信息安全等级保护项目计划书.doc

文档编号：zzzzzzxxxxxxxxxx信息系统等级保护测评项目项目计划书授 权 方：xxxxxxxxxx被授权方：rrrrrr编制日期：2016年2月29日 目 录1.概述11.1项目背景11.2项目目的11.3工作依据22.技术思路和工作内容32.1技术思路32.1.1测评指标32.1.2测评对象选择方法72.1.3测评方法82.2工作范围内容83.项目实施方案103.1项目实施过程103.2阶段工作产品114.项目组织方案134.1项目组织结构134.2人员构成和职责144.3项目实施计划145.项目质量管理和控制155.1过程质量控制管理165.1.1过程质量管理风险165.1.2过程质量风险控制175.2变更控制管理245.2.1变更管理存在的风险245.2.2变更管理控制方法245.3项目风险管理255.3.1项目进度风险的管理255.3.2项目协作与沟通风险的管理275.3.3测评工作引入风险的管理295.4保密控制管理315.4.1人员保密管理315.4.2设备保密管理325.4.3文档保密管理326.签字确认331. 概述1.1 项目背景根据中华人民共和国计算机信息系统安全保护条例、信息安全技术 信息系统安全等级保护测评要求、信息安全技术 信息系统安全等级保护基本要求、信息安全技术 信息安全等级保护管理规定等一系列国家及信息安全技术 针对信息系统等级保护颁布的政策法规及文件要求，定级为等级保护二级的信息系统应该每年至少进行一次等级测评。目前xxxxxxxxxx信息系统尚未进行过等级保护专业测评。为进一步加强xxxxxxxxxx信息系统等级保护工作，按照信息安全技术 信息安全等级保护管理规定相关规定，计划对xxxxxxxxxx重要的信息系统进行等级保护专业测评。依据信息安全等级保护管理办法（公通字200743号）的相关要求，也为了持续有效提高信息系统的安全防护能力，受xxxxxxxxxx委托我中心计划与2016年2月29日起对xxxxxxxxxx信息系统实施信息安全等级测评工作，以期通过此次测评发现系统现有安全防护措施的薄弱环节，为下一步的信息系统安全建设整改提供可靠依据，以有效提高xxxxxxxxxx信息系统的安全运行能力。1.2 项目目的通过对xxxxxxxxxx开展安全测评工作，可以全面、完整地了解当前xxxxxxxxxx的安全状况，分析系统所面临的各种风险。根据测评结果发现系统存在的安全问题，并对严重的问题提出相应的风险控制策略，并为下一步进行整个系统的信息系统安全建设做前期准备。对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。通过对xxxxxxxxxx实施等级测评可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，可以在技术和管理方面进行有针对性的加强和完善，使xxxxxxxxxx安全工作有的放矢。 xxxxxxxxxx可依据等级测评结果，并结合单位的实际情况，区分轻重缓急，制定针对性的安全整改建议，通过安全整改不断提高信息系统的整体安全保护水平。1.3 工作依据 计算机信息系统安全保护等级划分准则（GB17859-1999） 信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008） 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全等级保护测评要求（GB/T 28448-2012） 信息安全技术 信息系统安全等级保护测评过程指南（GB/T 28449-2012） 信息安全技术 信息系统安全等级保护实施指南（GB/T 25058-2010） 信息安全技术信息系统通用安全技术要求（GB/T20271-2006） 信息安全技术网络基础安全技术要求（GB/T20270-2006） 信息安全技术操作系统安全技术要求（GB/T20272-2006） 信息安全技术数据库管理系统安全技术要求（GB/T20273-2006） 信息安全技术服务器技术要求（GB/T21028-2007） 信息安全技术终端计算机系统安全等级技术要求（GA/T671-2006） 信息安全风险评估规范（GB/T20984-2007）2. 技术思路和工作内容2.1 技术思路2.1.1 测评指标测评指标暂定选取信息安全技术 信息系统安全等级保护基本要求中2级系统基本要求指标，包括信息安全技术 信息系统安全等级保护基本要求7.1节“技术要求”中的2级通用指标类(G2)，2级业务信息安全性指标类(S2)，和2级业务服务保证类(A2)，以及7.2节“管理要求”中的所有要求，安全控制指标如下表：安全分类安全子类测评项数备注物理安全物理位置的选择1测评物理机房所在的外部环境安全性。物理访问控制2测评进出机房的审批控制手段以及机房出入口的安全控制情况。防盗窃和防破坏5测评机房内设备和通信线缆的安全性以及监控报警系统建设情况。防雷击2测评建筑防雷和防感应雷的建设情况。防火1+测评自动监控防火系统设置情况以及机房材料防火情况。防水和防潮3测评机房内水管设置情况、防止结露所采取的措施以及监控报警系统建设情况。防静电1测评机房防静电所采取的措施。温湿度控制1+测评机房温湿度控制措施。电力供应2测评电力线路、备用电源以及发电机的配备情况。电磁防护1测评线缆电磁防护手段和设备电磁防护手段。