信息安全技术咨询服务项目完成报告
信息安全技术咨询服务项目完成报告
项目名称:
项目编号:
技术咨询服务对象:
项目负责人:
项目组成员:
项目开始时间:
项目结束时间:
项目交付成果:
甲方:乙方:
代表签字:代表签字:*年*月*日*年*月*日
目录
1项目目的项目目的
2项目依据项目依据
3项目实施方案项目实施方案.2
3.1技术咨询准备阶段2
3.1.1确定技术咨询范围2
3.1.2制定项目计划书3
3.2信息系统现状分析阶段3
3.2.1现场调研准备活动3
3.2.2现场调研和结果记录3
3.2.3结果确认和资料归还3
3.3技术咨询报告编制阶段4
4项目组织方案项目组织方案.4
4.1项目组织结构4
4.2项目人员构成和职责4
4.3项目实施计划6
5项目质量管理和控制项目质量管理和控制8
5.1过程质量控制管理8
5.2变更控制管理8
5.3项目风险管理9
5.3.1项目进度风险的管理9
5.3.2项目协作与沟通风险的管理9
5.3.3调研工作引入风险的管理9
5.4保密控制管理9
5.4.1人员保密管理9
5.4.2设备保密管理10
5.4.3文档保密管理10
1项目目的
*X受*X的委托进行信息系统的现状分析工作,主要分析信息系统的安全防护能力,确保系统与网络的安全性和可靠性,以提供安全和可靠的服务。
通过对信息安全进行现状分析,判断业务系统的防护能力是否满足与安全保护等级相对应的安全保护要求,分析总结系统现有安全防护措施存在的优势和不足,并给出整改计划,从而促进系统安全防护工作的完善和提高,完善安全防护体系建设,保证信息系统的安全和有效运行。
2项目依据
《山东省信息安全等级保护测评工作规范(试行)》省公安厅
《关于信息安全等级保护工作的实施意见》(公通字[20**]66号)
《信息安全等级保护管理办法》(公通字[20**]43号)
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-20**)
《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-20**)
《信息安全技术信息系统安全等级保护实施指南》
《信息安全技术信息系统安全等级保护测评要求》
《信息安全技术信息系统安全等级保护测评过程指南》
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20**]27号)
《计算机信息系统安全保护等级划分准则》(GB/T17859-1999)
《信息安全技术信息系统通用安全技术要求》(GB/T20271-20**)
《信息安全技术网络基础安全技术要求》(GB/T20270-20**)
《信息安全技术操作系统安全技术要求》(GB/T20272-20**)
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-20**)
《信息安全技术终端计算机系统安全等级技术要求》(GB/T671-20**)
《信息安全技术信息系统安全管理要求》(GB/T20269-20**)
《信息安全技术信息系统安全工程管理要求》(GB/T20282-20**)
《信息安全技术信息安全风险评估规范》(GB/T20984-20**)
3项目实施方案
3.1技术咨询准备阶段
3.1.1确定技术咨询范围
为积极响应国家政策要求,创建安全健康的网络环境,建立安全管理体系,完备安全技术措施,全面提高信息安全防护能力,本公司提供信息安全技术咨询服务,包括:信息安全等级保护服务咨询、信息安全风险评估服务咨询、信息安全管理体系建设咨询、信息安全技术体系建设咨询。
技术咨询服务范围如下表所示:
表3-1技术咨询服务范围
咨询范围咨询范围具体内容具体内容
信息安全等级保护
信息系统定级
信息系统备案
信息系统安全现状分析
信息系统建设整改
信息系统等级咨询
等级咨询报告编制
信息安全风险评估
风险评估准备
资产识别
威胁识别
脆弱性识别
已有安全措施确认
信息安全管理体系建设
安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
信息安全技术措施建设
物理安全
网络安全
主机安全
应用安全
数据安全
3.1.2制定项目计划书
在项目计划书中明确项目实施流程、项目实施人员和项目实施时间。
3.2信息系统现状分析阶段
3.2.1现场调研准备活动
现场调研准备活动的目标是最终审定项目实施方案、协调各种资源,正式启动现场调研工作。主要工作包括:签署现场调研授权书;召开首次会议,确定实施方案;协调各种资源,包括配合人员和需要提供的材料等。
本活动中涉及的输出主要是更新后的实施方案及项目实施计划书、现场调研授权书和配合人员列表。
3.2.2现场调研和结果记录
现场调研活动的目标是调研人员严格按照调研指导书,对信息系统的调研对象进行现场调研、记录结果,并保证记录结果的真实、准确、及时和规范性。主要工作包括:进程确认、实施现场调研、记录调研证据、离场确认。
本活动中涉及的输出主要是现场调研获取的各种证据。
3.2.3结果确认和资料归还
本任务的目标是对调研证据进行汇总,查漏补缺,并对发现的问题进行现场确认,归还所有的资料文档,现场调研工作结束。主要工作包括:现场调研记录汇总,查漏补缺,归还所有的资料文档。
本活动中涉及的输出主要是汇总的现场调研证据源记录、文档交接单。
3.3技术咨询报告编制阶段
在报告编制活动中,调研人员通过分析现场调研获得的证据和资料,判定信息系统是否达到相应安全等级的安全要求,然后进行整体分析和风险分析,并提出信息系统整体改进方案。
4项目组织方案
4.1项目组织结构
在本次项目中,*X
成立技术咨询项目组,下设项目总监、PTO专员、管理调研组、技术调研组和质量保证组。项目组织结构如下图所示:
图4-1项目组织结构图
4.2项目人员构成和职责
在项目启动任务中,*X
成立技术咨询项目组,负责该项目的规划与实施,下
表为项目组成员列表:
表4-2项目组成员列表
