【導讀】未定義書簽。未定義書簽。未定義書簽。(安全技術(shù)測

　　

【正文】 項目質(zhì)量控制 項目 技術(shù)人員 負責按照項目技術(shù)方案和項目計劃實施測評工作，需要提交： ? 每天工作日報 ? 單項測評結(jié)果記錄 ? 單項安全整改建議 第 20 頁 共 24 頁 . 工作配合 為保證本項目的順利實施，對現(xiàn)場測評階段的各項工作點提出雙方工作配合： 序號 工作點 甲方配合 乙方配合 1 現(xiàn)場工具 測評 人員要求 系統(tǒng)管理員 * 前期提供系 統(tǒng)軟硬件配置，相關(guān)系統(tǒng)檢收文檔。 * 現(xiàn)場登錄設備運行檢查腳本工具 *登錄設備查看安全配置 環(huán)境要求 * 提供可以訪問網(wǎng)絡設備及測評系統(tǒng)的 2個 IP地址 * 關(guān)閉測評 IP與系統(tǒng)之間的防火墻。 準備測評工具及接入方案 測評技術(shù)人員 2 現(xiàn)場配置 檢查 人員要求 網(wǎng)絡管理員 * 前期提供網(wǎng)絡拓樸圖。 * 登錄網(wǎng)絡設備，配合測評人員檢查設備配置。 系統(tǒng)管理員 * 登錄網(wǎng)絡設備，配合測評人員檢查設備配置。 環(huán)境要求 可登錄系統(tǒng)及網(wǎng)絡設備 準備配合檢查方案 測評 技術(shù)人員 3 人員訪談 訪談對象要求 信息部管理人員 * 配合調(diào)查表的訪談 系統(tǒng)開發(fā) amp。管理人員 * 配合測評回答應用系統(tǒng)操作相關(guān)問題 網(wǎng)絡管理人員 * 配合測評回答網(wǎng)絡架構(gòu)，及設備配置操作的相關(guān)問題 環(huán)境要求 提供會議室 準備訪談安排及訪談大綱 測評技術(shù)人員 第 21 頁 共 24 頁 4 文檔審查 人員要求 信息部管理人員 * 提供等保相關(guān)的管理制度 系統(tǒng)開發(fā) amp。管理人員 * 提供相應系統(tǒng)建設方案及驗收文檔 網(wǎng)絡管理人員 * 提供網(wǎng)絡系統(tǒng)建設方案及驗收文檔 *IP規(guī) 劃文檔等 環(huán)境要求 提供辦公場所 準備測評表 二位測評技術(shù)人員 5 實地查看 人員要求 機房管理員 * 配合測評人員檢查機房物理環(huán)境。 環(huán)境要求 * 可訪問機房、辦公等物理區(qū)域 準備測評表 測評技術(shù)人員 5. 其他 相關(guān)事項 . 風險規(guī)避 在 測評 過程中， 可能 會對 被測系統(tǒng) 造成影響，相應地會造成各種損失。這些影響包括信息泄漏、業(yè)務停頓或處理能力受損等。因此，必須充分考慮各種可能的影響及其危害并準備好相應的應對措施，盡可能減小對目標系統(tǒng)正常運行的干擾，從而減小損失。 下表 給出了 測評 過程中可能 存在 的風險與控制 措施 。 內(nèi)容 可能 存在 的 風險 等級 控制措施 信息 資產(chǎn) 調(diào)研 資產(chǎn)信息泄漏 高 協(xié)議、規(guī)章、制度、法律、法規(guī) 第 22 頁 共 24 頁 安全管理 測評 安全管理信息泄漏 高 合同、協(xié)議、規(guī)章、制度、法律、法規(guī) 網(wǎng)絡 設備測評 /安全設備測評 誤操作引起設備崩潰或數(shù)據(jù)丟失、損壞 高 規(guī)范審計流程； 嚴格選擇 測評師 ； 甲方 進行全程監(jiān)控； 制定可能的恢復計劃 網(wǎng)絡 /安全設備資源占用 低 避開業(yè)務高峰； 控制掃描策略（線程數(shù)量、強度） 漏洞 掃描 網(wǎng)絡流量 低 避開業(yè)務高峰； 控制掃描策略（線 程數(shù)量、強度） 主機資源占用 低 避開業(yè)務高峰； 控制掃描策略（線程數(shù)量、強度） 控制臺審計 誤操作引起系統(tǒng)崩潰或數(shù)據(jù)丟失、損壞 高 規(guī)范審計流程； 嚴格選擇 測評師 ； 甲方 進行全程監(jiān)控； 制定可能的恢復計劃； 網(wǎng)絡流量和主機資源占用 低 避開業(yè)務高峰 第 23 頁 共 24 頁 應用 測評 產(chǎn)生非法數(shù)據(jù)，致使系統(tǒng)不能正常工作 中 做好系統(tǒng)備份和恢復措施 異常輸入（畸形數(shù)據(jù)、極限測試）導致系統(tǒng)崩潰 高 做好系統(tǒng)備份和恢復措施 . 