网络安全结构安全4+主要核查：主要网络设备的处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略。访问控制4+主要核查：访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。安全审计2主要核查：网络设备日志收集、分析和统计以及保护等等。边界完整性检查1主要核查：是否能够对非授权设备私自联到内部网络的行为进行检查并准确定位和阻断；是否能够对内部网络用户私自联到外部网络的行为进行检查并准确定位和阻断。入侵防范1主要核查：部署IDS、IPS系统以及使用情况。网络设备防护6主要核查：用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远程管理和权限分离。主机安全身份鉴别5主要核查：用户身份鉴别方式、账号与用户对应关系和密码安全强度，包括账户和口令长度设置情况，口令更改周期等；登录失败处理功能设置情况。访问控制4主要核查：特权用户的权限分离情况；默认账户的访问权限；多余和过期的账户的处理情况；管理用户最小授权原则落实情况。安全审计4主要核查：安全审计的覆盖范围；记录内容完整性；审计记录的分析能力；审计记录的保护情况。入侵防范1+主要核查：重要服务器入侵行为的检测/报警情况；重要程序的完整性保护情况；主机资源的使用情况；操作系统组件安装和补丁升级情况。恶意代码防范2主要核查：系统补丁安装情况；防病毒和恶意代码产品的使用情况及升级情况；核查系统是否有木马程序。资源控制3主要核查：终端登录限制方式；重要服务器资源的监视情况；系统服务水平的核查和报警能力。应用安全身份鉴别4主要核查：用户身份鉴别方式、账号与用户对应关系和密码安全强度，包括账户和口令长度设置情况，口令更改周期等；登录失败处理功能设置情况。访问控制4主要核查：特权用户的权限分离情况；默认账户的访问权限；多余和过期的账户的处理情况；管理用户最小授权原则落实情况。安全审计3主要核查：安全审计的覆盖范围；记录内容完整性；审计记录的分析能力；审计记录的保护情况。通信完整性1+主要核查：密码在传输过程中所采用的技术是否能保证通信过程中数据的完整性。通信保密性2主要核查：通信过程中信息的传递是否加密。软件容错2主要核查：数据的校验功能以及恢复能力。资源控制3主要核查：终端登录限制方式；重要服务器资源的监视情况；系统服务水平的核查和报警能力。数据安全数据完整性1+主要核查：系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性和恢复措施。数据保密性1主要核查：系统管理数据、鉴别信息和重要业务数据的传输保密性和存储保密性。备份和恢复2主要核查：备份策略、介质存放和数据恢复等。安全管理制度管理制度3+主要核查：总体安全策略建设情况；各类安全管理制度建设情况以及各类系统操作规范建设情况。制定和发布3主要核查：安全管理制度制定的责任部门设立情况；安全管理制度的制定过程以及发布方式。评审和修订1主要核查：安全管理制度评审修订时机以及目前安全管理制度修订情况。安全管理机构岗位设置2主要核查：安全管理岗位设立及职责明确情况。人员配备2主要核查：安全管理岗位人员配备情况。授权和审批2主要核查：针对重大系统操作的授权和审批情况。沟通和合作2主要核查：与系统内部以及外部相关部门、单位的日常沟通机制。审核和检查1主要核查：系统安全检查工作规范化程度和落实情况。安全人员管理人员录用3+主要核查：人员录用过程规范化管理；对录用人员保密责任的约束方式以及对关键岗位职责约束的方式。人员离岗3主要核查：人员离岗过程控制；人员离岗的保密承诺控制。人员考核1主要核查：人员日常技能考核情况以及针对关键岗位的信用审查情况。安全意识教育和培训3+主要核查：安全培训计划的制定情况和实施情况。外部人员访问管理1+主要核查：对外部人员进入重要区域的审批、控制管理。系统建设管理系统定级3主要核查：信息系统是否明确其安全保护等级，系统定级的相关情况。安全方案设计4主要核查：系统的信息安全工作的总体规划设计情况。产品采购和使用3主要核查：系统中信息安全产品的采购和使用管理措施。自行软件开发3主要核查：系统内自行软件开发工作的管理和控制措施。外包软件开发4主要核查：外包开发的软件质量，保证外包软件安全可用。工程实施2主要核查：信息系统工程的实施情况。测试验收3主要核查：信息系统工程的验收情况。系统交付3主要核查：信息系统工程的交付情况。安全服务商选择3主要核查：对系统中相关的安全服务商选择以及服务管理措施。系统运维管理环境管理4主要核查：对机房基础设施日常管理情况以及办公环境的管理。资产管理4主要核查：对系统资产管理的制度建设情况以及标识管理。介质管理4主要核查：对各类介质的传输、使用、存储和销毁等环节的管理。设备管理4主要核查：对各类设备日常的使用、操作和维护维修的管理。网络安全管理6主要核查：安全管理制度建设情况以及违规联网检查情况。系统安全管理6主要核查：对系统的访问权限控制、补丁、日常漏洞扫描以及审计的管理。恶意代码防范管理3主要核查：对恶意代码的检测、分析等防范工作的管理。密码管理1主要核查：密码使用的制度化建设及落实情况。变更管理2主要核查：变更活动制度化建设情况以及变更前、变更中和变更后的规范化管理情况。备份与恢复管理3主要核查：系统数据的日常备份管理以及系统恢复管理。安全事件处置4主要核查：安全事件报告和处置的制度建设情况以及不同安全事件处理过程的规范化管理情况。应急预案管理2主要核查：应急预案制定情况、人力、设备、技术、财务和外部协作等方面的资源保障情况以及对应急预案的培训和日常演练情况。