收藏
下载资源

信息系统安全等级保护测评工作yu

上传人:公**** 文档编号:570131685 上传时间:2024-08-02 格式:PPT 页数:113 大小:3.58MB
返回 下载 相关 举报
信息系统安全等级保护测评工作yu_第1页
第1页 / 共113页
信息系统安全等级保护测评工作yu_第2页
第2页 / 共113页
信息系统安全等级保护测评工作yu_第3页
第3页 / 共113页
信息系统安全等级保护测评工作yu_第4页
第4页 / 共113页
信息系统安全等级保护测评工作yu_第5页
第5页 / 共113页
点击查看更多>>
资源描述

《信息系统安全等级保护测评工作yu》由会员分享,可在线阅读,更多相关《信息系统安全等级保护测评工作yu(113页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全等级保护测评信息系统安全等级保护测评工作工作yuyu内容目录1. 测评概述2. 测评实施工作流程3. 测评实施主要内容4. 等级测评工作要求5. 等级测评项目管理2信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统

2、安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南6等级测评概述o测评要求阐述了基本要求中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合基本要求。o测评过程指南规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用测评要求提出了指导建议。7等级测评概述o等级测评面对的信息系统是指由一个或多个不同安全保护等级的定级对象构成的信息系统。o等级测评过程分为四个基本测评活动:

3、测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈贯穿整个等级测评过程。8内容目录1. 测评概述2. 测评实施工作流程3. 测评实施主要内容4. 等级测评工作要求5. 等级测评项目管理9等级测评的执行对象o等级测评的执行对象是定级对象o特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统10主要概念o被测评系统o定级对象o被测评系统 定级对象 关系?关系?11测评流程测评实施准备测评实施准备现场测评和结果记录现场测评和结果记录结果确认和资料归还结果确认和资料归还单项测评结果判定单项测评结果判定单单元元测评结果测评结果判定判

4、定整体测评整体测评等级测评等级测评结论形成结论形成测评报告编制测评报告编制等级测评等级测评项目启动项目启动信息收集与分析信息收集与分析测测评评准准备备活活动动方方案案编编制制活活动动现现场场测测评评活活动动报报告告编编制制活活动动沟沟通通与与洽洽谈谈测评对象确定测评对象确定测评指标确定测评指标确定测评方案编制测评方案编制工具测试方法工具测试方法确定确定测评指导书测评指导书开发开发工具和表单准备工具和表单准备测评内容确定测评内容确定风险分析风险分析12等级测评的主要活动o测评准备活动(3个任务)o方案编制活动(6个任务)o现场测评活动(3个任务)o报告编制活动(6个任务)13内容目录1. 测评概

5、述2. 测评实施工作流程3. 测评实施主要内容4. 等级测评工作要求5. 等级测评项目管理14主要内容测评准备活动方案编制活动现场测评活动报告编制活动活动包含的任务活动的目标过程文档结构及内容可能遇到的问题15测评准备活动16测评准备活动被测系统描述文件、定级报告、验收报告、安全需求分析报告、安全总体方案、自查或上次等级测评报告(如果有)、信息系统基本情况调查表、项目计划书委托测评协议书信息收集和分析项目启动填好的信息系统基本情况调查表格项目计划书输入主要任务输出各种与被测系统相关的技术资料工具和表单准备选用的测评工具清单打印的各类表单:现场测评授权书、文档交接单、会议记录表单、会议签到表单1

6、7测评准备活动的目标o测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。18测评准备活动任务之一-项目启动o根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。组,从人员方面做好准备,并编制项目计划书。o测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全需求分析报告,安全总体方案,系统验收报告,安

7、全详细描述文件,安全需求分析报告,安全总体方案,系统验收报告,安全保护等级定级报告,自查或上次等级测评报告(如果有),测评委托单位保护等级定级报告,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。的信息化建设状况与发展以及联络方式等。19项目计划书o项目概述o技术思路和工作内容o项目实施方案o项目组织方案o项目质量管理和控制20一、项目概述o项目背景o项目目的o工作依据21二、技术思路和工作内容o技术思路o工作内容o工作产品22三、项目实施方案o项目实施过程划分o项目准备过程o23四、项目组织方案o项目组织结构o人员构成和职责o项目实施计划24五、项目质量管

