信息安全技術咨詢服務項目完成報告
信息安全技術咨詢服務項目完成報告
項目名稱:
項目編號:
技術咨詢服務對象:
項目負責人:
項目組成員:
項目開始時間:
項目結束時間:
項目交付成果:
甲方:乙方:
代表簽字:代表簽字:*年*月*日*年*月*日
目錄
1項目目的項目目的
2項目依據項目依據
3項目實施方案項目實施方案.2
3.1技術咨詢準備階段2
3.1.1確定技術咨詢范圍2
3.1.2制定項目計劃書3
3.2信息系統現狀分析階段3
3.2.1現場調研準備活動3
3.2.2現場調研和結果記錄3
3.2.3結果確認和資料歸還3
3.3技術咨詢報告編制階段4
4項目組織方案項目組織方案.4
4.1項目組織結構4
4.2項目人員構成和職責4
4.3項目實施計劃6
5項目質量管理和控制項目質量管理和控制8
5.1過程質量控制管理8
5.2變更控制管理8
5.3項目風險管理9
5.3.1項目進度風險的管理9
5.3.2項目協作與溝通風險的管理9
5.3.3調研工作引入風險的管理9
5.4保密控制管理9
5.4.1人員保密管理9
5.4.2設備保密管理10
5.4.3文檔保密管理10
1項目目的
*X受*X的委托進行信息系統的現狀分析工作,主要分析信息系統的安全防護能力,確保系統與網絡的安全性和可靠性,以提供安全和可靠的服務。
通過對信息安全進行現狀分析,判斷業務系統的防護能力是否滿足與安全保護等級相對應的安全保護要求,分析總結系統現有安全防護措施存在的優勢和不足,并給出整改計劃,從而促進系統安全防護工作的完善和提高,完善安全防護體系建設,保證信息系統的安全和有效運行。
2項目依據
《山東省信息安全等級保護測評工作規范(試行)》省公安廳
《關于信息安全等級保護工作的實施意見》(公通字[20**]66號)
《信息安全等級保護管理辦法》(公通字[20**]43號)
《信息安全技術信息系統安全等級保護基本要求》(GB/T22239-20**)
《信息安全技術信息系統安全等級保護定級指南》(GB/T22240-20**)
《信息安全技術信息系統安全等級保護實施指南》
《信息安全技術信息系統安全等級保護測評要求》
《信息安全技術信息系統安全等級保護測評過程指南》
《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20**]27號)
《計算機信息系統安全保護等級劃分準則》(GB/T17859-1999)
《信息安全技術信息系統通用安全技術要求》(GB/T20271-20**)
《信息安全技術網絡基礎安全技術要求》(GB/T20270-20**)
《信息安全技術操作系統安全技術要求》(GB/T20272-20**)
《信息安全技術數據庫管理系統安全技術要求》(GB/T20273-20**)
《信息安全技術終端計算機系統安全等級技術要求》(GB/T671-20**)
《信息安全技術信息系統安全管理要求》(GB/T20269-20**)
《信息安全技術信息系統安全工程管理要求》(GB/T20282-20**)
《信息安全技術信息安全風險評估規范》(GB/T20984-20**)
3項目實施方案
3.1技術咨詢準備階段
3.1.1確定技術咨詢范圍
為積極響應國家政策要求,創建安全健康的網絡環境,建立安全管理體系,完備安全技術措施,全面提高信息安全防護能力,本公司提供信息安全技術咨詢服務,包括:信息安全等級保護服務咨詢、信息安全風險評估服務咨詢、信息安全管理體系建設咨詢、信息安全技術體系建設咨詢。
技術咨詢服務范圍如下表所示:
表3-1技術咨詢服務范圍
咨詢范圍咨詢范圍具體內容具體內容
信息安全等級保護
信息系統定級
