技术咨询服务项目完成报告

1、信息安全技术咨询服务项目完成报告项目名称: 项目编号：技术咨询服务对象:项目负责人： 项目组成员： 项目开始时间： 项目结束时间： 项目交付成果：甲方：代表签字：年 月 日乙方：代表签字：年 月 日1 项目目的 12 项目依据 13 项目实施方案 23.1 技术咨询准备阶段 23.1.1 确定技术咨询范围 23.1.2 制定项目计划书 33.2 信息系统现状分析阶段 33.2.1 现场调研准备活动 33.2.2 现场调研和结果记录 33.2.3 结果确认和资料归还 33.3 技术咨询报告编制阶段 44 项目组织方案 44.1 项目组织结构 44.2 项目人员构成和职责 44.3 项目实施计划

2、65 项目质量管理和控制 85.1 过程质量控制管理 85.2 变更控制管理 85.3 项目风险管理 95.3.1 项目进度风险的管理 95.3.2 项目协作与沟通风险的管理 95.3.3 调研工作引入风险的管理 95.4 保密控制管理 95.4.1 人员保密管理 95.4.2 设备保密管理 105.4.3 文档保密管理 101 项目目的XXX受XXX的委托进行信息系统的现状分析工作，主要分析信息系统的安全防 护能力，确保系统与网络的安全性和可靠性，以提供安全和可靠的服务。通过对信息安全进行现状分析，判断业务系统的防护能力是否满足与安全保护 等级相对应的安全保护要求，分析总结系统现有安全防护措

3、施存在的优势和不足， 并给出整改计划，从而促进系统安全防护工作的完善和提高，完善安全防护体系建 设，保证信息系统的安全和有效运行。2 项目依据山东省信息安全等级保护测评工作规范(试行省公安厅关于信息安全等级保护工作的实施意见(公通字200466 号)信息安全等级保护管理办法(公通字200743号)信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)信息安全技术信息系统安全等级保护定级指南(GB/T 22240-2008)信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评过程指南国家信息化领导小组关于加强信息

4、安全保障工作的意见(中办发200327号)计算机信息系统安全保护等级划分准则(GB/T 17859-1999)信息安全技术信息系统通用安全技术要求(GB/T 20271-2006)信息安全技术网络基础安全技术要求( GB/T 20270-2006)信息安全技术操作系统安全技术要求( GB/T 20272-2006)信息安全技术数据库管理系统安全技术要求(GB/T 20273-2006)信息安全技术终端计算机系统安全等级技术要求(GB/T 671-2006)信息安全技术信息系统安全管理要求( GB/T 20269-2006)信息安全技术信息系统安全工程管理要求(GB/T 20282-2006)信

5、息安全技术信息安全风险评估规范( GB/T 20984-2007)3 项目实施方案3.1技术咨询准备阶段3.1.1 确定技术咨询范围为积极响应国家政策要求，创建安全健康的网络环境，建立安全管理体系，完备安全技术措施， 全面提高信息安全防护能力，本公司提供信息安全技术咨询服务，包括：信息安全等级保护服务咨询、信息安全风险评估服务咨询、信息安全管理体系建设咨询、信息安全技术体系建设咨询。技术咨询服务范围如下表所示：表3-1技术咨询服务范围咨询范围具体内容息安全等级保护信息系统定级信息系统备案信息系统安全现状分析信信息系统建设整改信息系统等级咨询等级咨询报告编制L.信息安全风险评估风险评估准备资产识

6、别威胁识别脆弱性识别已有安全措施确认信息安全管理体系建设安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理安全 网络安全信息安全技术措施建设主机安全应用安全数据安全3.1.2 制定项目计划书在项目计划书中明确项目实施流程、项目实施人员和项目实施时间。3.2 信息系统现状分析阶段3.2.1 现场调研准备活动现场调研准备活动的目标是最终审定项目实施方案、协调各种资源，正式启动现场调研工作。主要工作包括：签署现场调研授权书；召开首次会议，确定实施方案；协调各种资源，包括配合人员和需要提供的材料等。本活动中涉及的输出主要是更新后的实施方案及项目实施计划书、现场调研授权书和配合人员列表。3

7、.2.2 现场调研和结果记录现场调研活动的目标是调研人员严格按照调研指导书，对信息系统的调研对象进行现场调研、记录结果，并保证记录结果的真实、准确、及时和规范性。主要工作包括：进程确认、实施现场调研、记录调研证据、离场确认。本活动中涉及的输出主要是现场调研获取的各种证据。3.2.3 结果确认和资料归还本任务的目标是对调研证据进行汇总，查漏补缺，并对发现的问题进行现场确认，归还所有的资料文档，现场调研工作结束。主要工作包括： 现场调研记录汇总，查漏补缺，归还所有的资料文档。本活动中涉及的输出主要是汇总的现场调研证据源记录、文档交接单3.3 技术咨询报告编制阶段在报告编制活动中，调研人员通过分析现

8、场调研获得的证据和资料，判定信息 系统是否达到相应安全等级的安全要求，然后进行整体分析和风险分析，并提出信 息系统整体改进方案。4 项目组织方案4.1 项目组织结构在本次项目中，XXX成立技术咨询项目组，下设项目总监、PTO专员、管理调研组、技术调研组和质量保证组。项目组织结构如下图所示：图4-1项目组织结构图4.2 项目人员构成和职责在项目启动任务中，XXX成立技术咨询项目组，负责该项目的规划与实施，下表为项目组成员列表:表4-2项目组成员列表担任职务序号姓名从业资格从业年限相关经验1目总监PTO专员23管理调研组组长管理调研组4成员技术调研组5组长6技术调研组成员7质量保证组8质量保证组成

