某集团风险评估项目技术建议书.docx

《某集团风险评估项目技术建议书.docx》由会员分享，可在线阅读，更多相关《某集团风险评估项目技术建议书.docx（17页珍藏版）》请在优知文库上搜索。

1、XXXX集团风险评估相关项目技术建议书二。一四年八月目录第1章相关项目合适的方案设计1 I.设计目标11.2. 设计原则11.3. 设计依据21.3.1. 政策依据.21.3.2. 标准依据.31.4. 方法模型31.4.1. 风险关系模型.31.4.2. 风险分柝方法模型.51.5. 工具方法61.5.1. 风险评牯采网方法.61.5.2. 风险评估使用工具6第2章相关项目实施流程2.1. 阶段1：相关项目启动阶段82.1.1. 阶段目标.S2.1.2. 阶段步舞.82.1.3. 阶段输出.92.1. 阶段2：资产评估阶段92. 1.1.阶段目标.93. 1.2.阶段步殊.94. i.3,曲

2、段方法.IO5. 1.4.阶段检出t2.2. 阶段3：威防评估Il2.2.1. 阶段目标.Ii2.2.2. 阶段步姿.H2.2.4. 阶段输出.122.3. 阶段*脆弱性评估122.3.1. 阶段月标.122.3.2. 1.i有安全拾舱演别.172.3.4. 阶段输出.172.4. 阶段5：风险徐合分析182.4.1. 阶段目标.292.4.2. 阶段步舞.302.4.3. 阶段够出.322.5. 阶段6；风险处置棚关计划332.6. 阶段7：相关项目交付332.6.1. 成装交沟.332.6.2. 相关项目脸收.34第3相关项目管理管控353.1. 组织管理管控3532一管理管控363.1.

3、1. 范围定义.363.1.2. 越憎变更控制.363.3. 进度管理管控383.4. 风险管理管控383.5. 质管理管控383.5.1. 相关项目实施负责人潢量控胭.383.5.2. 相关项日姓理顺斌控聘.393.5.3. 侦献管理途控质最控斛.393.6. 沟通管理管控393.6.1. 协调沟通网胱基本准弼.39第1章相关项目合适的方案设计1.1. 设计目标本次风险评估的安全服务相关项目主要目标是： 通过风险评估，得到XXXX集团的整体安全现状； 通过资产评估，得到XXXX集团的网络信息安全资产状况，并录入资产库，进行资产梳理： 通过威胁评估，得到XXXX集团存在的安全威胁情况：通过脆弱

4、性评估，得到XXXX集团当前业务系统存在的脆弱性：令对各个业务系统进行综合风险分析，得到风险情况，提出分系统的安全解决合适的方案：令提出各个系统的风险处置解决合适的方案。1.2. 设计原则1.标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2 .可控性原则在相关项目建设与实施过程中，应保证参与实施的人员、使用的技术和工具、过程都是可控的.3 .完整性原则相关项目合适的方案要充分考虑相关项目所仃环节，做到统筹兼顾，细节清楚。4 .最小影响原则相关项目的所有阶段，保证相关项目实施过程工作对系统正常运行的可能影响降低到最低限度，不会对客户R前的业务系统运行造成明显的影响。5 .保密原则相关项

5、目的所有阶段，将严格遵循保密原则，服务过程中涉及到的任何用户编号：通知？(发改高技(2008)20719),明确“加强和规范国家电子政务工程建设相关项目信息安全风险评砧工作工1.3.2.标准依据表格2相关标准标准类型套考标准国际标准 ISOl5-108信息技术安全评估准则 IS0IECTR13335信息和通信技术安全管理管控 IS0/TR13569银行和相关金融服务信息安全指南 1S0/IEC27000信息安全管理管控体系系列标准 SNZS4360风险管理管控 MSTSP80030IT系统风险管理管捽指南国内标准 GB17859计算机信息系统安全保护等级划分准则 GBT209&1信息安全风险评

6、估规范 GBT22239信息安全技术信息系统安全等级保护基本要求 GBZ20985信息技术安全技术信息安全力件管理管控指南 GBZ20986信息安全技术信息安全事件分类分级指南 GB/T22239-2008信息安全技术信息系统安全等级保护基本婆求 GB/T222402008倍思安全技术信息系统安全保护等级定级指南各忸做成行业内相关襄求1.4.方法模型本合适的方案中提供的风险评估与管理管控模型参考了多个国际风险评估标准，建立安全风险关系模型和安全风险分析方法模型。1.4.1.风险关系模型风险关系模型从安全风险的所有要素：资产、影响、威胁、弱点、安全控制、缰号:安全需求、安全风险等方面形彖地描述的

7、他们各自之间的关系和影响，风险关系模型如下图所示。S1风龄关系模型图在上述关系图中：资产指组织要保护的资产，是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值.它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人抗及知识等等。弱点是物理布局、组织、规程、人员、管理管控、硬件、软件或信息中存在的缺陷与不足，它们不直接对资产造成危害，但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。成胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击，例如非授权的泄、篡

8、改、删除等，在机密性、完挖性或可用性等方面造成损杏；威胁也可能源于偶发的、或蓄意的事件。一股来说，威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。编号.3增加片缩4增加减缩5增加减缩3.3. 进度管理管控通过制定相关项目整体工作相关计划、双周工作相关计划并落实持续有效的进度监控机制,及时掌握相关项目进度状态及趋势，发现重大进度问题，为相关项目决策和协调提供支持。3.4. 风险管理管控通过有效的风险管理管控机制和方法，对那些尚未发生、但可能对相关项目实施产生负面效果的、不可