担任职务担任职务序号序号姓名姓名从业资格从业资格从业年限从业年限相关经验相关经验
项目总监
1PTO专员
2管理调研组
组长
3管理调研组
成员
4技术调研组
组长5
6技术调研组
成员7质量保证组
8质量保证组
成员9
4.3项目实施计划
表
4-3技术咨询项目计划表
工作阶段工作阶段工作小组工作小组工作内容工作内容工作日工作日
项目启动
成立项目组及成员分工
编制项目计划
项目准备阶段咨询小组
编制系统调研表
1相关资料收集
系统调研
系统资料整理和分析
系统调研阶段咨询小组
编制系统调研报告
3确定咨询范围
确定具体的咨询对象
确定咨询工作的方法
准备咨询工具
编制咨询方案
编制咨询现场工作计划
咨询方案准备阶段咨询小组
咨询方案和现场工作计划确认
2管理访谈
管理咨询组
管理文件查阅
技术访谈
人工配置核查
现场咨询阶段
技术咨询组
工具测试4
工作阶段工作阶段工作小组工作小组工作内容工作内容工作日工作日
访谈结果整理和分析
查阅结果整理和分析
整体安全管理分析
不符合项整理
管理咨询结论形成
管理咨询组
改进建议分析
访谈结果分析
核查结果分析
渗透结果分析
不符合项整理
技术咨询结论形成
技术咨询组
防范手段分析
完成咨询报告技术部分和管理部分
现状分析阶段
技术咨询组
报告评审和修改
9技术咨询报告编制咨询小组编制技术咨询服务报告
3项目材料和文档移交
项目验收咨询小组
项目验收总结2
合计24
5项目质量管理和控制
5.1过程质量控制管理
过程自检始终穿插在过程质量控制管理体系中,它是保证过程质量的最重要方面。过程专检是在项目的各个阶段由项目质量组和PTO专员负责对本阶段工作质量和进度进行检查。过程总检是在项目的各个阶段由项目质量组和PTO专员负责对总体质量和进度进行检查。通过三个检查的共同作用来保证项目的质量和工作的进度。
质量保证组负责过程质量控制管理体系的建设和实施。质量保证组负责过程质量控制管理体系的试运行和内部审核。质量保证组和PTO专员负责监督过程质量控制管理体系的落实情况并提出整改意见。质量保证组由项目总监任命并对项目总监负责。
5.2变更控制管理
对处于项目质量和控制管理下的变更进行控制,确保相关工作产品和项目活动状态与其保持一致,使其合理、可控制、可追溯。
变更申请一般包括以下几个步骤:
1)提交变更申请
2)审核变更申请
3)识别变更可行性
4)批准变更申请
5)实施变更申请
变更控制管理相关人员包括变更申请人、变更经理、变更可行性研究小组、变更审批小组、变更小组。其中除申请人外均由项目总监任命质量保证组和PTO专员负责。
项目总监设立PTO专员和项目质量保证组,对整个项目进行跟踪和监控。由PTO专员负责制定项目变更控制程序,对项目变更的提出、变更的审核与批准、变更的实施等各个变更控制环节的流程和内容进行规范和指导。从而保证有效地控制和管理项目变更。
5.3项目风险管理
5.3.1项目进度风险的管理
采用科学的方法确定进度目标,编制进度计划与资源供应计划,进行进度控制,在与质量、费用、安全目标协调的基础上,实现工期目标。编制进度计划前进行详细的项目结构分析,系统地剖析整个项目结构构成,包括实施过程和细节,系统规则地分解项目。做到明确单元之间的逻辑关系与工作关系,作到每个单元具体地落实到责任者,并能进行各部门、各专业的协调。
5.3.2项目协作与沟通风险的管理
项目组内部、咨询小组与被咨询单位之间的适时、充分的沟通是达成项目目标、保证项目成功的重要因素。项目总监负责建立项目沟通机制,保持畅通的项目沟通渠道。
5.3.3调研工作引入风险的管理
调研工作的开展应该以不对被测系统造成不良影响为前提。在调研工作中要遵循以下要求:*X加强对本公司调研人员安全意识教育,提高调研实施人员主动规避风险的能力;调研开始前调研人员需要被测单位确认调研对象中的关键数据已经备份。如没有备份则不进行核查;调研工作开始前对调研可能对被测系统造成的影响进行评估,如有潜在风险则不允许在被测生产系统上核查,可协调被测单位搭建测试环境进行核查;对于调研过程中可能对被测系统产生较大压力的调研动作要求必须避开业务高峰期进行;严格执行保密协议和文档交接送还制度,保证被测单位重要信息不外泄,调研过程由被测单位相关技术人员陪同,严格遵守被测单位工作纪律和操作规程。
5.4保密控制管理
5.4.1人员保密管理
调研活动开始前调研人员需要与被测单位签订保密协议。调研过程中严格执行保密协议规定保证被测单位信息不被披露或使用,包括意外或过失。对违反保密协议的人员依法追究法律责任。
5.4.2设备保密管理
调研活动中调研人员严格禁止出现下列行为:
?将涉密信息设备接入互联网及其他公共信息网络;
?使用非涉密信息设备存储、处理国家秘密;
?在涉密计算机与非涉密计算机之间交叉使用存储介质;
?使用低密级信息设备存储、处理高密级信息;
?在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备;
?擅自卸载涉密计算机上的安全保密防护软件或设备;
5.4.3文档保密管理
所有重要文档集中管理,维护档案的安全与完整。
各项目小组人员在工作中形成的具有参考价值的文件、材料由个人或项目负责人整理后报文档管理人员存档。
档案工作人员必须严格遵守保密制度的规定,确保档案安全。借阅、查阅涉密文档,应严格履行领导审批、本人登记手续。利用涉密文档者负有保密的责任,不得将文档带走或转借他人,禁止携带文档外出。文档档案一般不得复印、摘抄,如确属正常工作需要,需经有关领导批准。密文档收回后要及时入柜加锁,不得在外存放。文档工作人员发现失、泄密事件要及时报告并采取补救措施,避免或减轻损害后果。
篇2:网络和信息安全事件应急处置和报告制度范本
为了保证本公司网络畅通,安全运行,保证网络信息安全,特制定网络和信息安全事件应急处置和报告制度。
一、在公司领导下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
二、信息网络安全事件定义