信息系統備案
信息系統安全現狀分析
信息系統建設整改
信息系統等級咨詢
等級咨詢報告編制
信息安全風險評估
風險評估準備
資產識別
威脅識別
脆弱性識別
已有安全措施確認
信息安全管理體系建設
安全管理制度
安全管理機構
人員安全管理
系統建設管理
系統運維管理
信息安全技術措施建設
物理安全
網絡安全
主機安全
應用安全
數據安全
3.1.2制定項目計劃書
在項目計劃書中明確項目實施流程、項目實施人員和項目實施時間。
3.2信息系統現狀分析階段
3.2.1現場調研準備活動
現場調研準備活動的目標是最終審定項目實施方案、協調各種資源,正式啟動現場調研工作。主要工作包括:簽署現場調研授權書;召開首次會議,確定實施方案;協調各種資源,包括配合人員和需要提供的材料等。
本活動中涉及的輸出主要是更新后的實施方案及項目實施計劃書、現場調研授權書和配合人員列表。
3.2.2現場調研和結果記錄
現場調研活動的目標是調研人員嚴格按照調研指導書,對信息系統的調研對象進行現場調研、記錄結果,并保證記錄結果的真實、準確、及時和規范性。主要工作包括:進程確認、實施現場調研、記錄調研證據、離場確認。
本活動中涉及的輸出主要是現場調研獲取的各種證據。
3.2.3結果確認和資料歸還
本任務的目標是對調研證據進行匯總,查漏補缺,并對發現的問題進行現場確認,歸還所有的資料文檔,現場調研工作結束。主要工作包括:現場調研記錄匯總,查漏補缺,歸還所有的資料文檔。
本活動中涉及的輸出主要是匯總的現場調研證據源記錄、文檔交接單。
3.3技術咨詢報告編制階段
在報告編制活動中,調研人員通過分析現場調研獲得的證據和資料,判定信息系統是否達到相應安全等級的安全要求,然后進行整體分析和風險分析,并提出信息系統整體改進方案。
4項目組織方案
4.1項目組織結構
在本次項目中,*X
成立技術咨詢項目組,下設項目總監、PTO專員、管理調研組、技術調研組和質量保證組。項目組織結構如下圖所示:
圖4-1項目組織結構圖
4.2項目人員構成和職責
在項目啟動任務中,*X
成立技術咨詢項目組,負責該項目的規劃與實施,下
表為項目組成員列表:
表4-2項目組成員列表
擔任職務擔任職務序號序號姓名姓名從業資格從業資格從業年限從業年限相關經驗相關經驗
項目總監
1PTO專員
2管理調研組
組長
3管理調研組
成員
4技術調研組
組長5
6技術調研組
成員7質量保證組
8質量保證組
成員9
4.3項目實施計劃
表
4-3技術咨詢項目計劃表
工作階段工作階段工作小組工作小組工作內容工作內容工作日工作日
項目啟動
成立項目組及成員分工
編制項目計劃
項目準備階段咨詢小組
編制系統調研表
1相關資料收集
系統調研
系統資料整理和分析
系統調研階段咨詢小組
編制系統調研報告
3確定咨詢范圍
確定具體的咨詢對象
確定咨詢工作的方法
準備咨詢工具
編制咨詢方案
編制咨詢現場工作計劃
咨詢方案準備階段咨詢小組
咨詢方案和現場工作計劃確認
2管理訪談
管理咨詢組
管理文件查閱
技術訪談
人工配置核查
現場咨詢階段
技術咨詢組
工具測試4
工作階段工作階段工作小組工作小組工作內容工作內容工作日工作日
訪談結果整理和分析
查閱結果整理和分析
整體安全管理分析
不符合項整理
管理咨詢結論形成
管理咨詢組
改進建議分析
訪談結果分析
核查結果分析
滲透結果分析
不符合項整理
技術咨詢結論形成
技術咨詢組
防范手段分析
完成咨詢報告技術部分和管理部分
現狀分析階段
技術咨詢組
報告評審和修改
9技術咨詢報告編制咨詢小組編制技術咨詢服務報告
3項目材料和文檔移交
項目驗收咨詢小組
項目驗收總結2
合計24
5項目質量管理和控制
5.1過程質量控制管理
