【正文】 ? 對(duì)文件資料設(shè)專柜統(tǒng)一編號(hào)，并設(shè)專人保管；嚴(yán)格辦理文件資料和信息的借閱手續(xù)，閱覽后及時(shí)歸還； ? 保密文件資料和信息應(yīng)在委托方的監(jiān)督下閱覽，閱覽后及時(shí)歸還；文件資料和信息的復(fù)印、打印，需。項(xiàng)目參與人員上崗工作前辦理設(shè)備領(lǐng)用，工作結(jié)束后及時(shí)辦理歸還手續(xù)； ? 測(cè)評(píng)設(shè)備和工具必須進(jìn)行標(biāo)識(shí)，非項(xiàng)目人員不得在項(xiàng)目期間使用帶有標(biāo)識(shí)的設(shè)備和工具； ? 項(xiàng)目組成員所用設(shè)備和工具必須設(shè)置強(qiáng)密碼，保密管理崗位責(zé)任人每周做定期驗(yàn)證； ? 臨時(shí)存儲(chǔ)設(shè)備（ U 盤）由負(fù)責(zé)人專門保管，項(xiàng)目期間不得外借，每次數(shù)據(jù)拷貝后，必須做好格式化。 1) 人員保密管理 ? 項(xiàng)目組全體人員應(yīng)遵守國(guó)家有關(guān)法律、法規(guī)以及上級(jí)單位和我公司的各項(xiàng)安全保密制度與規(guī)定； ? 全體人員在項(xiàng)目實(shí)施過程中，加強(qiáng)保密意識(shí)，明確保密責(zé)任，嚴(yán)格落實(shí)各項(xiàng)安全保密措施； ? 保密監(jiān)督管理崗位責(zé)任人負(fù)責(zé)整個(gè)項(xiàng)目期間的保密和安全管理工作，監(jiān)督管控措施的落實(shí)，消除可能的安全隱患，保證項(xiàng)目的順利完成。 項(xiàng)目信息保密風(fēng)險(xiǎn)控制 本項(xiàng)目實(shí)施過程中會(huì)涉及委托方網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、整體安全策略、安全設(shè)備部署和配置以及可能存在的安全缺陷等敏感信息，如果人員保密意識(shí)不強(qiáng)，保密措施不到位等，可能會(huì)導(dǎo)致委托方的敏感信息被無意擴(kuò)散或有意泄露，將對(duì)委托方帶來不良影響，甚至造成嚴(yán)重?fù)p失。 3) 采用多種溝通方式，如建立項(xiàng)目組成員及協(xié)調(diào)聯(lián)系人通訊表，積極保持與委托方的關(guān)系。 會(huì)議記錄內(nèi)容至少包括： 項(xiàng)目階段； 會(huì)議議題； 會(huì)議地點(diǎn)； 會(huì)議時(shí)間； 參與人員； 會(huì)議內(nèi)容； 會(huì)議決議 /結(jié)論； 抄送范圍。 44 項(xiàng)目協(xié)作與溝通風(fēng)險(xiǎn)控制 為避免項(xiàng)目實(shí)施過程中，項(xiàng)目組內(nèi)部人員以及項(xiàng)目組與委托方關(guān)聯(lián)部門人員由于交流和溝通存在問題，造成人員關(guān)系沖突、工作目標(biāo)偏差、并最終影響項(xiàng)目的有效實(shí)施，我公司 將在項(xiàng)目期間加強(qiáng)溝通管理。 項(xiàng)目進(jìn)度風(fēng)險(xiǎn)控制 為避免項(xiàng)目實(shí)施過程中，由于資源安排等問題，項(xiàng)目進(jìn)展情況落后于進(jìn)度計(jì)劃，難以保證項(xiàng)目按期完成，項(xiàng)目組將對(duì)項(xiàng)目過程實(shí)施進(jìn)度控制。變更發(fā)生時(shí)，應(yīng)立即通報(bào)項(xiàng)目負(fù)責(zé)人和委托方并提交項(xiàng)目變更報(bào)告，項(xiàng)目組同時(shí)采取糾正措施。 具體內(nèi)容參見“項(xiàng)目質(zhì)量控制”章節(jié)。項(xiàng)目組將通過評(píng)審的方式和變更控制的方式確保項(xiàng)目質(zhì)量。 本項(xiàng)目實(shí)施過程中重點(diǎn)控制以下五類風(fēng)險(xiǎn)： ? 項(xiàng)目質(zhì)量管理風(fēng)險(xiǎn) ? 項(xiàng)目進(jìn)度管理風(fēng)險(xiǎn) ? 項(xiàng)目協(xié)作與溝通風(fēng)險(xiǎn) 43 ? 項(xiàng)目信息保密風(fēng)險(xiǎn) ? 測(cè)評(píng)活動(dòng)自身引入的風(fēng)險(xiǎn) 項(xiàng)目質(zhì)量風(fēng)險(xiǎn)控制 為避免項(xiàng)目實(shí)施過程中，由于項(xiàng)目涉及人員比較多，因人員的工作態(tài)度、技術(shù)能力水平等原因可能導(dǎo)致工作產(chǎn)品存在缺陷，不能滿足委托方的需求。 3 項(xiàng)目進(jìn)度 進(jìn)度計(jì)劃和輸出 階段 工作內(nèi)容 時(shí)間計(jì)劃 階段輸出 系統(tǒng)調(diào)查 準(zhǔn)備調(diào)查表 1 人 /天 2 天 等級(jí)保護(hù)測(cè)評(píng)資產(chǎn)調(diào)查表 收集調(diào)查結(jié)果 1 人 /天 調(diào)查材料分析整理 項(xiàng)目準(zhǔn)備 起草項(xiàng)目計(jì)劃 2 人 /天 2 天 安全等級(jí)保護(hù)項(xiàng)目計(jì)劃書 評(píng)審論證 項(xiàng)目計(jì)劃分解 評(píng)審論證 42 階段 工作內(nèi)容 時(shí)間計(jì)劃 階段輸出 測(cè)評(píng)準(zhǔn)備 準(zhǔn)備實(shí)施手冊(cè) 5 人 /天 5 天 測(cè)評(píng)指導(dǎo)書 信息系統(tǒng)安全等保保護(hù)測(cè)評(píng)方案 系統(tǒng)定級(jí)報(bào)告 準(zhǔn)備測(cè)評(píng)記錄表 制定測(cè)評(píng)方案 系統(tǒng)定級(jí)報(bào)告撰寫 現(xiàn)場(chǎng)測(cè)評(píng) 準(zhǔn)備委托書等現(xiàn)場(chǎng)文檔 1 人 /天 8 天 現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)委托書、現(xiàn)場(chǎng)測(cè)評(píng)記錄、測(cè)試計(jì)劃、測(cè)試報(bào)告 現(xiàn)場(chǎng)測(cè)評(píng) 7 人 /天 記錄測(cè)評(píng)結(jié)果 報(bào)告起草 材料核查整理 3 人 /天 10 天 三系統(tǒng)的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告 撰寫測(cè)評(píng)報(bào)告 7 人 /天 完成備案 將備案所需資料提交公安 1 人 /天 1 天 三系統(tǒng)的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)年度備案證明 信息安全培訓(xùn) 準(zhǔn)備培訓(xùn)資料，進(jìn)行信息安全專題培訓(xùn) 根據(jù)業(yè)主時(shí)間安排在項(xiàng)目完成后進(jìn)行 1 天 培訓(xùn)記錄 4 項(xiàng)目管理方案 項(xiàng)目風(fēng)險(xiǎn)控制 風(fēng)險(xiǎn)是一種不確定的事件或條件，一旦發(fā)生，會(huì)對(duì)至少一個(gè)項(xiàng)目目標(biāo)造成影響，如范圍、進(jìn)度、成本和質(zhì)量。 12 應(yīng)急預(yù)案管理（ G2） a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容； 41 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 b) 應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。 10 備份與恢復(fù)管理（ G2） a) 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等； b) 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等； c) 應(yīng)根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法。 40 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 8 密碼管理（ G2） 應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 6 系統(tǒng)安全管理（ G2） a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略； b) 應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)； c) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前， 應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過， 并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝； d) 應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定； e) 應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作； f) 應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。 