2.1.2 测评对象选择方法测评对象的确定采用抽查的方法，即：抽查信息系统中具有代表性的组件作为测评对象。并且，在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。第二级信息系统的等级测评，测评对象种类上基本覆盖，数量进行抽样，重点抽查主要的设备、设施、人员和文档等。抽查的测评对象种类主要考虑以下几个方面：1) 主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；2) 存储被测系统重要数据的介质的存放环境；3) 办公场地；4) 整个系统的网络拓扑结构；5) 安全设备，包括防火墙、入侵检测设备和防病毒网关等；6) 边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；7) 对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；8) 承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；9) 管理终端和主要业务应用系统终端；10) 业务备份系统；11) 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；12) 涉及到信息系统安全的所有管理制度和记录。在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份终端，每类应至少抽查一台作为测评对象。2.1.3 测评方法现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。访谈是指测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。文档审查是指检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备，是否有完整的制度执行情况记录以及文件的完整性和这些文件之间的内部一致性。实地察看是指根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。配置检查是根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等）。2.2 工作范围内容最终内容将通过现场需求调研、项目会议等方式与用户方最终确认，预计对xxxxxxxxxx进行信息安全现状与标准对照的符合性检查和检测。这些系统既相互独立，又存在着一定的业务关联。重点测试和评估的区域是位于中心机房的主要设备和其所支撑的网络和应用环境。等级测评具体测评对象测评对象内容预抽样数量物理安全测评对象xxxx研究院9楼机房、xxxx研究院B0201机房、xxxx研究院6楼机房网络安全测评对象被测评信息系统的网络拓扑结构安全设备，包括防火墙、入侵检测设备边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等对整个被测信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等。主机安全测评对象承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；管理终端和主要业务应用系统终端。应用安全测评对象能够完成被测系统不同业务使命的业务应用系统。管理安全测评对象信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；涉及到信息系统安全的所有管理制度和记录。3. 项目实施方案3.1 项目实施过程项目实施过程共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动，基本工作流程图如下：3.2 阶段工作产品1) 测评准备活动阶段任务输出文档文档内容项目启动项目计划书项目概述、工作依据、技术思路、工作内容和项目组织等信息收集和分析被测系统基本情况分析报告说明被测系统的范围、安全保护等级、业务情况、保护情况、被测系统的管理模式和相关部门及角色等工具和表单准备选用的测评工具清单；打印的各类表单：现场测评授权书、文档交接单现场测评授权、交接的文档名称2) 方案编制活动阶段任务输出文档文档内容测评对象确定测评方案的测评对象部分被测系统的整体结构、边界、网络区域、重要节点、测评对象等测评指标确定测评方案的测评指标部分被测系统定级结果、测评指标测评内容确定测评方案的单项测评实施和系统测评实施部分单项测评实施内容及系统测评实施内容测评实施手册开发测评方案的测评实施手册部分各测评对象的测评内容及方法测评方案编制测评方案文本项目概述、测评对象、测评指标、测试工具接入点、单项测评实施和系统测评实施内容、测评实施手册等3) 现场测评活动阶段任务输出文档文档内容现场测评准备会议记录、确认的授权委托书、更新后的测评计划和测评程序工作计划和内容安排，双方人员的协调，被测单位应提供的配合访谈技术安全和管理安全测评的测评结果记录或录音访谈结果文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的符合情况配置检查技术安全测评的网络、主机、应用测评结果记录表格检查内容的结果实地察看技术安全测评的物理安全和管理安全测评结果记录检查内容的结果测评结果确认现场核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件测评活动中发现的问题、问题的证据和证据源、每项检查活动中被测单位配合人员的书面认可4) 