過程自檢始終穿插在過程質量控制管理體系中,它是保證過程質量的最重要方面。過程專檢是在項目的各個階段由項目質量組和PTO專員負責對本階段工作質量和進度進行檢查。過程總檢是在項目的各個階段由項目質量組和PTO專員負責對總體質量和進度進行檢查。通過三個檢查的共同作用來保證項目的質量和工作的進度。
質量保證組負責過程質量控制管理體系的建設和實施。質量保證組負責過程質量控制管理體系的試運行和內部審核。質量保證組和PTO專員負責監督過程質量控制管理體系的落實情況并提出整改意見。質量保證組由項目總監任命并對項目總監負責。
5.2變更控制管理
對處于項目質量和控制管理下的變更進行控制,確保相關工作產品和項目活動狀態與其保持一致,使其合理、可控制、可追溯。
變更申請一般包括以下幾個步驟:
1)提交變更申請
2)審核變更申請
3)識別變更可行性
4)批準變更申請
5)實施變更申請
變更控制管理相關人員包括變更申請人、變更經理、變更可行性研究小組、變更審批小組、變更小組。其中除申請人外均由項目總監任命質量保證組和PTO專員負責。
項目總監設立PTO專員和項目質量保證組,對整個項目進行跟蹤和監控。由PTO專員負責制定項目變更控制程序,對項目變更的提出、變更的審核與批準、變更的實施等各個變更控制環節的流程和內容進行規范和指導。從而保證有效地控制和管理項目變更。
5.3項目風險管理
5.3.1項目進度風險的管理
采用科學的方法確定進度目標,編制進度計劃與資源供應計劃,進行進度控制,在與質量、費用、安全目標協調的基礎上,實現工期目標。編制進度計劃前進行詳細的項目結構分析,系統地剖析整個項目結構構成,包括實施過程和細節,系統規則地分解項目。做到明確單元之間的邏輯關系與工作關系,作到每個單元具體地落實到責任者,并能進行各部門、各專業的協調。
5.3.2項目協作與溝通風險的管理
項目組內部、咨詢小組與被咨詢單位之間的適時、充分的溝通是達成項目目標、保證項目成功的重要因素。項目總監負責建立項目溝通機制,保持暢通的項目溝通渠道。
5.3.3調研工作引入風險的管理
調研工作的開展應該以不對被測系統造成不良影響為前提。在調研工作中要遵循以下要求:*X加強對本公司調研人員安全意識教育,提高調研實施人員主動規避風險的能力;調研開始前調研人員需要被測單位確認調研對象中的關鍵數據已經備份。如沒有備份則不進行核查;調研工作開始前對調研可能對被測系統造成的影響進行評估,如有潛在風險則不允許在被測生產系統上核查,可協調被測單位搭建測試環境進行核查;對于調研過程中可能對被測系統產生較大壓力的調研動作要求必須避開業務高峰期進行;嚴格執行保密協議和文檔交接送還制度,保證被測單位重要信息不外泄,調研過程由被測單位相關技術人員陪同,嚴格遵守被測單位工作紀律和操作規程。
5.4保密控制管理
5.4.1人員保密管理
調研活動開始前調研人員需要與被測單位簽訂保密協議。調研過程中嚴格執行保密協議規定保證被測單位信息不被披露或使用,包括意外或過失。對違反保密協議的人員依法追究法律責任。
5.4.2設備保密管理
調研活動中調研人員嚴格禁止出現下列行為:
?將涉密信息設備接入互聯網及其他公共信息網絡;
?使用非涉密信息設備存儲、處理國家秘密;
?在涉密計算機與非涉密計算機之間交叉使用存儲介質;
?使用低密級信息設備存儲、處理高密級信息;
?在涉密計算機與非涉密計算機之間共用打印機、掃描儀等信息設備;
?擅自卸載涉密計算機上的安全保密防護軟件或設備;
5.4.3文檔保密管理
所有重要文檔集中管理,維護檔案的安全與完整。
各項目小組人員在工作中形成的具有參考價值的文件、材料由個人或項目負責人整理后報文檔管理人員存檔。
