最新信息安全等级保护项目实施计划书.docxVIP

专业资料 专业资料 文档编号： zzzzzz xxxxxxxxxx信息系统等级保护测评项目 项目计划书 授 权 ：xxxxxxxxxx 被授权： rrrrrr 编制日期： 2016 年 2 月 29 日 目录 TOC \o 1-5 \h \z \o Current Document 概述 1 \o Current Document 项目背景 1 \o Current Document 项目目的 1 \o Current Document 工作依据 2 技术思路和工作容 4 技术思路 4 测评指标 4 测评对象选择法 8 \o Current Document 测评法 9 \o Current Document 工作围容 10 \o Current Document 项目实施案 12 \o Current Document 项目实施过程 12 \o Current Document 阶段工作产品 13 \o Current Document 项目组织案 15 \o Current Document 项目组织结构 15 \o Current Document 人员构成和职责 16 \o Current Document 项目实施计划 17 \o Current Document 项目质量管理和控制 17 \o Current Document 过程质量控制管理 19 过程质量管理风险 19 过程质量风险控制 20 \o Current Document 变更控制管理 30 变更管理存在的风险 30 变更管理控制法 30 \o Current Document 项目风险管理 31 项目进度风险的管理 31 项目协作与沟通风险的管理 33 测评工作引入风险的管理 36 \o Current Document 5.4 保密控制管理 39 人员保密管理 39 设备保密管理 40 文档保密管理 40 \o Current Document 签字确认 41 1. 概述 项目背景 根据《中华人民国计算机信息系统安全保护条例》 、《信息安全技术 信息系统安 全等级保护测评要求》 、《信息安全技术 信息系统安全等级保护基本要求》 、《信息安 全技术 信息安全等级保护管理规定》等一系列及信息安全技术 针对信息系统等级 保护颁布的政策法规及文件要求，定级为等级保护二级的信息系统应该每年至少进 行一次等级测评。 目前 xxxxxxxxxx 信息系统尚未进行过等级保护专业测评。 为进一 步加强 xxxxxxxxxx 信息系统等级保护工作，按照《信息安全技术 信息安全等级保 护管理规定》相关规定，计划对 xxxxxxxxxx 重要的信息系统进行等级保护专业测评。 依据《信息安全等级保护管理办法》 （公通字 [2007]43 号）的相关要求，也为 了持续有效提高信息系统的安全防护能力，受 xxxxxxxxxx 委托我中心计划与 2016 年 2 月 29 日起对 xxxxxxxxxx 信息系统实施信息安全等级测评工作， 以期通过此次 测评发现系统现有安全防护措施的薄弱环节，为下一步的信息系统安全建设整改提 供可靠依据，以有效提高 xxxxxxxxxx 信息系统的安全运行能力。 项目目的 通过对 xxxxxxxxxx 开展安全测评工作， 可以全面、完整地了解当前 xxxxxxxxxx 的安全状况， 分析系统所面临的各种风险。 根据测评结果发现系统存在的安全问题， 并对重的问题提出相应的风险控制策略，并为下一步进行整个系统的信息系统安全 建设做前期准备。 对信息系统进行安全等级测评是推行等级保护制度的一个重要环节，也是对信 息系统进行安全建设和管理的重要组成部分。 通过对 xxxxxxxxxx 实施等级测评可以 发现信息系统的安全现状与需要达到的安全等级或目标的差异，可以在技术和管理 面进行有针对性的加强和完善，使 xxxxxxxxxx 安全工作有的放矢。 xxxxxxxxxx 可依据等级测评结果，并结合单位的实际情况，区分轻重缓急，制 定针对性的安全整改建议，通过安全整改不断提高信息系统的整体安全保护水平。 工作依据 计算机信息系统安全保护等级划分准则》( GB17859-1999 ) 信息安全技术 信息系统安全等级保护定级指南》( GB/T 22240-2008 ) 信息安全技术 信息系统安全等级保护基本要求》( GB/T 22239-2008 ) 信息安全技术 信息系统安全等级保护基本要求》 信息安全技术 信息系统安全等级保护测评要求》( GB/T 2