分析与报告编制活动阶段任务输出文档文档内容单项测评结果判定等级测评报告的单项测评结果部分分析被测系统的安全现状（各个层面的基本安全状况）与标准中相应等级的基本要求的符合情况，给出单项测评结果单项测评结果汇总分析等级测评报告的单项测评结果汇总分析部分汇总统计分析单项测评结果系统整体测评分析等级测评报告的系统整体测评分析部分分析系统整体安全状况及对单项测评结果的修订情况综合测评结论形成等级测评报告的等级测评结论部分对各项结果进行分析，形成测评结论测评报告编制等级测评报告单项测评记录和结果，单项测评结果汇总分析，系统整体测评结果及分析，等级测评结论，改进建议等4. 项目组织方案4.1 项目组织结构项目管理组技术测评组管理测评组业务专项配合组质量管理组项目管理组：负责人为双方项目负责人，负责整个项目的工作进展、时间、人员的安排及双方的协调工作。管理测评组：负责管理方面的测评工作，包括：机构管理、人员管理、制度管理、建设管理、运维管理。技术测评组：对物理、网络安全方面的进行测评，并做好现场记录，负责测评报告的编写等。质量监督组：负责对整个项目的质量监督，包括方案、计划、报告等评审工作，针对测评工作中的异议问题进行核查解决。业务专项配合组：由被测评单位组织，针对被测系统情况给予说明和配合。4.2 人员构成和职责组别分工姓名职责对方配合人员项目管理组项目经理商务经理项目助理质量管理组组长组员组员组员管理测评组组长组员技术测评组组长组员组员组员组员组员组员业务专项配合组组长待 定组员待 定4.3 项目实施计划阶段工作内容时间计划对方配合内容阶段输出项目准备起草项目计划xxx个工作日项目计划书评审论证项目计划分解评审论证系统调查准备调查表xxx个工作日信息系统调查表收集调查结果调查材料分析整理测评准备制定核查方案xxx个工作日测评方案评审论证制定测试方案评审论证准备测试工具模拟环境测试现场测评准备委托书等现场文档xxx个工作日现场测评授权委托书、测试计划、测试报告测试方案调整和确认制定核查计划现场核查记录核查结果制定测试计划现场测试记录测试结果方案编制核查材料整理xxx个工作日等级测评报告测试材料整理撰写测评报告评审论证总结整个工作过程5. 项目质量管理和控制5.1 过程质量控制管理5.1.1 过程质量管理风险等级测评项目的质量是整个测评工作的核心，如测评质量没有保障，整个测评工作的意义就无从谈起。在质量管理方面，主要从以下几点进行说明：1) 测评准备阶段本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，为实施测评做好文档及测试工具等方面的准备。2) 方案编制阶段本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等，形成测评方案。3) 现场测评阶段本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目，包括单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。4) 分析与报告编制阶段本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和信息系统安全等级保护测评要求的有关要求，通过单项测评结果判定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。5.1.2 过程质量风险控制1) 测评准备阶段a) 未填写测评任务流程卡的风险项目流程卡是在进行测评活动之前对整个测评活动的流程进行一个大体的描述，从中可以对被测单位的基本资料进行了解，包括：被测系统总体描述文件，被测系统详细描述文件，被测系统安全保护等级定级报告，系统验收报告，安全需求分析报告，被测系统安全总体方案等。另外也能初步了解被测单位的信息化建设状况与发展，被测系统，包括被测系统的行业特征、主管机构、业务范围、地理位置、体系结构、主要功能等被测系统基本情况，获得被测系统的背景信息和联络方式等。测评人员还能从中得知整个测评工作的任务，在什么阶段、什么时间、什么地点应该做什么样的测评任务。风险点：未填写测评任务流程卡将造成不够了解被测单位的基本信息系统，对信息系统测评不全面，测评范围不明确，甚至造成误操作，从而使测评数据不准确，更可能会造成测评结果与想要得到的完全不符，影响整个测评工作的进展，耗费了人力、物力、财力、给公司造成不必要的损失。还可能造成对测评任务不了解，不知道如何进展，或进展工作混乱，可能会使一部分系统没有测评到，或在规定的时间内不能完成指定的任务，是整个测评工期延长，影响测评任务。这些情况都会影响到测评结果，跟定级内容不相符，造成无法定级，影响被侧单位，也会损害到公司的荣誉。控制方法：在进行测评之前要认真填写好测评任务流程卡，组建测评项目组，从资料、人员、计划安排等方面为整个等级测评项目的实施做好准备，熟悉被测单位信息系统的基本信息，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等了解整个测评任务，把握好测评工作的进展。b) 使用的测评工具没有校准测评工具是在对被侧单位信息系统、设备等进行测试其是否能正常使用的一种工具。