8、理和控制o过程质量控制管理o变更控制管理o项目风险管理o保密控制管理25测评准备活动任务之二-信息收集与分析的目标信息收集与分析的目标o通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。26测评准备活动任务之二-信息收集与分析信息收集与分析o测评机构收集等级测评需要的各种资料。o测评机构将调查表格提交给测评委托单位,督促并协助相关人员准确填写调查表格。o测评机构收回填写完成的调查表格,并初步分析调查结果。o根据调查表格填写情况安排现场调研。o对调查了解到的信息进行综合分析及整理,以进一步了解和熟悉信息系统的实际情况。27信息收

9、集与分析-调查表o调查内容全面o调查项目顺序合理o保留项目之间的逻辑关联28信息收集与分析-调查内容o物理环境信息收集机房数量、物理位置办公环境o网络信息收集网络拓扑图网络结构系统外联网络设备安全设备29信息收集与分析-调查内容o主机信息收集服务器、工作站终端业务终端、管理终端、设备控制台o应用信息收集应用系统业务数据o管理信息收集机构设置人员职责分配管理文档30信息收集与分析-调查结果分析o整体网络结构和系统组成分析o定级对象边界和系统构成组件分析o定级对象的相互关联分析31调查结果分析-整体网络结构和系统组成分析整体网络结构和系统组成分析o应对被测评系统的范围、构成和应用等总体情况进行分析

10、,包括网络结构、对外边界、定级对象的数量和级别、不同安全保护等级定级对象的分布情况和承载应用情况等。32调查结果分析-整体网络结构和系统组成分析整体网络结构和系统组成分析o网络结构被测评系统总体情况分析应关注信息系统的支撑网络,分析网络结构、网络区域、对外边界等333435 调查结果分析-整体网络结构和系统组成分析整体网络结构和系统组成分析o系统组成应关注被测评系统中定级对象的数量、每个定级对象的级别、每个定级对象所处的网络区域、每个定级对象承载的应用情况等36调查结果分析-定级对象边界和定级对象边界和系统系统构成构成组件组件分析分析o应针对被测评系统中的每个定级对象分析其系统边界、每个定级对

11、象的系统构成组件等,主要系统构成组件包括硬件、软件、信息和存储介质等。37调查结果分析- -定级对象边界和系统构成组件分析定级对象边界和系统构成组件分析o边界分析应分析和确定每个定级对象的系统边界,并确定其在网络中的物理边界,多个定级对象的物理边界可能为一个,例如多个定级对象共用同一个防火墙或交换机作为其边界设备。38共用物理边界的情况共用物理边界的情况三级区域(S3A3保护)三级(3,2)三级(3,3) 二级内部系统边界内部系统边界物理边界39调查结果分析- -定级对象的相互关联分析o应针对被测评系统中的每个定级对象分析其承载的业务应用情况,包括应用架构方式、应用处理流程、处理信息类型、业务

12、数据处理流程、服务对象、用户数量等,并通过业务应用分析定级对象之间的相互关联关系。40调查结果分析- -定级对象的相互关联分析o相互关联如各自为独立的应用系统,没有数据交换;或各自为独立的应用系统,但是通过特定的设备交换数据;或整体为一个应用系统,不同的定级对象中部署应用系统的不同模块,数据交换通过不同模块之间的数据通信实现等等41测评准备活动任务之三-工具和表单准备工具和表单准备o测评人员熟悉被测系统应用业务流程等。o测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。o测评人员模拟被测系统搭建测评环境。o准备和打印表单,主要包括:文档

13、交接单、会议记录表单、会议签到表单等。42测评准备活动可能遇到的问题o调查表格填写协调困难填写不准确设备互联不清楚o工具和表单准备无法搭建模拟环境43方案编制活动44方案编制活动输入主要任务输出委托测评协议书,填好的调研表格,确定出的测评对象、测评指标及测试工具接入点,单元测评内容填好的调查表格,确定出的测评对象、测评指标及测试工具接入点填好的调查表格测评内容确定测评对象确定单元测评内容确定出的测评对象列表单元测评内容测评指导书开发测评指导书填好的调查表格、基本要求测评指标确定确定出的测评指标填好的调查表格,测评要求工具测试方法确定确定出的测试工具接入点及测试路径测评方案编制测评方案文本主要任

14、务输出输入45方案编制活动的目标o整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。46方案编制活动任务之一-确定测评对象o识别被测评系统的安全保护等级o识别被测评系统的整体结构o识别被测评系统的边界o识别被测评系统的网络区域o识别被测评系统的重要节点和业务应用o根据上述级别、网络结构、边界等情况确定测评对象47方案编制活动任务之二-确定测评指标o测评指标来源于国家对不同安全保护等级信息系统的基本要求。o依据定级情况确定定级对象应采取的安全保护措施SAG组合情况,并从基本要求中选择相应等级的安全要求作为测评指标。48方案编制活动任务之三-确定测评内容 测评指标