1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
2、公司网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。
3、公司内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
三、设置网上应急小组,组长由公司有关领导担任,成员由技术部门人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。设置网络运行维护小组,成员由信息中心网络技术部人员组成,确保网络畅通与信息安全。
四、加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。信息发布服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、信息中心对公司网实施24小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
六、加强突发事件的快速反应。运行维护小组具体负责相应的网络安全和信息安全工作,对突发的信息网络安全事件应做到:
(1)及时发现、及时报告,在发现后及时向应急小组及上一级领导报告。
(2)保护现场,立即与网络隔离,防止影响扩大。
(3)及时取证,分析、查找原因。
(4)消除有害信息,防止进一步传播,将事件的影响降到最低。
(5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
七、做好准备,加强防范。应急小组各部门成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。
八、加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化网络环境,严禁用于上网浏览与工作无关的网站。
九、做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
十、网络安全事件报告与处置。
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。
收货部制度
篇3:重大信息安全事件应急处置报告制度
为预防和及时处置信息安全事件,保证网络信息安全,维护社会稳定,特制订网络信息安全事件应急处置预案
一、在公司领导的统一管理下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,保障用户利益,维护社会和公司稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
二、网络部对互联网实施24小时值班责任制,必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。若发现有上本网站人员异常行为应立即冻结该用户的权限,及时记录在案,情节严重时立即上报有关部门。
网络信息安全事件定义
1、网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表以下内容信息的:
1)煽动抗拒、破坏宪法和法律、行政法规实施的;
2)煽动颠覆国家政权、推翻社会主义制度的;
3)煽动分裂国家、破坏国家统一的;
4)煽动民族仇恨、民族歧视,破坏民族团结的;
5)捏造或者歪曲事实,散布谣言,扰乱社会次序的;
6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶残、恐怖、教唆犯罪的;
7)公然侮辱他人或者捏造事实诽谤他人的;
8)损害网站形象和网站利益的;
9)其他违反宪法和法律、行政法规的。
2、网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
3、在网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经造成严重后果。
三、突发事件的快速应对措施。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到:
(1)及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。
(2)保护现场,立即与网络隔离,防止影响扩大。
(3)及时取证,分析、查找原因。
(4)消除有害信息,防止进一步传播,将事件的影响降到最低。
(5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
(6)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
四、若发现网页被恶意更改,应立即停止网页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放网页服务。各级各类服务器提供信息服务,必须事先登记、审批,建立使用规范,落实责任人,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等),加强网络设备日志分析,及时收集信息,排查不安定因素。加强BBS、留言板等交互式栏日的专人管理,交互式栏目内容发布实行审核制度,杜绝其蔓延。建立有效的网络防病毒工作机制,及时做好防病毒软件的升级,保证病毒库的及时更新。
五、及时整顿,加强防范。各部门要积极配合上级网络安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现公司信息安全管理,创造良好的网络环境。
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理信息安全事件。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。