9、员94.3 项目实施计划表4-3技术咨询项目计划表工作阶段工作小组工作内容工作日项目启动项目准备阶段咨询小组成立项目组及成员分工编制项目计划1编制系统调研表相关资料收集系统调研系统调研阶段咨询小组系统资料整理和分析3编制系统调研报告确定咨询范围确定具体的咨询对象确定咨询工作的方法咨询方案准备阶段咨询小组准备咨询工具2编制咨询方案编制咨询现场工作计划咨询方案和现场工作计划确认管理咨询组管理访谈管理文件查阅技术访谈现场咨询阶段4人工配置核查技术咨询组工具测试24工作阶段工作小组工作内容工作日访谈结果整理和分析查阅结果整理和分析管理咨询组整体安全管理分析不符合项整理管理咨询结论形成改进建议分析现状分

10、析阶段访谈结果分析9核查结果分析技术咨询组渗透结果分析不符合项整理技术咨询结论形成防范手段分析技术咨询组完成咨询报告技术部分和管理部分技术咨询报告编制报告评审和修改咨询小组编制技术咨询服务报告3项目验收咨询小组项目材料和文档移父项目验收总结2合计5 项目质量管理和控制5.1 过程质量控制管理过程自检始终穿插在过程质量控制管理体系中，它是保证过程质量的最重要方面。过程专检是在项目的各个阶段由项目质量组和PTO专员负责对本阶段工作质量和进度进行检查。过程总检是在项目的各个阶段由项目质量组和PTO专员负责对总体质量和进度进行检查。通过三个检查的共同作用来保证项目的质量和工作的进度。质量保证组负责过程

11、质量控制管理体系的建设和实施。质量保证组负责过程质量控制管理体系的试运行和内部审核。质量保证组和PTO专员负责监督过程质量控制管理体系的落实情况并提出整改意见。质量保证组由项目总监任命并对项目总监 负责。5.2 变更控制管理对处于项目质量和控制管理下的变更进行控制，确保相关工作产品和项目活动状态与其保持一致，使其合理、可控制、可追溯。变更申请一般包括以下几个步骤：1）提交变更申请2）审核变更申请3）识别变更可行性4）批准变更申请5）实施变更申请变更控制管理相关人员包括变更申请人、变更经理、变更可行性研究小组、变更审批小组、变更小组。其中除申请人外均由项目总监任命质量保证组和PTO专员负责。项目

12、总监设立 PTO专员和项目质量保证组，对整个项目进行跟踪和监控。由PTO专员负责制定项目变更控制程序，对项目变更的提出、变更的审核与批准、变更的 实施等各个变更控制环节的流程和内容进行规范和指导。从而保证有效地控制和管理项目变更。5.3 项目风险管理531项目进度风险的管理采用科学的方法确定进度目标，编制进度计划与资源供应计划，进行进度控制，在与质量、费用、安全目标协调的基础上，实现工期目标。编制进度计划前进行详细的项目结构分析，系统地剖析整个项目结构构成，包 括实施过程和细节，系统规则地分解项目。做到明确单元之间的逻辑关系与工作关 系，作到每个单元具体地落实到责任者，并能进行各部门、各专业的

13、协调。5.3.2 项目协作与沟通风险的管理项目组内部、咨询小组与被咨询单位之间的适时、充分的沟通是达成项目目标、保证项目成功的重要因素。项目总监负责建立项目沟通机制，保持畅通的项目沟通 渠道。5.3.3 调研工作引入风险的管理调研工作的开展应该以不对被测系统造成不良影响为前提。在调研工作中要遵 循以下要求：XXX加强对本公司调研人员安全意识教育，提高调研实施人员主动规 避风险的能力；调研开始前调研人员需要被测单位确认调研对象中的关键数据已经 备份。如没有备份则不进行核查；调研工作开始前对调研可能对被测系统造成的影 响进行评估，如有潜在风险则不允许在被测生产系统上核查，可协调被测单位搭建 测试环

14、境进行核查；对于调研过程中可能对被测系统产生较大压力的调研动作要求 必须避开业务高峰期进行；严格执行保密协议和文档交接送还制度，保证被测单位 重要信息不外泄，调研过程由被测单位相关技术人员陪同，严格遵守被测单位工作 纪律和操作规程。5.4 保密控制管理5.4.1人员保密管理调研活动开始前调研人员需要与被测单位签订保密协议。调研过程中严格执行保密协议规定保证被测单位信息不被披露或使用，包括意外或过失。对违反保密协议的人员依法追究法律责任542 设备保密管理调研活动中调研人员严格禁止出现下列行为：将涉密信息设备接入互联网及其他公共信息网络；使用非涉密信息设备存储、处理国家秘密；在涉密计算机与非涉密计算机之间交叉使用存储介质；使用低密级信息设备存储、处理高密级信息；在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备；擅自卸载涉密计算机上的安全保密防护软件或设备；543 文档保密管理所有重要文档集中管理，维护档案的安全与完整。各项目小组人员在工作中形成的具有参考价值的文件、材料由个人或项目负责人整理后报文档管理人员存档。档案工作人员必须严格遵守保密制度的规定，确保档案安全。 借阅、查阅涉密文