15、 测评对象o物理安全 机房、办公环境、机房相关文档等o网络安全 交换机、防火墙、路由器、IDS等o主机安全 操作系统、数据库系统等o应用安全 应用软件、应用平台等o管理安全 文档(制度、规程、记录)、人员等49方案编制活动任务之四-确定工具确定工具测试方法测试方法o第一步,确定工具测试的测评对象o第二步,选择测试路径从被测系统外部测试被测系统在被测系统内部,从与测评对象不同网段测试测评对象在被测系统内部,与测评对象同一网段测试测评对象o第三步,确定接入点。50方案编制活动任务之五-开发测评指导书o对象明确(适用范围)o步骤描述准确、详细,预期结果明确o经过仿真环境验证51方案编制活动任务之六-

16、编制测评方案o1.根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。o2.依据委托测评协议书和被测系统规模,估算现场测评工作量,确定人员分工和测评计划。o3.描述测评对象、测评方式和工具。o4.描述测评指标。o5.描述现场测评实施内容,包括单项测评和整体测评。o6.汇总上述5个步骤的各类文档和资料形成测评方案文稿。o7.评审和提交测评方案。52测评方案的构成o1概述o2被测系统描述o3测评对象与指标o4测评方法与工具o5测评内容与实施531 概述o项目简介o测评依据542 被测系统描述553 测评对象与指标564 测评方法

17、与工具575 测评内容与实施585 测评内容与实施序号安全子类测评指标描述1测评指标1(测评对象、测评方法、测评实施概述)2测评指标2序号安全子类测评指标描述1结构安全通过访谈网络管理员,检查网络拓扑情况、抽查核心交换机、接入交换机和接入路由器*等网络互联设备,测试系统访问路径和网络带宽分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。2访问控制通过访谈安全员,检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等过程,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。例如:595 测评内容与实施-工具测试o描述测试目的和测评实施过程。o结合网络拓扑图,采

18、用图示的方式描述测试工具的接入点、测试途径和测试对象等相关内容。60测评方案的评审o方案的可行性o测评对象选择的合理性,与等级要求的测评力度的一致性o测评指标选择的正确性o测评方法的有效性和符合性o测试工具与手段是否先进、可溯源,测试工具的测试路径和接入点是否合适o测评内容的全面性,可能发生风险的测评内容在仿真环境中已进行过模拟测试,测试过程不会对系统造成影响o任务分工、计划进度与资源安排的合理性o等等61接受?o方案?o测试技术?o测评人员?o风险可控?62方案编制活动可能遇到的问题o信息系统网络边界的确定o测评对象选择原则的应用o测试工具接入点的选择o测评指导书的开发63现场测评活动64现

19、场测评活动测评指导书,测评结果记录表格现场测评授权书,测评方案,测评指导书现场测评和结果记录现场测评准备测评结果记录,工具测试完成后的电子输出记录等会议记录,更新后的测评计划和测评程序,确认的现场测评授权书输入主要任务输出测评结果记录,工具测试完成后的电子输出记录等结果确认和资料归还现场测评中发现的主要问题汇总,证据和证据源记录,测评委托单位对测评结果记录的书面认可65现场测评活动的目标o按照测评方案的总体要求,严格执行测评指导书,分步实施所有测评项目,了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。66现场测评活动任务之一-现场测评准备o召开测评现场首次会,测评机构介绍测评工作

20、,交流测评信息,进一步明确测评计划和方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排等。o测评双方对测评方案进行最终审定。o测评双方确认现场测评需要的各种资源,包括被测单位的配合人员和需要提供的测评条件等,确认已备份过系统及数据。o测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。67现场测评活动任务之二-现场测评和结果记录现场测评和结果记录o测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。o测评人员查阅相关文档,获取相关证据。o测评人员通过上机验证方式获取系统配置方面的相关证据。o测评人员利用测试工具进行测试获取漏洞、

21、通信安全性以及入侵防范等方面的证据。68现场测评活动任务之三-结果确认和资料归还结果确认和资料归还o测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。o召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。o测评机构归还测评过程中借阅的所有文档资料,并由被测单位文档资料提供者签字确认。69现场测评活动可能遇到的问题o配合、协调o测评结果版本控制o测试工具故障70报告编制活动71报告编制活动单项测评结果单元测评结果判定单元测评结果整体测评结果风险分析风险分析结果单元测评结果整体测评整体测评结果等级测评结论形成等级测评结论测评结果记录,测