在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，应执行功能测试和渗透测试，功能测试可能涉及机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统等。，对其进行测评，应涉及到漏洞扫描工具、渗透测评工具集和协议分析工具等多种测试工具。风险点：如果没有进行测评工具的校准，或者测评工具准备不齐，测评结果将无法真实，全面反映出来，致使有些系统无法进行测评，不能全面了解到系统的情况和系统存在的潜在问题，造成一定的安全隐患。如果测评工具出现故障，会使整个测评工作受到影响，使正常的工作无法进行，不能对系统进行测试，影响测评进度，可能会对系统的负载、服务器和网络通讯造成一定影响甚至伤害。控制方法：在进行测评之前应对测评工具进行校准，确保其正常运行，根据测评活动确定所需要准备的测评工具，按照测评工具清单进行清点，确保所要用到的测评工具已经准备齐全，另外准备部分备用工具作为备用。c) 没有项目计划项目计划是对整个测评工作进行项目描述、工作流程、技术思路、工作内容和项目组织，时间控制等控制，保证项目能够按期顺利的完成。风险点:如果没有制作项目计划，会导致后期项目任务不明确、管理无序、失控，工作不能按期完成。控制方法：在进行测评工作之前，做好项目计划，对每个测评人员明确分功。2) 方案编制阶段a) 测评指标选取不准确测评指标是在被测系统基本情况分析后，得出被测系统的定级结果，包括业务信息安全保护等级和系统服务安全保护等级。从GB/T 22239-2008信息系统安全等级保护基本要求中选择相应等级的安全，包括对ASG三类安全要求的选择。风险点：如果测评指标选取不明确，会造成错误定级，按照错误的等级进行测评工作，使用错误的测评方法，将造成测评结果偏离，例如：某单位系统服务安全保护等级为2级；则该系统的测评指标将包括GB/T 22239-2008信息系统安全等级保护基本要求“技术要求”中的2级通用指标类（G2），2级业务信息安全指标类（S2），2级系统服务安全指标类（A2），以及第2级“管理要求”中的所有指标类。如果指标错误，会影响到后期的所有工作，耗费了各方面的资源，使项目不能按期顺利完成，同时也给公司带来巨大的损失。控制方法：通过召开评审会，详细分析被测单位的信息系统，对被测单位做好准确定级，明确测评指标，顺利做好测评工作。b) 项目组每个成员包括工具测试人员开发测评实施手册时对测评方法选取不当测评实施手册是具体指导测评人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动可以重现的根本。因此，测评实施手册应当尽可能详尽、充分。风险点：如果测评实施手册不使用，会直接导致测评工作的错误进行，包括测评项（每个测评项可能对应多个测评方法）、测评方法（访谈、文档审查、配置检查、工具测试和实地察看等多种方法）、操作步骤和预期结果等。这样所做的整个过程都将是一个错误的过程，所做的工作也就没有应用价值，会延长工期，会造成违约赔偿问题，在人员、财力、时间的浪费上都无法弥补，也会影响到公司的荣誉。控制方法：具体做法就是把各层面上的测评指标结合到具体测评对象上，并说明具体的测评方法，如此构成一个个可以具体测评实施的单元。参照信息系统安全等级保护测评要求，结合已选定的测评指标和测评对象，概要说明现场测评实施的工作内容来编制测评实施手册，完成之后，对其进行评审，通过以后，由总工、技术负责人签字确认。c) 测评实施工期时间测算不准确测评实施工期是对整个项目进行的一个时间控制，这样便于把握整个项目的进展。风险点：测评实施工期不准，使整个项目的工期延后，测评质量下降，影响后续项目的开展。控制方法：召开评审会，由专家选取项目实施工期。d) 测评现场人员分工计划不合理风险点：专业技术人员分配不合理，会造成对测评的测评不够全面、深入，不能得到完整要的数据，不能站在合适的技术人员的角度去测评系统。另外，现场测评人员分工不合理，影响项目的进展，人员太多造成现场混乱，现场测评时间浪费，工作质量下降，人员太少会使测评任务无法按期完成。控制方法：通过评审会，对项目进行分析，合理的安排测评人员。e) 测评方案没有评审测评方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容：项目概述、测评对象、测评指标、测评工具的接入点、单项测评实施、系统测评实施以及配套的测评实施手册等。风险点：测评方案没有经过评审就投入使用，其中有些信息可能不准确、不全面或者是错误的，如果按照这样的测评方案进行，就会造成误操作，效率降低，测评结果也会有偏差，将不能得到准确可靠的数据。控制方法：召开方案评审会，详细分析被测系统的整体结构、边界、网络区域、重要节点等。初步判断被测系统的安全薄弱点。分析确定测评对象、测评指标和测试工具接入点，确定测评内容及方法。编制测评方案文本，并对其内部评审。取得被测机构对测评方案所有内容的签字确认，对测评方案进行认可，并签字确认。f) 测评方案在内部评审时没有签字和批准风险点：测评方案没有经过签字和批准就进行测评，如果方案发生变化，而测评人员又不知道，这样就会造成不必要的损害，已经做过的测评工作就需要重新进行。控制方法：测评方案在内部评审时签字批准后再投入项目中。3) 现场测评阶段a) 测评方案未经被测单位签字认可就开展实施风险点：测评方案没有经过被测方签字和批准就进行测评，会使公司承担一定的法律和事故责任，对公司在信誉、财力上造成一定的损害。