文档编号：信息系统等级保护测评项目项目计划书授权方：被授权方：编制日期：2016年2月29日目录1.概述 .................................................................................................................. 错误!未指定书签。

1.1项目背景 .............................................................................................. 错误!未指定书签。

1.2项目目的 .............................................................................................. 错误!未指定书签。

1.3工作依据 .............................................................................................. 错误!未指定书签。

2.技术思路和工作内容 ...................................................................................... 错误!未指定书签。

2.1技术思路 .............................................................................................. 错误!未指定书签。

2.1.1测评指标 .................................................................................. 错误!未指定书签。

2.1.2测评对象选择方法 .................................................................. 错误!未指定书签。

2.1.3测评方法 .................................................................................. 错误!未指定书签。

2.2工作范围内容 ...................................................................................... 错误!未指定书签。

3.项目实施方案 .................................................................................................. 错误!未指定书签。

3.1项目实施过程 ...................................................................................... 错误!未指定书签。

3.2阶段工作产品 ...................................................................................... 错误!未指定书签。

4.项目组织方案 .................................................................................................. 错误!未指定书签。

4.1项目组织结构 ...................................................................................... 错误!未指定书签。

4.2人员构成和职责 .................................................................................. 错误!未指定书签。

4.3项目实施计划 ...................................................................................... 错误!未指定书签。

5.项目质量管理和控制 ...................................................................................... 错误!未指定书签。

5.1过程质量控制管理 .............................................................................. 错误!未指定书签。

5.1.1过程质量管理风险 .................................................................. 错误!未指定书签。

5.1.2过程质量风险控制 .................................................................. 错误!未指定书签。

5.2变更控制管理 ...................................................................................... 错误!未指定书签。

5.2.1变更管理存在的风险 .............................................................. 错误!未指定书签。

5.2.2变更管理控制方法 .................................................................. 错误!未指定书签。

5.3项目风险管理 ...................................................................................... 错误!未指定书签。

5.3.1项目进度风险的管理 .............................................................. 错误!未指定书签。

5.3.2项目协作与沟通风险的管理 .................................................. 错误!未指定书签。

5.3.3测评工作引入风险的管理 ...................................................... 错误!未指定书签。

5.4保密控制管理 ...................................................................................... 错误!未指定书签。

5.4.1人员保密管理 .......................................................................... 错误!未指定书签。

5.4.2设备保密管理 .......................................................................... 错误!未指定书签。

5.4.3文档保密管理 .......................................................................... 错误!未指定书签。

6.签字确认 .......................................................................................................... 错误!未指定书签。

1. 概述1.1 项目背景根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护测评要求》、《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息安全等级保护管理规定》等一系列国家及信息安全技术针对信息系统等级保护颁布的政策法规及文件要求，定级为等级保护二级的信息系统应该每年至少进行一次等级测评。

目前信息系统尚未进行过等级保护专业测评。

为进一步加强信息系统等级保护工作，按照《信息安全技术信息安全等级保护管理规定》相关规定，计划对重要的信息系统进行等级保护专业测评。

依据《信息安全等级保护管理办法》（公通字[2007]43号）的相关要求，也为了持续有效提高信息系统的安全防护能力，受委托我中心计划与2016年2月29日起对信息系统实施信息安全等级测评工作，以期通过此次测评发现系统现有安全防护措施的薄弱环节，为下一步的信息系统安全建设整改提供可靠依据，以有效提高信息系统的安全运行能力。

1.2 项目目的通过对开展安全测评工作，可以全面、完整地了解当前的安全状况，分析系统所面临的各种风险。

根据测评结果发现系统存在的安全问题，并对严重的问题提出相应的风险控制策略，并为下一步进行整个系统的信息系统安全建设做前期准备。

对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。

通过对实施等级测评可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，可以在技术和管理方面进行有针对性的加强和完善，使安全工作有的放矢。

可依据等级测评结果，并结合单位的实际情况，区分轻重缓急，制定针对性的安全整改建议，通过安全整改不断提高信息系统的整体安全保护水平。

1.3 工作依据➢《计算机信息系统安全保护等级划分准则》（17859-1999）➢《信息安全技术信息系统安全等级保护定级指南》（22240-2008）➢《信息安全技术信息系统安全等级保护基本要求》（22239-2008）➢《信息安全技术信息系统安全等级保护基本要求》➢《信息安全技术信息系统安全等级保护测评要求》（28448-2012）➢《信息安全技术信息系统安全等级保护测评过程指南》（28449-2012）➢《信息安全技术信息系统安全等级保护实施指南》（25058-2010）➢《信息安全技术信息系统通用安全技术要求》（20271-2006）➢《信息安全技术网络基础安全技术要求》（20270-2006）➢《信息安全技术操作系统安全技术要求》（20272-2006）➢《信息安全技术数据库管理系统安全技术要求》（20273-2006）➢《信息安全技术服务器技术要求》（21028-2007）➢《信息安全技术终端计算机系统安全等级技术要求》（671-2006）➢《信息安全风险评估规范》（ 20984-2007）2. 技术思路和工作内容2.1 技术思路2.1.1 测评指标测评指标暂定选取《信息安全技术信息系统安全等级保护基本要求》中2级系统基本要求指标，包括《信息安全技术信息系统安全等级保护基本要求》7.1节“技术要求”中的2级通用指标类(G2)，2级业务信息安全性指标类(S2)，和2级业务服务保证类(A2)，以及7.2节“管理要求”中的所有要求，安全控制指标如下表：2.1.2 测评对象选择方法测评对象的确定采用抽查的方法，即：抽查信息系统中具有代表性的组件作为测评对象。