22、评指导书单项测评结果判定单项测评结果输入主要任务输出测评方案/测评结果记录、单项测评结果、单元测评结果、整体测评结果、风险分析结果测评报告编制测评报告文本单元测评结果整体测评结果72报告编制活动的目标o分析测评结果,找出被测评系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测评系统整体安全保护能力,给出等级测评结论。73报告编制活动任务之一-判定单项测评结果判定单项测评结果单个测评项说明o单个测评项对应基本要求中的具体要求项,例如三级物理安全的防盗窃和防破坏的“a)应将主要设备放置在机房内;”。o单个测评项的具体内容分为两种情况:1)每个要求项只提出一方面的要求内容,如“b)应根据

23、安全策略设置登录终端的操作超时锁定;”;2)每个要求项含有两个或多个方面的要求内容,如“b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。”这个要求项就包含“保证无法中断审计进程”和“无法删除、修改或覆盖审计记录”两个方面的要求内容。74报告编制活动任务之一-判定单项测评结果判定单项测评结果o1.针对每个测评对象对应的每个测评项,分析该测评项所对抗的威胁在被测系统中是否存在,如果不存在,则该测评项应标为不适用项。对于适用项,则o2.分析单个测评项是否有多方面的要求内容,依据“优势证据”法针对每一方面的要求内容,从一个或多个测评证据中选择出“优势证据”,并将“优势证据”与要求内容的预

24、期测评结果相比较;o3.如果测评证据表明所有要求内容与预期测评结果一致,则判定该测评项的单项测评结果为符合;如果测评证据表明所有要求内容与预期测评结果不一致,判定该测评项的单项测评结果为不符合;否则判定该测评项的单项测评结果为部分符合。75判定单项测评结果-关于优势证据o优势证据多个测评证据中那个/些对于某方面要求内容的符合性判定更具有证明力、说服力的测评证据。o优势证据顺序物理安全测评,优势证据顺序一般为:实地察看证据文档审查证据访谈证据;技术安全方面的测评,优势证据顺序一般为:工具测试证据配置检查证据访谈证据;管理安全方面的测评,则要根据实际情况分析确定优势证据。76报告编制活动任务之二-

25、判定判定单元测评结果单元测评结果o单元测评指标包含的所有测评项均为不适用项,则该测评对象对应该测评指标的单元测评结果为不适用; o单元测评指标包含的所有适用测评项的单项测评结果均为符合或不符合,则该测评对象对应该测评指标的单元测评结果为符合或不符合;o单元测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合,则该测评对象对应该测评指标的单元测评结果为部分符合。77报告编制活动任务之三-整体测评o针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项

26、的不足是否会影响与其有关联关系的其他测评项的测评结果。o针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他层面的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。o针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他区域的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。78报告编制活动任务之四-风险

27、分析和评价o1.结合单元测评的结果汇总和整体测评结果,将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析,统计符合情况。o2.判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。o3.判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后,对被测系统的业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中和低。o4.综合2.和3.的结果,并按照选定的风险计算方法对被测系统面临的安全风险进行赋值,风险值的取值范围为高、中和低。o5.结合被测系统的安全保护等级对风险分析结果进行评价,即对国家

28、安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。79报告编制活动任务之五-形成形成等级测评结论等级测评结论等级测评结论:o符合等级测评结果中不存在部分符合项或不符合项。o基本符合等级测评结果中存在部分符合项或不符合项,但不会导致信息系统面临高等级安全风险。o不符合等级测评结果中存在部分符合项或不符合项,导致信息系统面临高等级安全风险。80报告编制活动任务之六-编制测评报告o测评人员整理前面几项任务的输出/产品,编制测评报告相应部分。o针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。o列表给出现场测评的文档清单和单项测评记录

29、,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。o评审测评报告。o根据分发范围分发报告。81测评报告的构成o报告摘要o1测评项目概述o2被测信息系统情况o3等级测评范围与方法o4单元测评o5整体测评o6测评结果汇总o7风险分析和评价o8等级测评结论o9安全建设整改建议821 测评项目概述o测评目的o测评依据o测评过程o报告分发范围832 被测信息系统情况o承载的业务情况o网络结构o系统构成业务应用软件、关键数据类别、主机/存储设备、网络互联设备、安全设备、安全相关人员、安全管理文档o安全环境o前次测评情况(初次测评则没有该节)843 等级测评范围与方法

