信息安全等级保护测评项目管理方法.docx

信息安全等级保护测评项目管理方法 一、项目组织计划 根据我方在多个大型安全服务工程项目实施中总结的实践经验，为保证整个工程的顺利实施,建议将系统实施的组织机构进行如下划分： 项目管理层 主要由我方和贵方高层管理人员组成，他们主要完成整个评估测评过程的规划，管理和控制整个测评项目的实施过程和进度； 项目实施层 主要由本中心的中层技术管理人员（部门经理）和技术实施人员（技术文档编写部、项目实施部、风险评估部）完成评估计划，评估方案，现场测评等过程；用户应派技术人员参与项目实施。 二、项目成员组成与职责划分 部门 职位 相关资格 主要工作任务 技术服务部门 组长 网络安全专家 工作分配、检查、进度控 制，文件审核 负责技术评估测评工作， 技术服务部门 技术评估测评员 技术安全工程师 完成相关等级保护评估测 评工作的技术文档的编写 工作。 负责管理评估测评工作， 技术服务部门 管理评估测评员 管理安全工程师 完成相关等级保护评估测 评工作的管理文档的编写 工作。 三、项目沟通 在本项目中，将采用一些正规的项目沟通程序，保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。主要有以下几种方式： 3.1 日常沟通，记录和备忘录 鼓励项目参加各方在项目进行过程中随时对相关问题进行沟通。所有重要 的、有主题的日常沟通活动都应留下记录或形成备忘录。日常沟通的主要渠道包 括： 非正式会议 电话 电子邮件 传真等。 3.2 报告 各种报告是项目各方互相沟通的最正式的渠道和证据。一些必备的项目报告包括： 项目计划和进展报告 项目总结报告 以及在各个阶段输出的项目成果文本等 3.3 正式会议 会议是项目管理活动的重要形式，是项目各方进行正式沟通的渠道。 3.3.1 周例会 为确保项目正常进行，双方项目经理每 1 周举行一次项目例会，汇报项目进 展状况、出现的问题和本周的工作计划。 参加人员主要是双方的项目经理或项目执行经理，可以根据情况邀请其他项 目成员参加。会议可以是正式的面对面会议，也可以是电话会议、网络会议等形式。此例会每周召开一次，主要内容： 项目完成情况汇报，每日主要工作成果汇报 存在的问题及解决办法分析 本周的工作计划 对可能的配置管理和变更控制签署相应的文件 3.3.2 项目评审会议 在每个项目阶段结束时，都会召开一个正式的项目阶段评审会议。该会议对前一个阶段进行总结和评审，对下一个阶段进行计划确认和沟通。 参加人员是双方的项目经理或项目执行经理，以及项目的关键成员。会议是正式的面对面会议。主要内容： 项目完成情况汇报 阶段工作成果评审 存在的问题及解决办法分析 对可能的配置管理和变更控制签署相应的文件 项目下一阶段的工作计划评审 在项目的后期，会安排项目的各方参加对整个项目的成果和过程的评审工作。建议此评审工作聘请第三方机构介入。 3.3.3 质量保证 3.3.3.1 项目管理方法学 根据项目的具体需要，本项目的整个管理过程将参考美国项目管理协会 PMI 提出的项目管理方法学，以及一些顾问管理规范实施。通过规范化的项目管理，保证项目进程的质量。 3.3.3.2 配置管理 在项目进程中的项目组将维护一个项目文档输出的 BASELINE。所有的文档 的版本修改和更新将在配置管理的版本控制和变更控制之下，并将所有文档的最 新版本维护在 BASELINE 中。 3.3.3.3 变更控制管理 不受控制的项目变更，包括目标变更、范围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。在项目中，将围绕工程实施计划的维护为核心，对工程实施计划及其衍生文档进行正规的变更控制管理。 3.3.3.4 参考的信息安全标准和规范 为了保证本项目实施的质量，本项目将参考一些国际上最新的信息安全标准 和最新的研究成果，如： ISO15408 / CC2.1 ISO17799 / BS7799 SSE CMM RFC2196 等。