項目信息管理 為了保障 XXXXXXXXXXXXXXXXXXX信息 系統(tǒng)的 安全， XXXXXXXXXXXXXXXXXXX信息安全有限公司 將嚴格遵守 XXXXXXXXXXXXXXXXXXX關(guān)于保密方面的規(guī)定，自覺保守 XXXXXXXXXXXXXXXXXXX商業(yè)秘密。 XXXXXXXXXXXXXXXXXXX為方便項目實施所提供給投標人的工作流程、管理模式、規(guī)程、程序等相關(guān)資料文檔以及實施過程中所產(chǎn)生的資料、文檔、數(shù)據(jù)均屬于 XXXXXXXXXXXXXXXXXXX知識產(chǎn)權(quán)，未經(jīng)XXXXXXXXXXXXXXXXXXX授權(quán)同意， XXXXXXXXXXXXXXXXXXX信息安全有限公司 不 得另作他用， XXXXXXXXXXXXXXXXXXX信息安全有限公司 采用管理和技術(shù)措施保證信息的機密性。如因 XXXXXXXXXXXXXXXXXXX信息安全有限公司 員工的原因?qū)е律鲜鲑Y料、文檔、數(shù)據(jù)或 XXXXXXXXXXXXXXXXXXX商業(yè)秘密泄露的，XXXXXXXXXXXXXXXXXXX有權(quán)要求 XXXXXXXXXXXXXXXXXXX信息安全有限公司 采取措施消除影響，賠償損失。 加強安全保密工作具體的控制措施如下： . 保密責任法律保證 XXXXXXXXXXXXXXXXXXX信息安全有限公司 和 XXXXXXXXXXXXXXXXXXX簽訂《保密責任協(xié)議》，對 項目實施保密相關(guān)事宜予以法律保證。同時，XXXXXXXXXXXXXXXXXXX信息安全有限公司 保證所有參與項目的技術(shù)人員均具備等級 測評技術(shù)資質(zhì) ，且均與 XXXXXXXXXXXXXXXXXXX信息安全有限公司 已簽訂《保密責任書》。 . 現(xiàn)場安全保密管理 第 24 頁 共 24 頁 測評過程中，如 確 有安全保密需要，項目中 XXXXXXXXXXXXXXXXXXX信息安全有限公司 人員使用的筆記本可由 XXXXXXXXXXXXXXXXXXX提供，并且僅限于在XXXXXXXXXXXXXXXXXXX的工作環(huán)境內(nèi)使用和保管，未經(jīng) XXXXXXXXXXXXXXXXXXX允許嚴禁私自帶出。在 XXXXXXXXXXXXXXXXXXX辦公環(huán)境中，除XXXXXXXXXXXXXXXXXXX提供或允許的 U盤外，嚴禁出現(xiàn)其他存儲介質(zhì)。 . 文檔 安全 保密 管理 對需要 XXXXXXXXXXXXXXXXXXX提供的文檔資料， XXXXXXXXXXXXXXXXXXX信息安全有限公司 提交《文檔調(diào)用單》給 XXXXXXXXXXXXXXXXXXX，《文檔調(diào)用單》上的“借出部分”須明確文檔類別、文檔內(nèi)容、文檔申請人員、文檔使用人員、調(diào)用時間。文檔資料未經(jīng) XXXXXXXXXXXXXXXXXXX允許嚴禁帶出現(xiàn)場 ，統(tǒng)一保管在XXXXXXXXXXXXXXXXXXX指定的文件柜里，使用完后 XXXXXXXXXXXXXXXXXXX信息安全有限公司 返還給 XXXXXXXXXXXXXXXXXXX，并填寫《文檔調(diào)用單》上“交回部分”的交回人員、交回時間。所有文檔資料僅限于在 XXXXXXXXXXXXXXXXXXX的工作環(huán)境內(nèi)使用。 對于電子文檔，所有傳遞須通過 XXXXXXXXXXXXXXXXXXX提供或允許的 U盤，保存在文檔申請人員、文檔使用人員的筆記本電腦上，筆記本電腦須設高安全級別口令或其他加密措施。 所有輸出文檔的非正式稿打印 件和相關(guān)材料，均須現(xiàn)場粉碎處理。 . 離場安全保密管理 現(xiàn)場測評離場時，如果筆記本電腦為 XXXXXXXXXXXXXXXXXXX提供，則筆記本電腦須交回 XXXXXXXXXXXXXXXXXXX。同時由 XXXXXXXXXXXXXXXXXXX有關(guān)人員檢查所有的存儲介質(zhì)是否存儲非測評需要的電子文檔。 . 其他情況說明 遇到未列明的涉及保密方面的其他情況，雙方就個案單獨洽談，由雙方項目負責人簽字確認。