9、控的相关项目活动或环境进行识别、分析、量化、管理管控，尽可能降低风险发生的机率以及发生后可能产生的影响。3.5. 质量管理管控启明星辰直以质限为安全服务的核心。在整个相关项目的实施过程中，我们将采用全面控制的方法保证整个相关项目的质地。3.5.1. 相关项目实施负责人质量控制启明服务相关项目实施负责人在相关项目中不但要负责技术合适的方案的制定、技术方向的把握和技术向逐的解决，同时也是相关项目质量控制的第一层把关者“他将按照相关项目验收标准每周对相关项目实施的工程师提交的工作日志进行批阅，并聘之与实际相关项H执行情况进行比对。如果出现质量不符合要编号.求的情况，技术负货人有货任予以指出并督促相关

10、项目实施工程师予以修正。3.5.2. 相关项目经理质量控制相关项目经理将会同实施负贡人在相关项目过程中以周为时间单位进行相关项目实施质量:的检查。并将相关项目实施防量情况记录进工作报告中作为实施工程师作业绩考评的依据。一旦发现相关项目实施中存在质量问题，相关项目经理将通知实施负亢人监督相关项目实施工程新进行整改。3.5.3. 质量管理管控质量控制质量管理管控是独立的质量控制小组。在相关项目实施的过程中，相关项目组将针对该相关项目成立质量控制小组，到用户相关顼目实施现场进行质量检险,并将检验的结果同工程师的工作业绩考评联系起来。当出现严丞质量问题时，质量控制小组有权向专业服务部提Hl建议，对相关

11、相关项目人员进行处罚。3.6. 沟通管理管控采用正规的相关项目沟通程序，保证参与相关项目的各方能够保持对相关项目的r解和支持.这些管理管控和沟通措施将对相关项目过程的痂址和结果的质量具有重要的作用，并且是保障相关项目顺利实施的重要手段。3.6.1. 协调沟通机制基本准则/相关项目经理是双方正式信息传达的唯一联系点。,相关项目组成员、相关项目小组之间保持顺畅、友好的沟通.以提高整个相关项目组的效率.,相关项目经理负声协调双方人员、内部人员发生的矛盾。,通过文档服务器提供相关项目组的文件交互渠道。/通过面对面交流、电话、email、会议等多种手段确保持续有效的沟通;编号./所有的沟通方式必须有相应

12、的反馈机制，以确保信息及时准确地被接收者收到。3.6.2. 沟通相关计划为合理安排沟通协调的相关活动.提高沟通的效率，需要制定明确的沟通管理管控相关汁划，明确满足不同需求的所应采用的沟通方式和安排，本相关项目建议的相关项目沟通相关计划如卜.表所示：表格9相关项目管理管控表沟通渠道沟遢佶息与合适的内沟IM率沟通对象沟Ml负责人相关项目管理管拄定期会议针对相关项目相关计划执行情况、出现的问期以及需要协调的步项进行讨论，并确定卜一步的工作安排年周/每月相关项目组成员相关项目经理相关项目管理管拄内部会议针对相关项目过程中涉及的专项事宜进行讨论根据相关项目需要安排相关项目相关人员发起人相关项目阶段汇报汇

13、报相关项目阶段性成果相关项目阶段性里程碑制层领导相关项目经理相关项目周报发布相关项目相关进展信息/文献及经脸分亨每两周所有相关项目相关人员相关项目经理日常电子部件传达相关项目相关活动讯息/日常沟通交流随时所有相关项目相关人员相关项目组成员书面提交向客户提交交付成果及相关文档、信息等根据相关项目需要安排客户管理管控人员相关项目小组组长/相关项目羟理为确保沟通的效果,在采取不同沟通渠道进行沟通交流的同时，应建立仃效的实时的反馈机制，对正式的沟通都应形成书面成果（如会议纪要、文件提交表等），并需要各参与方的签字认可，对于需要对方做出应答的，应确定时间期限，以保障沟通合适的内容在日后工作中的落实情况进

14、行反饿，编号.3.7. 会议管理管控相关项目管理管控定期会议主要是相关项目周例会和月例会，即根据约定的时间每周末或月末由相关项目组定期召开，主耍由双方相关项目经理、各小组负责人和需要的小组成员参加，全点针对相关项目相关计划执行情况、出现的问物以及需要协调的事项进行讨论，并确定下步的工作安排。些关键的月例会可邀请相关项目总监以及相关项目指导委员会成m参见，听取相关项目组汇报并给出指示。例会的结果将形成纪要，并由相关项目经理监督其中相关措施的执行。相关项目例会是相关项目管理管控和控制的基本手段。3.8. 文档管理管控在相关项目过程中会产生数量众多的各种类型文档.为了确保相关项目内文档传递的顺畅、信息沟通的便挽，在实施过程中必须遵循一定的文档管理管控规范，具体合适的内容如H根据文档目标和合适的内容的不同进行文档分类，主要包括以下几类：/规范指导文档：由相关项目组制定的、对整个相关项目的进行起规范约束作用的管理管控文档,是相关项目成员必须遵守的：,正式交付品：根据工作范围说明书约定而产生的正式交付文档，是提交给客户并需要其签收的：,相关项目跟踪文档：在相关项目进行中所产生的与时间进度为着密切关系的文档，用于相关项目管理管控及内部的沟通交流，主要包括相关项目管理管控产生的相关的文档和表单（如相关项目相关计划、周报、文档登记表等）：/工作文档：各相关项