檔案工作人員必須嚴格遵守保密制度的規定,確保檔案安全。借閱、查閱涉密文檔,應嚴格履行領導審批、本人登記手續。利用涉密文檔者負有保密的責任,不得將文檔帶走或轉借他人,禁止攜帶文檔外出。文檔檔案一般不得復印、摘抄,如確屬正常工作需要,需經有關領導批準。密文檔收回后要及時入柜加鎖,不得在外存放。文檔工作人員發現失、泄密事件要及時報告并采取補救措施,避免或減輕損害后果。
篇2:網絡和信息安全事件應急處置和報告制度范本
為了保證本公司網絡暢通,安全運行,保證網絡信息安全,特制定網絡和信息安全事件應急處置和報告制度。
一、在公司領導下,貫徹執行《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規;落實貫徹公安部門和省教育廳關網絡和信息安全管理的有關文件精神,堅持積極防御、綜合防范的方針,本著以防為主、注重應急工作原則,預防和控制風險,在發生信息安全事故或事件時最大程度地減少損失,盡快使網絡和系統恢復正常,做好網絡和信息安全保障工作。
二、信息網絡安全事件定義
1、網絡突然發生中斷,如停電、線路故障、網絡通信設備損壞等。
2、公司網站受到黑客攻擊,主頁被惡意篡改、交互式欄目里發表有煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實,故意散布謠言,擾亂秩序;破壞社會穩定的信息及損害國家、學校聲譽和穩定的謠言等。
3、公司內網絡服務器及其他服務器被非法入侵,服務器上的數據被非法拷貝、修改、刪除,發生泄密事件。
三、設置網上應急小組,組長由公司有關領導擔任,成員由技術部門人員組成。采取統一管理體制,明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法。設置網絡運行維護小組,成員由信息中心網絡技術部人員組成,確保網絡暢通與信息安全。
四、加強網絡信息審查工作,若發現主頁被惡意更改,應立即停止主頁服務并恢復正確內容,同時檢查分析被更改的原因,在被更改的原因找到并排除之前,不得重新開放主頁服務。信息發布服務,必須落實責任人,實行先審后發,并具備相應的安全防范措施(如:日志留存、安全認證、實時監控、防黑客、防病毒等)。建立有效的網絡防病毒工作機制,及時做好防病毒軟件的網上升級,保證病毒庫的及時更新。
五、信息中心對公司網實施24小時值班責任制,開通值班電話,保證與上級主管部門、電信部門和當地公安機關的熱線聯系。若發現異常應立即向應急小組及有關部門、上級領導報告。
六、加強突發事件的快速反應。運行維護小組具體負責相應的網絡安全和信息安全工作,對突發的信息網絡安全事件應做到:
(1)及時發現、及時報告,在發現后及時向應急小組及上一級領導報告。
(2)保護現場,立即與網絡隔離,防止影響擴大。
(3)及時取證,分析、查找原因。
(4)消除有害信息,防止進一步傳播,將事件的影響降到最低。
(5)在處置有害信息的過程中,任何單位和個人不得保留、貯存、散布、傳播所發現的有害信息。
七、做好準備,加強防范。應急小組各部門成員對相應工作要有應急準備。針對網絡存在的安全隱患和出現的問題,及時提出整治方案并具體落實到位,創造良好的網絡環境。
八、加強網絡用戶的法律意識和網絡安全意識教育,提高其安全意識和防范能力;凈化網絡環境,嚴禁用于上網瀏覽與工作無關的網站。
九、做好網絡機房及戶外網絡設備的防火、防盜竊、防雷擊、防鼠害等工作。若發生事故,應立即組織人員自救,并報警。
十、網絡安全事件報告與處置。
事件發生并得到確認后,有關人員應立即將情況報告有關領導,由領導指揮處理網絡安全事件。應及時向當地公安機關報案。阻斷網絡連接,進行現場保護,協助調查取證和系統恢復等工作,有關違法事件移交公安機關處理。