控制方法：测评方案经过被测单位签字确认后在进行项目的实施。b) 现场测评正式进场前未与委托方签署现场测评授权委托书风险点：现场测评正式进场前未与委托方签署现场测评授权委托书，造成对现场测评需要的各种资源，包括被测单位的配合人员和需要提供的测评条件，现场测评实施具体时间不明确，无法确定测评项目双方责任。控制方法：现场测评正式进场前与委托方签署现场测评授权委托书。c) 项目负责人没有根据委托方提出的意见和建议，对测评方案进行必要的更新风险点：如果没有按照委托方的意见对测评方案进行更新，项目将不能顺利的往下开展，委托方将会不配合测评工作的开展，另外测评结果也会有偏差，甚至造成测评项目停止。控制方法：根据委托方提出的意见和建议，项目负责人对测评方案进行必要的更新，并做更新记录，重新进行内部评审并获得批准后重新装订测评方案。d) 测评结果的记录不准确测评结果是整个测评过程的一个记录，测评人员与被测系统有关人员（个人/群体）进行交流、讨论、检查等活动，获取相关证据，了解有关信息的数据反映。风险点：测评结果错误，将不能给被测单位信息做一个正确的反映，对所做的访谈、文档审查、配置检查、工具测试和实地察看等这些方面的数据都不能真实体现，严重的话可能需要重新进行测评，那将会造成不可估量的损失。控制方法：可以通过现场录音，校准员对结果进行校准。e) 测评结果没有用户签字确认风险点：没有经过用户签字的测评结果是没有可信度的，如果其中存在问题，用户可能会否认，降低对测评结果的可信度，影响到后续的工作。控制方法：现场测评后的记录应及时让用户签字确认。f) 管理类测评文档审查中，测评人员对文档审查的覆盖面不全管理类测评文档是对测评流程进行记录的一个过程，包括现场测评准备、访谈、文档审查、配置检查、工具测试、实地察看、测评结果确认。风险点：管理类测评文档审查中，测评人员对文档审查的覆盖面不全，这样会缺少某方面的资料，使测评结果参考不够全面，影响后续工作。控制方法：建立管理类文档审查清单。g) 测评核查表审查结果记录落实核查表是按照被测单位的等级要求进行核查的测评项清单。风险点：如果不对测评核查表审核的结果进行记录，就不知道哪些设备核查过，哪些没有核查，不便于结果的统计，容易造成漏查。控制方法：对已查设备做好记录，制作补查表，进行补查。h) 管理类测评应根据系统等级确定不同的测评强度不同等级信息系统在测评实施时的强度要求不同。一级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的一级要求。二级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的二级要求，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致。三级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的三级要求，所有文档应具备且完整，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致，安全管理过程应与系统设计方案保持一致且能够有效管理系统。四级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的四级要求，所有文档应具备且完整，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致，安全管理过程应与系统设计方案保持一致且能够有效管理系统。风险点：在测评过程中如果对测评信息系统所使用的强度不合理，会造成错误的测评结果，对被测单位制定安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等文件造成影响。控制方法：开评审会，按照相应的强度要求来做测评。i) 配置检查应根据系统等级确定不同的测评强度技术安全测评的网络、主机、应用测评结果记录表格。下面列出对不同等级信息系统在测评实施时的不同强度要求。一级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的一级要求。二级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的二级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性。三级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的三级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，测试系统是否达到可用性和可靠性的要求。四级：满足GB/T 22239-2008信息系统安全等级保护基本要求中的四级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，测试系统是否达到可用性和可靠性的要求。风险点：不同等级，没有使用相对应的测评强度，同样会造成错误的测评结果，如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试，针对网络连接，应对连接规则进行验证，如果方法错误，将使验证结果不正确。控制方法：开评审会，给被测单位做好测评等级，按照相应的强度要求来做。j) 上机验证存在误操作的风险风险点：上机误操作会得到错误的数据，使测评结果不准确，可能会对系统造成一定的影响，造成系统数据丢失，或损害到了其中的某些配置。