【正文】 序號 類別 測評要求 結(jié)果記錄 符合情況 5 外部人員訪問管理（ G3） a) 應(yīng)確保在外部人員訪問受控區(qū)域 前先提出書面申請 ，批準后由專人全程陪同或監(jiān)督，并登記備案； b) 對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定，并按照規(guī)定執(zhí)行。 4 安全意識教育和培訓(xùn)（ G2） a) 應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和 相關(guān)安全技術(shù)培訓(xùn)； b) 應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒； c) 應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)。 3 產(chǎn)品采購和使用（ G3） a) 應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定； b) 應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求； c) 應(yīng)指定或授權(quán)專門的部門負責(zé)產(chǎn)品的采購； d) 應(yīng)預(yù)先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。 7 測試驗收（ G3） a) 應(yīng)委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告； b) 在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細記錄測試驗收結(jié)果，并形成測試驗收報告； 27 序號 類別 測評要求 結(jié)果記錄 符合情況 c) 應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定； d) 應(yīng)指定或授權(quán)專門的部門負責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作； e) 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認。 11 安全服務(wù)商選擇（ G3） a) 應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定； b) 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任； c) 應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。 4 自行軟件開發(fā)（ G2） a) 應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開； b) 應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則； c) 應(yīng)確保提供軟件設(shè)計的相關(guān)文檔 和使用指南， 并由專人負責(zé)保管。 8 系統(tǒng)交付（ G2） a) 應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點； b) 應(yīng)對負責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)； c) 應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔。 3 介質(zhì)管理（ G3） a) 應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定； 32 序號 類別 測評要求 結(jié)果記錄 符合情況 b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，并實行存儲環(huán)境專人管理； c) 應(yīng) 對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制 ，對介質(zhì)歸檔和查詢等進行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點； d) 應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理， 對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理， 對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)， 對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀； e) 應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同； f) 應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲 ，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。 7 系統(tǒng)安全管理（ G3） a) 應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定； b) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略； c) 應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補； d) 應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝； e) 應(yīng)指定專人對系統(tǒng)進行管理，劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責(zé)任和風(fēng)險，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則； f) 應(yīng)依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作； g) 應(yīng)定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。 11 備份與恢復(fù)管理（ G3） a) 應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進行規(guī)范； b) 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等； 36 序號 類別 測評要求 結(jié)果記錄 符合情況 c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制訂數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ǎ? d) 應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進行記錄，所有文件和記錄應(yīng)妥善保存； e) 應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時間內(nèi)完成備份的恢復(fù)。 2 資產(chǎn)管理（ G2） a) 應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容； b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為。 