收貨部制度
篇3:重大信息安全事件應急處置報告制度
為預防和及時處置信息安全事件,保證網絡信息安全,維護社會穩定,特制訂網絡信息安全事件應急處置預案
一、在公司領導的統一管理下,貫徹執行《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規,堅持積極防御、綜合防范的方針,本著以防為主、注重應急工作原則,預防和控制風險,在發生信息安全事故或事件時最大程度地減少損失,保障用戶利益,維護社會和公司穩定,盡快使網絡和系統恢復正常,做好網絡運行和信息安全保障工作。
二、網絡部對互聯網實施24小時值班責任制,必要時實行遠程控制。網絡管理人員應定期對互聯網的硬件設備進行狀態檢查。若發現有上本網站人員異常行為應立即凍結該用戶的權限,及時記錄在案,情節嚴重時立即上報有關部門。
網絡信息安全事件定義
1、網站受到黑客攻擊,主頁被惡意篡改、交互式欄目里發表以下內容信息的:
1)煽動抗拒、破壞憲法和法律、行政法規實施的;
2)煽動顛覆國家政權、推翻社會主義制度的;
3)煽動分裂國家、破壞國家統一的;
4)煽動民族仇恨、民族歧視,破壞民族團結的;
5)捏造或者歪曲事實,散布謠言,擾亂社會次序的;
6)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殘、恐怖、教唆犯罪的;
7)公然侮辱他人或者捏造事實誹謗他人的;
8)損害網站形象和網站利益的;
9)其他違反憲法和法律、行政法規的。
2、網絡應用服務器被非法入侵,應用服務器上的數據被非法拷貝、修改、刪除,發生泄密事件。
3、在網站上發布的內容違反國家的法律法規、侵犯知識產權等,已經造成嚴重后果。
三、突發事件的快速應對措施。網絡管理員具體負責相應的網絡安全和信息安全工作,不允許有任何觸犯國家網絡管理條例的網絡信息,對突發的信息網絡安全事件應做到:
(1)及時發現、及時報告,在發現后在第一時間向上一級領導或部門報告。
(2)保護現場,立即與網絡隔離,防止影響擴大。
(3)及時取證,分析、查找原因。
(4)消除有害信息,防止進一步傳播,將事件的影響降到最低。
(5)在處置有害信息的過程中,任何單位和個人不得保留、貯存、散布、傳播所發現的有害信息。
(6)追究相關責任。根據實際情況提出口頭警告、書面警告、停止使用網絡,情節嚴重和后果影響較大者,提交公司及國家司法機關處理,追究部門負責人和直接責任人的行政或法律責任。
四、若發現網頁被惡意更改,應立即停止網頁服務并恢復正確內容,同時檢查分析被更改的原因,在被更改的原因找到并排除之前,不得重新開放網頁服務。各級各類服務器提供信息服務,必須事先登記、審批,建立使用規范,落實責任人,并具備相應的安全防范措施(如:日志留存、安全認證、實時監控、防黑客、防病毒等),加強網絡設備日志分析,及時收集信息,排查不安定因素。加強BBS、留言板等交互式欄日的專人管理,交互式欄目內容發布實行審核制度,杜絕其蔓延。建立有效的網絡防病毒工作機制,及時做好防病毒軟件的升級,保證病毒庫的及時更新。
五、及時整頓,加強防范。各部門要積極配合上級網絡安全管理部門的例行檢查,并接受其技術指導。針對網絡存在的安全隱患和出現的問題,及時提出整治方案并具體落實到位,完善網絡安全機制,防范網絡安全事件再度發生。逐步建立網絡信息安全管理長效工作機制,實現公司信息安全管理,創造良好的網絡環境。
事件發生并得到確認后,有關人員應立即將情況報告有關領導,由領導指揮處理信息安全事件。阻斷網絡連接,進行現場保護,協助調查取證和系統恢復等工作,有關違法事件移交公安機關處理。