4 設(shè)備管理（ G2） a) 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（ 包括備份和冗余設(shè)備 ）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理； b) 應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理； c) 應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng) /停止、加電 /斷電等操作； d) 應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。 2 資產(chǎn)管理（ G2） a) 應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容； b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為。 37 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 13 應(yīng)急預(yù)案管理（ G3） a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制訂不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容； b) 應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障； c) 應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次； d) 應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期； e) 應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照?qǐng)?zhí)行。 11 備份與恢復(fù)管理（ G3） a) 應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對(duì)備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范； b) 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等； 36 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制訂數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ? d) 應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對(duì)備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存； e) 應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性，確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。 9 密碼管理（ G3） 應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 7 系統(tǒng)安全管理（ G3） a) 應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定； b) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略； c) 應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)； d) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝； e) 應(yīng)指定專人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則； f) 應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作； g) 應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。 5 監(jiān)控管理和安全管理中心（ G3） a) 應(yīng)規(guī)定安全審計(jì)的內(nèi)容、安全審計(jì)的頻率、審計(jì)日志的保存時(shí)間等； b) 應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存； c) 應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施； d) 應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。 3 介質(zhì)管理（ G3） a) 應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定； 32 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，并實(shí)行存儲(chǔ)環(huán)境專人管理； c) 應(yīng) 對(duì)介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進(jìn)行控制 ，對(duì)介質(zhì)歸檔和查詢等進(jìn)行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)； d) 應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理， 對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理， 對(duì)送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)， 對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀； e) 應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同； f) 應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ) ，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。 配合需求 配合項(xiàng)目 需求說明 訪談 訪談安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人 查看材料 提供安全方案相關(guān)文本、開發(fā)相關(guān)制度、操作使用指南、驗(yàn)收?qǐng)?bào)告、服務(wù)商相關(guān)合同 31 系統(tǒng)運(yùn)維管理 測(cè)評(píng)方案和內(nèi)容 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 1 環(huán)境管理（ G3） a) 應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理； b) 應(yīng) 指定部門負(fù)責(zé)機(jī)房安全 ，并配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理； c) 應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定； d) 應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、 工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等 。 8 系統(tǒng)交付（ G2） a) 應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)； b) 應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)； c) 應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。 6 工程實(shí)施（ G2） a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理； b) 應(yīng)制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過程。 4 自行軟件開發(fā)（ G2） a) 應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開； b) 應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則； c)