6 系統(tǒng)安全管理（ G2） a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略； b) 應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補； c) 應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前， 應(yīng)首先在測試環(huán)境中測試通過， 并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝； d) 應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定； e) 應(yīng)依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作； f) 應(yīng)定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。 10 備份與恢復(fù)管理（ G2） a) 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等； b) 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等； c) 應(yīng)根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法。 3 項目進度 進度計劃和輸出 階段 工作內(nèi)容 時間計劃 階段輸出 系統(tǒng)調(diào)查 準備調(diào)查表 1 人 /天 2 天 等級保護測評資產(chǎn)調(diào)查表 收集調(diào)查結(jié)果 1 人 /天 調(diào)查材料分析整理 項目準備 起草項目計劃 2 人 /天 2 天 安全等級保護項目計劃書 評審論證 項目計劃分解 評審論證 42 階段 工作內(nèi)容 時間計劃 階段輸出 測評準備 準備實施手冊 5 人 /天 5 天 測評指導(dǎo)書 信息系統(tǒng)安全等保保護測評方案 系統(tǒng)定級報告 準備測評記錄表 制定測評方案 系統(tǒng)定級報告撰寫 現(xiàn)場測評 準備委托書等現(xiàn)場文檔 1 人 /天 8 天 現(xiàn)場測評授權(quán)委托書、現(xiàn)場測評記錄、測試計劃、測試報告 現(xiàn)場測評 7 人 /天 記錄測評結(jié)果 報告起草 材料核查整理 3 人 /天 10 天 三系統(tǒng)的信息系統(tǒng)安全等級保護測評報告 撰寫測評報告 7 人 /天 完成備案 將備案所需資料提交公安 1 人 /天 1 天 三系統(tǒng)的信息系統(tǒng)安全等級保護測評年度備案證明 信息安全培訓(xùn) 準備培訓(xùn)資料，進行信息安全專題培訓(xùn) 根據(jù)業(yè)主時間安排在項目完成后進行 1 天 培訓(xùn)記錄 4 項目管理方案 項目風(fēng)險控制 風(fēng)險是一種不確定的事件或條件，一旦發(fā)生，會對至少一個項目目標造成影響，如范圍、進度、成本和質(zhì)量。項目組將通過評審的方式和變更控制的方式確保項目質(zhì)量。變更發(fā)生時，應(yīng)立即通報項目負責(zé)人和委托方并提交項目變更報告，項目組同時采取糾正措施。 44 項目協(xié)作與溝通風(fēng)險控制 為避免項目實施過程中，項目組內(nèi)部人員以及項目組與委托方關(guān)聯(lián)部門人員由于交流和溝通存在問題，造成人員關(guān)系沖突、工作目標偏差、并最終影響項目的有效實施，我公司 將在項目期間加強溝通管理。 3) 采用多種溝通方式，如建立項目組成員及協(xié)調(diào)聯(lián)系人通訊表，積極保持與委托方的關(guān)系。 1) 人員保密管理 ? 項目組全體人員應(yīng)遵守國家有關(guān)法律、法規(guī)以及上級單位和我公司的各項安全保密制度與規(guī)定； ? 全體人員在項目實施過程中，加強保密意識，明確保密責(zé)任，嚴格落實各項安全保密措施； ? 保密監(jiān)督管理崗位責(zé)任人負責(zé)整個項目期間的保密和安全管理工作，監(jiān)督管控措施的落實，消除可能的安全隱患，保證項目的順利完成。 ? 對文件資料設(shè)專柜統(tǒng)一編號，并設(shè)專人保管；嚴格辦理文件資料和信息的借閱手續(xù)，閱覽后及時歸還； ? 保密文件資料和信息應(yīng)在委托方的監(jiān)督下閱覽，閱覽后及時歸還；文件資料和信息的復(fù)印、打印，需。項目參與人員上崗工作前辦理設(shè)備領(lǐng)用，工作結(jié)束后及時辦理歸還手續(xù)； ? 測評設(shè)備和工具必須進行標識，非項目人員不得在項目期間使用帶有標識的設(shè)備和工具； ? 項目組成員所用設(shè)備和工具必須設(shè)置強密碼，保密管理崗位責(zé)任人每周做定期驗證； ? 臨時存儲設(shè)備（ U 盤）由負責(zé)人專門保管，項目期間不得外借，每次數(shù)據(jù)拷貝后，必須做好格式化。 項目信息保密風(fēng)險控制 本項目實施過程中會涉及委托方網(wǎng)絡(luò)拓撲結(jié)構(gòu)、整體安全策略、安全設(shè)備部署和配置以及可能存在的安全缺陷等敏感信息，如果人員保密意識不強，保密措施不到位等，可能會導(dǎo)致委托方的敏感信息被無意擴散或有意泄露，將對委托方帶來不良影響，甚至造成嚴重損失。 會議記錄內(nèi)容至少包括： 項目階段； 會議議題； 會議地點； 會議時間； 參與人員； 會議內(nèi)容； 會議決議 /結(jié)論； 抄送范圍。 項目進度風(fēng)險控制 為避免項目實施過程中，由于資源安排等問題，項目進展情況落后于進度計劃，難以保證項目按期完成，項目組將對項目過程實施進度控制。 具體內(nèi)容參見“項目質(zhì)量控制”章節(jié)。 本項目實施過程中重點控制以下五類風(fēng)險： ? 項目質(zhì)量管理風(fēng)險 ? 項目進度管理風(fēng)險 ? 項目協(xié)作與溝通風(fēng)險 43 ? 項目信息保密風(fēng)險 ? 測評活動自身引入的風(fēng)險 項目質(zhì)量風(fēng)險控制 為避免項目實施過程中，由于項目涉及人員比較多，因人員的工作態(tài)度、技術(shù)能力水平等原因可能導(dǎo)致工作產(chǎn)品存在缺陷，不能滿足委托方的需求。 12 應(yīng)急預(yù)案管理（ G2） a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容； 41 序號 類別 測評要求 結(jié)果記錄 符合情況 b) 應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。 40 序號 類別 測評要求 結(jié)果記錄 符合情況 8 密碼管理（ G2） 應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 4 設(shè)備管理（ G2） a) 應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（ 包括備份和冗余設(shè)備 ）、線路等指定專門的部門或人員定期進行維護管理； b) 應(yīng)建立基于申報、審批和專人負責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理； c) 應(yīng)對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動 /停止、加電 /斷電等操作； d) 應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。 37 序號 類別 測評要求 結(jié)果記錄 符合情況 13 應(yīng)急預(yù)案管理（ G3） a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制訂不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容； b) 應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障