活动的目标是最终审定项目实施方案、协调各种资源,正式启动现场调研工作。

主要工作包括:

签署现场调研授权书；召开首次会议,确定实施方案；协调各种资源，包括配合人员和需要提供的材料等。

本活动中涉及的输出主要是更新后的实施方案及项目实施计划书、现场调研授权书和配合人员列表。

3.2.2现场调研和结果记录

现场调研活动的目标是调研人员严格按照调研指导书，对信息系统的调研对象进行现场调研、记录结果，并保证记录结果的真实、准确、及时和规范性.主要工作包括：

进程确认、实施现场调研、记录调研证据、离场确认。

本活动中涉及的输出主要是现场调研获取的各种证据.

3.2.3结果确认和资料归还

本任务的目标是对调研证据进行汇总,查漏补缺，并对发现的问题进行现场确认，归还所有的资料文档，现场调研工作结束。

主要工作包括：

现场调研记录汇总,查漏补缺，归还所有的资料文档。

本活动中涉及的输出主要是汇总的现场调研证据源记录、文档交接单.

3.3技术咨询报告编制阶段

在报告编制活动中,调研人员通过分析现场调研获得的证据和资料，判定信息系统是否达到相应安全等级的安全要求，然后进行整体分析和风险分析，并提出信息系统整体改进方案。

4项目组织方案

4.1项目组织结构

在本次项目中,XXX成立技术咨询项目组，下设项目总监、PTO专员、管理调研组、技术调研组和质量保证组.项目组织结构如下图所示:

图4-1项目组织结构图

4.2项目人员构成和职责

在项目启动任务中,XXX成立技术咨询项目组，负责该项目的规划与实施，下表为项目组成员列表:

