信息系统等级保护测评项目策划项目策划计划书.doc

PAGE / NUMPAGES 文档编号：zzzzzz xxxxxxxxxx 信息系统等级爱护测评项目 项目打算书 授 权 方：xxxxxxxxxx 被授权方：rrrrrr 编制日期：2016年2月29日 目 录 TOC \o 1-3 \h \z \u 1. 概述 1 1.1 项目背景 1 1.2 项目目的 1 1.3 工作依据 2 2. 技术思路和工作内容 3 2.1 技术思路 3 2.1.1 测评指标 3 2.1.2 测评对象选择方法 7 2.1.3 测评方法 8 2.2 工作范围内容 8 3. 项目实施方案 10 3.1 项目实施过程 10 3.2 时期工作产品 11 4. 项目组织方案 13 4.1 项目组织结构 13 4.2 人员构成和职责 14 4.3 项目实施打算 14 5. 项目质量治理和操纵 15 5.1 过程质量操纵治理 16 5.1.1 过程质量治理风险 16 5.1.2 过程质量风险操纵 17 5.2 变更操纵治理 24 5.2.1 变更治理存在的风险 24 5.2.2 变更治理操纵方法 24 5.3 项目风险治理 25 5.3.1 项目进度风险的治理 25 5.3.2 项目协作与沟通风险的治理 27 5.3.3 测评工作引入风险的治理 29 5.4 保密操纵治理 31 5.4.1 人员保密治理 31 5.4.2 设备保密治理 32 5.4.3 文档保密治理 32 6. 签字确认 33 概述 项目背景 依照《中华人民共和国计算机信息系统安全爱护条例》、《信息安全技术 信息系统安全等级爱护测评要求》、《信息安全技术 信息系统安全等级爱护差不多要求》、《信息安全技术 信息安全等级爱护治理规定》等一系列国家及信息安全技术 针对信息系统等级爱护颁布的政策法规及文件要求，定级为等级爱护二级的信息系统应该每年至少进行一次等级测评。目前xxxxxxxxxx信息系统尚未进行过等级爱护专业测评。为进一步加强xxxxxxxxxx信息系统等级爱护工作，按照《信息安全技术 信息安全等级爱护治理规定》相关规定，打算对xxxxxxxxxx重要的信息系统进行等级爱护专业测评。 依据《信息安全等级爱护治理方法》（公通字[2007]43号）的相关要求，也为了持续有效提高信息系统的安全防护能力，受xxxxxxxxxx托付我中心打算与2016年2月29日起对xxxxxxxxxx信息系统实施信息安全等级测评工作，以期通过此次测评发觉系统现有安全防护措施的薄弱环节，为下一步的信息系统安全建设整改提供可靠依据，以有效提高xxxxxxxxxx信息系统的安全运行能力。 项目目的 通过对xxxxxxxxxx开展安全测评工作，能够全面、完整地了解当前xxxxxxxxxx的安全状况，分析系统所面临的各种风险。依照测评结果发觉系统存在的安全问题，并对严峻的问题提出相应的风险操纵策略，并为下一步进行整个系统的信息系统安全建设做前期预备。 对信息系统进行安全等级测评是国家推行等级爱护制度的一个重要环节，也是对信息系统进行安全建设和治理的重要组成部分。通过对xxxxxxxxxx实施等级测评能够发觉信息系统的安全现状与需要达到的安全等级或目标的差异，能够在技术和治理方面进行有针对性的加强和完善，使xxxxxxxxxx安全工作有的放矢。 xxxxxxxxxx可依据等级测评结果，并结合单位的实际情况，区分轻重缓急，制定针对性的安全整改建议，通过安全整改不断提高信息系统的整体安全爱护水平。 工作依据 《计算机信息系统安全爱护等级划分准则》（GB17859-1999） 《信息安全技术 信息系统安全等级爱护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级爱护差不多要求》（GB/T 22239-2008） 《信息安全技术 信息系统安全等级爱护差不多要求》 《信息安全技术 信息系统安全等级爱护测评要求》（GB/T 28448-2012） 《信息安全技术 信息系统安全等级爱护测评过程指南》（GB/T 28449-2012） 《信息安全技术 信息系统安全等级爱护实施指南》（GB/T 25058-2010） 《信息安全技术?信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术?网络基础安全技术要求》（GB/T20270-2006） 《信息安全技术?操作系统安全技术要求》（GB/T20272-2006） 《信息安全技术?数据库治理系统安全技术要求》（GB/T20273-2006） 《信息安全技术?服务器技术要求》（GB/T21028