30、o测评指标基本指标o测评对象测评对象选择方法测评对象选择结果o测评方法854 单元测评o物理安全结果记录结果汇总问题分析o网络安全oo系统运维管理865 整体测评o安全控制间安全测评o层面间安全测评o区域间安全测评876 测评结果汇总o根据单元测评结果将单元测评的结果按照层面和安全控制进行汇总分析,以表格的形式,分别统计物理安全、网络安全、主机安全、应用安全、管理安全等各层面的不同安全控制的单元测评结果;o针对每个定级对象分别列表;o对于所有定级对象都涉及到的安全层面和安全控制应单独列表,避免重复。o归并整理安全问题,并以表格形式进行描述。887 风险分析和评价o采用风险分析的方法分析信息系统

31、等级测评结果中存在的安全问题可能被威胁利用的可能性和后果,综合分析给出信息系统面临的风险值,将安全问题按风险值从高到低排列的形式列表描述。898 等级测评结论(举例)序号信息系统名称安全保护等级等级测评结论1核心生产系统第四级基本符合2辅助生产系统第三级符合3办公OA系统第二级不符合90测评报告评审o测评结果判定的准确性o测评结果理解和解释所需的信息的清晰、充足、正确和准确性o整体测评分析的合理性o风险分析方法的可行性和合理性;o测评结果汇总与问题分析的正确性;o测评结论的准确性;o文本结构和内容与等级测评报告模版的一致性;o报告审核、批准与签发过程的规范性91报告编制活动可能遇到的问题o整体

32、测评分析不全面o风险值难判断92内容目录1. 测评概述2. 测评实施工作流程3. 测评实施主要内容4. 等级测评工作要求5. 等级测评项目管理93开展等级测评的主要工作要求o依据标准,遵循原则o恰当选取,保证强度o规范行为,规避风险过程规范行为规范 94测评机构能力o机构资质o技术能力o质量管理体系95测评机构职责o保证测评结果公正;o制定内部保密制度,保证单位各类人员履行保密职责;o指定专人负责保管等级测评的归档文件,负责文件的借阅登记。96行为规范-测评人员o不得伪造测评记录; o不得泄露信息系统信息;o不得收受贿赂;o不得暗示被测评单位,如果提供某种利益就可以修改测评结果。97行为规范-

33、测评工作现场o遵从被测评信息系统的机房管理制度;o使用测评专用的电脑和工具,并由有资格的测评人员使用;o不该看的不看,不该问的不问;o不得将测评结果复制给非测评人员;o不即时擅自评价测评结果。 98等级测评存在的风险及规避措施o风险规避可能的风险风险控制措施99风险规避措施o签署一些文件 o风险告知o制定应急预案o避免误操作o严格质量管理o避开业务高峰期o数据备份o全程监督o还原测评现场o沟通与交流100内容目录1. 测评概述2. 测评实施工作流程3. 测评实施主要内容4. 等级测评工作要求5. 等级测评项目管理101等级测评项目管理活动等级测评项目管理活动102测评准备活动管理o确定项目用途

34、o明确项目目标o授权项目负责人o制定项目计划书o开展保密意识教育103方案编制活动管理o制定项目管理计划o制定任务书o组织编制测评方案和测评指导书o组织评审测评方案104现场测评活动管理o按照项目管理计划实施活动,完成任务o每周召开项目例会,并保留会议记录。o按照项目实施进度填写测评任务流程卡。o每个工作阶段产生要求的工作成果o等等105项目监督检查管理o测评人员资质、能力监督o测评人员行为规范性监督o信息收集资料完备性监督o测评方案完整性监督o评审人员行为规范性监督o测评指导书完备性监督106项目监督检查管理(续)o项目组工作流程监督o项目范围、进度监督o测评原始记录规范性监督o保密情况监督o测评报告内容准确性监督o等等107报告编制活动管理o组织编制及评审测评报告o测评报告提交o资料和过程文档归档o项目组成员资料清理、销毁o经验教训总结108课程小结o标准定位和框架结构o等级测评实施工作流程o等级测评实施活动及任务四个活动(测评准备、方案编制、现场测评、报告编制)十八项任务109课程小结(续)o测评实施过程文档结构及内容项目计划书测评方案测评报告 110课程小结(续)o测评工作要求开展等级测评的主要工作要求(3条)机构职责人员行为规范风险(2类)及规避措施(10方面)o等级测评项目管理项目计划书、项目管理计划、任务书、项目总结报告111 111信息安全等级保护培训结束结束

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号