表4—2项目组成员列表

担任职务

序号

姓名

从业资格

从业年限

相关经验

项目总监

1

PTO专员

2

管理调研组组长

3

管理调研组成员

4

技术调研组组长

5

技术调研组成员

6

7

质量保证组

8

质量保证组成员

9

4.3项目实施计划

表4—3技术咨询项目计划表

工作阶段

工作小组

工作内容

工作日

项目准备阶段

咨询小组

项目启动

1

成立项目组及成员分工

编制项目计划

编制系统调研表

系统调研阶段

咨询小组

相关资料收集

3

系统调研

系统资料整理和分析

编制系统调研报告

咨询方案准备阶段

咨询小组

确定咨询范围

2

确定具体的咨询对象

确定咨询工作的方法

准备咨询工具

编制咨询方案

编制咨询现场工作计划

咨询方案和现场工作计划确认

现场咨询阶段

管理咨询组

管理访谈

4

管理文件查阅

技术咨询组

技术访谈

人工配置核查

工具测试

现状分析阶段

管理咨询组

访谈结果整理和分析

9

查阅结果整理和分析

整体安全管理分析

不符合项整理

管理咨询结论形成

改进建议分析

技术咨询组

访谈结果分析

核查结果分析

渗透结果分析

不符合项整理

技术咨询结论形成

防范手段分析

技术咨询组

完成咨询报告技术部分和管理部分

报告评审和修改

技术咨询报告编制

咨询小组

编制技术咨询服务报告

3

项目验收

咨询小组

项目材料和文档移交

2

项目验收总结

合计

24

5项目质量管理和控制

5.1过程质量控制管理

过程自检始终穿插在过程质量控制管理体系中，它是保证过程质量的最重要方面。

过程专检是在项目的各个阶段由项目质量组和PTO专员负责对本阶段工作质量和进度进行检查。

过程总检是在项目的各个阶段由项目质量组和PTO专员负责对总体质量和进度进行检查。

通过三个检查的共同作用来保证项目的质量和工作的进度。

质量保证组负责过程质量控制管理体系的建设和实施。

质量保证组负责过程质量控制管理体系的试运行和内部审核.质量保证组和PTO专员负责监督过程质量控制管理体系的落实情况并提出整改意见。

质量保证组由项目总监任命并对项目总监负责。

5.2变更控制管理

对处于项目质量和控制管理下的变更进行控制，确保相关工作产品和项目活动状态与其保持一致,使其合理、可控制、可追溯。

变更申请一般包括以下几个步骤：

1）提交变更申请

2）审核变更申请

3）识别变更可行性

4）批准变更申请

5）实施变更申请

变更控制管理相关人员包括变更申请人、变更经理、变更可行性研究小组、变更审批小组、变更小组.其中除申请人外均由项目总监任命质量保证组和PTO专员负责。

项目总监设立PTO专员和项目质量保证组，对整个项目进行跟踪和监控。

由PTO专员负责制定项目变更控制程序，对项目变更的提出、变更的审核与批准、变更的实施等各个变更控制环节的流程和内容进行规范和指导。

从而保证有效地控制和管理项目变更.

5.3项目风险管理

5.3.1项目进度风险的管理

采用科学的方法确定进度目标,编制进度计划与资源供应计划,进行进度控制，在与质量、费用、安全目标协调的基础上，实现工期目标。

编制进度计划前进行详细的项目结构分析，系统地剖析整个项目结构构成，包括实施过程和细节,系统规则地分解项目。

做到明确单元之间的逻辑关系与工作关系，作到每个单元具体地落实到责任者，并能进行各部门、各专业的协调。

5.3.2项目协作与沟通风险的管理

项目组内部、咨询小组与被咨询单位之间的适时、充分的沟通是达成项目目标、保证项目成功的重要因素。

项目总监负责建立项目沟通机制,保持畅通的项目沟通渠道.

5.3.3调研工作引入风险的管理

调研工作的开展应该以不对被测系统造成不良影响为前提。

在调研工作中要遵循以下要求:

XXX加强对本公司调研人员安全意识教育，提高调研实施人员主动规避风险的能力；调研开始前调研人员需要被测单位确认调研对象中的关键数据已经备份。

如没有备份则不进行核查；调研工作开始前对调研可能对被测系统造成的影响进行评估，如有潜在风险则不允许在被测生产系统上核查，可协调被测单位搭建测试环境进行核查；对于调研过程中可能对被测系统产生较大压力的调研动作要求必须避开业务高峰期进行；严格执行保密协议和文档交接送还制度，保证被测单位重要信息不外泄,调研过程由被测单位相关技术人员陪同，严格遵守被测单位工作纪律和操作规程。

5.4保密控制管理

5.4.1人员保密管理

调研活动开始前调研人员需要与被测单位签订保密协议.调研过程中严格执行保密协议规定保证被测单位信息不被披露或使用，包括意外或过失。

对违反保密协议的人员依法追究法律责任.

5.4.2设备保密管理

调研活动中调研人员严格禁止出现下列行为：

Ø将涉密信息设备接入互联网及其他公共信息网络；

Ø使用非涉密信息设备存储、处理国家秘密；

Ø在涉密计算机与非涉密计算机之间交叉使用存储介质;

Ø使用低密级信息设备存储、处理高密级信息;

Ø在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备;

Ø擅自卸载涉密计算机上的安全保密防护软件或设备；

5.4.3文档保密管理

所有重要文档集中管理,维护档案的安全与完整.各项目小组人员在工作中形成的具有参考价值的文件、材料由个人或项目负责人整理后报文档管理人员存档.

档案工作人员必须严格遵守保密制度的规定，确保档案安全。

借阅、查阅涉密文档，应严格履行领导审批、本人登记手续。

利用涉密文档者负有保密的责任，不得将文档带走或转借他人，禁止携带文档外出。

文档档案一般不得复印、摘抄，如确属正常工作需要，需经有关领导批准.密文档收回后要及时入柜加锁，不得在外存放。

文档工作人员发现失、泄密事件要及时报告并采取补救措施，避免或减轻损害后果。