控制方法：测评人员要有一定的专业技术知识储备，原则上由被测单位技术人员按照作业指导书进行操作，要有一定的应急预案，在上机操作之前对机器上的资料进行备份。4) 分析与报告阶段a) 测评分析应根据信息系统的不同等级进行不同强度的分析和概括在现场测评工作结束后，测评机构应对现场测评获得的测评结果进行汇总分析，形成等级测评结论，并编制测评报告。测评人员在初步判定单项测评结果后，还需进行系统整体测评，经过系统整体测评后，有的单项测评结果可能会有所变化，需进一步修订单项测评结果，而后形成等级测评结论。风险点：不同信息系统被定为不同的等级，应进行不同强度的分析和概括，等级、强度不能够相适应的进行分析，会对测评最终的测评报告造成偏差，影响被测单位的系统结果分析。控制方法：按照不同等级测评强度的要求，进行不同等级强度的分析和概括。b) 整体测评不应只考虑单项测评结果风险点：系统整体测评如果只考虑单项测评结果，不能针对单项测评的不符合项，采取逐条判定的方法，也不能够从安全控制间、层面间和区域间出发考虑，给出系统整体测评的具体结果和结论，会影响到系统结构的整体安全测评。不对其他相关项进行分析，无法正确判断该测评项与其他相关安全控制项能否发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足。不能分析出与该测评项相关的其他层面测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足。不能分析出该测评项相关的其他区域测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足。控制方法：从安全角度分析被测系统整体结构的安全性，从系统角度分析被测系统整体安全防范的合理性。整体测评除要考虑单项测评结果之外，应根据不同信息系统的特点，进行有针对性的分析，召开内部专家人员会议共同分析讨论，对测评结果进行补充。c) 单项测评项的测评结果判定不准确风险点：测评指标的单项测评结果情况不准确，对测评结果将不能给出真实的反映，会对下面的整体测评造成一定的影响。控制方法：按层面分别汇总不同测评对象对应测评指标的单项测评结果情况，包括测评多少项，符合要求的多少项等内容，一般以表格形式列出。表格中清楚的描绘出测评对象，测评指标。并以“”表示“符合”，“”表示部分符合，“”表示“不符合”，“N/A”表示“不适用”。这样对单项测评结果的判断就很清晰准确了，另外由质量监督员对判定结果进行审核，出现争议，由技术负责人进行仲裁。d) 对测评报告的审核没有通过评审会进行风险点：测评报告的审核如果没有通过评审会进行，中间存在的问题可能就无法体现出来，对被测单位的系统状况也无法清晰的了解，可能会得到不准确的结论。控制方法：对测评报告的审核应通过评审会进行，应选择具有高职称的技术人员实施参加。e) 没有对测评报告的编制格式统一风险点：测评报告的编制格式不统一，容易造成文档混乱，不便于管理，也不方便查询。控制方法：定制统一的文档编号规范，文档盖章规范。5.2 变更控制管理5.2.1 变更管理存在的风险项目组成员受外部因素影响出现变动在项目进行过程中，项目组成员因工作调动、外出学习、身体健康等原因，需要变更人员、调整成员分工的情况，会对测评按时保质完成造成影响。5.2.2 变更管理控制方法风险点：在项目进行过程中，项目组成员因工作调动、外出学习、身体健康等原因，需要变更人员、调整成员分工的情况，会对测评按时保质完成造成影响。控制方法：在项目组成立后，原则不允许人员中途退出。确实无法避免，由项目经理指派其他有能力的人员代替，相关人员需写出工作移交报告，妥善完成工作交接程序。5.3 项目风险管理5.3.1 项目进度风险的管理5.3.1.1 项目进度管理存在的风险项目进度管理在项目管理体系中是比较重要的一个方面，要求在保证项目质量的前提下按时完成项目是项目进度管理的主要目的。项目进度管理主要从项目时间计划和项目时间控制等方面对项目进行管理，保证测评项目按时完成。等级测评项目管理中应关注以下几点：1) 与委托方交涉过程中委托方不重视等级测评造成的项目时间拖延，如需要委托方确认的项目计划书委托方迟迟不给答复，需要委托方提供的资料委托方不按时交给项目组等；2) 没有合理安排现场测评活动时间，造成无法进行现场测评和造成委托方损失等情况。如安排在委托方工作繁忙阶段做测评、安排在被测系统业务高峰期做渗透测试等活动；3) 没有合理计划项目周期造成成本增加影响其他项目工作进行；4) 项目中时间把握不准确造成项目时间延误，如在现场测评阶段和方案编制阶段时间的把握不准确，导致阶段工作没有按时完成等。5.3.1.2 项目进度管理控制方法时间管理关系效益，因此需要在项目的启动阶段时对项目合理的计划，与委托方沟通使其对测评工作充分重视，并与其协商合理安排现场测评时间，把握阶段时间控制。具体方法如下：1) 现场准备阶段风险点：被测单位为测评项目组提供其所需要的各种资料，包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件网络拓扑图、管理记录文档等。若委托方提交相关信息系统资料超期、不及时将导致项目整体工期拖延。控制方法：应对委托方详细介绍测评的重要性和必要性，说明提供信息资料对整个测评过程的重要性。提供详细的信息系统资准备清单，指导被测单位准备相关信息资料。2) 方案编制阶段a) 风险点：测评方案初稿应通过测评项目组全体成员评审，若评审时间过长将影响项目后续工作开展。测评项目组将确定的测评方案提交给被测单位后，被测单位应对该测评方案进行签字认可，但若迟迟未认可签字，将致使后续工作没有办法进行，影响项目整体进度。控制方法：1、项目组制定会议日程，对计划内的任务要准时完成。2、方案经与委托方协商确定后，随着项目的开展，应适时提醒委托方提供时间、人员等的配合。b) 风险点：安排工具测试时没有避开被测系统的业务高峰期。控制方法：实施现场测评或工具测试前应充分与被测单位进行协商，确定合适的时间点实施测评。c) 风险点：测评实施整体工期测算不准确导致工期拖延项目成本提高、影响其它后续项目工作安排。控制方法：测评方案初稿形成后应召开内部专家评审会，针对时间安排、测评对象等关键点进行评审并签字确认。3) 现场测评阶段风险点：现场测评阶段需召开现场测评首次会，测评项目组介绍测评工作，交流测评信息，进一步明确测评计划和方案中的内容。测评双方确认现场测评需要的各种资源，包括被测单位的配合人员和需要提供的测评条件等。被测单位签署现场测评授权委托书。但现场准备阶段时间控制不好耗费了很长时间，造成的项目工期的延误。 控制方法：对项目准备阶段进行时间计划，制定首次测评现场会会议日程。4) 分析报告阶段风险点：在分析报告阶段要进行单项测评结果判定、单项测评结果汇总分析、系统整体测评分析、综合测评结论形成、测评报告编制等五个阶段。阶段间的工作环环相扣，如果时间安排不合理将导致下一阶段的工作无法继续或整体工期拖延。控制方法：制定详细的分析报告阶段时间计划。项目组成员间积极沟通，协调工作开展。5.3.2 项目协作与沟通风险的管理5.3.2.1 协作与沟通原则为保证项目顺利实施，项目组成员应遵循互相协作、主动沟通和尽早沟通的原则。项目实施中，只有互相协作、尽早沟通、主动沟通才能及时发现问题和解决问题，保证项目的顺利实施。5.3.2.2 沟通管理方法为避免项目人员被动式、应付式沟通，随意而行、混乱无序，为让项目人员明确自己的沟通职责，特制定下列沟通计划：1) 与委托方的沟通a) 在测评准备阶段，业务受理人员应告知委托方信息系统等级测评所必须提交的详细资料；b) 项目负责人应在测评项目立项后，应向委托方揭示测评风险，说明测评过程中可能带来的风险，并说明风险规避的方法；c) 在测评项目准备阶段，项目负责人应与委托方沟通，对测评时间、人员等做出合理安排，以保证测评实施工期避开被测系统的业务高峰期，确保测评项目顺利完成；d) 项目负责人在测评方案通过内部评审后，及时与委托方交流，明确告知委托方测评范围，以便委托方提供与测评方案吻合的配合资源（人力、场地）；e) 测评核查表审查结果记录一定要由委托方人员签字，确保记录结果的有效性；f) 现场测评时，项目组成员与委托方人员沟通时，应采用对方能接受的沟通风格。注意肢体语言、语态给对方的感觉。始终向委托方传递一种诚实，公正态度。不论在何种情况下，都要避免与委托方人员产生言语上的冲突；g) 测评组作为一个整体对外意见要一致，一个团队要用一种声音说话，避免委托方对测评人员公平公正度产生误解；h) 现场测评时，如果出现测评人员与委托方沟通效果不理想，要及时认识问题，寻求相关领导和职能部门的协助，合理的借用外部力量达到项目组的既定目标。2) 部门间沟通a) 在委托方提交信息系统等级测评所必需的资料后，系统测评部应会同业务受理部，组织专家对委托方提供的资料做详细分析和整理。判定测评项目是否可以立项，以保证测评工作顺利开展；b) 系统测评部应定期与质量保障部沟通，以便质量保障部提供相应的软、硬件保障，确保测评质量。3) 项目组成员间沟通a) 项目组成员内部沟通应注重文档化，实现团队项目经验的有效积累；b) 项目组成员在项目实施中应注重技术性沟通，方便项目新成员提高技术水平；c) 项目负责人通过各种途径将意图传递给项目执行人员并使项目执行人员理解和执行。避免项目执行人员理解不清最终导致项目混乱甚至项目失败；d) 项目组成员在完成各自的测评工作后，应以项目日报形式向项目负责人汇报，以便项目负责人把握项目进度；e) 项目组成员完成测评报告后，报告所得出的结论应协商一致，避免委托方对测评报告的结果提出异议。4) 与领导的沟通a) 应清楚各级领导的权限和角色，解决问题时一定是要找到关键路径上的关键领导，避免将问题同时抛给多个领导，造成领导之间的沟通成本加大，影响问题的解决效率；b) 对于项目中不可能完成的工作，不要一味的向领导妥协，这既是对工作的负责，也是对项目组的负责。通过多方面的沟通管理，为提升信誉度，与客户建立良好的合作关系，打好坚实的基础。5.3.3 测评工作引入风险的管理5.3.3.1 测评工作过程的风险1) 验证测试影响系统正常运行在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。2) 敏感信息泄漏泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。3) 对测评结果存有争议测评机构和被测单位对测评结果可能存在争议。5.3.3.2 风险管理控制方法为了对测评过程存在的风险进行有效规避，将针对测评流程通过如下几个阶段实施风险管理：1) 测评准备阶段a) 风险点：准备阶段在与委托方进行初次沟通协商后，需要委托方提供一定量的信息系统相关资料，以便通过这些资料的了解研究，确定下一步测评工作的开展方法，而这些资料可能涉及到委托方的内部机密，如果此类资料丢失或泄露，将对委托方产生较大影响及造成经济损失。控制方法：在与委托方首次沟通时