<客戶名稱>安全巡檢服務(wù)項目建議書XXX網(wǎng)絡(luò)安全技術(shù)有限公司XXXX年X月X日

目錄TOC\o"1-4"\u引言 41<客戶名稱>安全巡檢服務(wù)需求分析 41.1信息化安全的重要性顯著提高 41.2安全的相對性和動態(tài)性，要求組織不斷的關(guān)注組織的安全狀況 41.3新技術(shù)新產(chǎn)品要求組織投入眾多的成本 51.4客戶需要從繁瑣的安全事務(wù)中解脫出來，更加關(guān)注業(yè)務(wù) 52<客戶名稱>安全巡檢服務(wù)項目范圍及目標 52.1項目目標 52.2項目范圍 62.3項目內(nèi)容 63<客戶名稱>安全巡檢服務(wù)方案設(shè)計 73.1項目設(shè)計概述 73.2項目設(shè)計原則 93.2.1經(jīng)濟性原則 93.2.2安全性、可靠性原則 103.2.3機動性、靈活性原則 103.2.4高效性原則 103.2.5突出重點、業(yè)務(wù)主導(dǎo)原則 103.3項目設(shè)計模型 103.4項目體系結(jié)構(gòu) 113.5項目體系特點 123.5.1體系規(guī)格 123.5.2體系事宜 123.5.3體系特色 124<客戶名稱>安全巡檢服務(wù)項目實施 134.1項目實施階段 134.1.1階段一：項目啟動準備階段 134.1.1.1階段目標 134.1.1.2階段任務(wù) 134.1.1.3階段步驟 134.1.2階段二：巡檢服務(wù)實施階段 144.1.2.1階段目標 144.1.2.2階段任務(wù) 144.1.2.3階段步驟 144.1.3階段三：報告建議階段 144.1.3.1階段目標 144.1.3.2階段任務(wù) 154.1.3.3階段步驟 155項目總結(jié)及驗收 156知識轉(zhuǎn)移 157項目管理 167.1項目組織管理 177.1.1組織結(jié)構(gòu) 177.1.2角色職責(zé) 187.1.2.1項目領(lǐng)導(dǎo)小組 187.1.2.2項目管理小組 187.1.2.3XXX客戶經(jīng)理 187.1.2.4項目實施人員 187.1.2.5技術(shù)支持人員 197.2項目風(fēng)險管理 197.3項目變更管理 197.4項目質(zhì)量管理 20

引言根據(jù)前期對客戶情況的了解，參考信息資產(chǎn)調(diào)研報告，描述客戶的實際情況，包括企業(yè)簡介，簡單安全狀況，企業(yè)規(guī)模，初步的需求等內(nèi)容。此部分內(nèi)容需要根據(jù)客戶的實際情況進行描述。XX客戶（以下簡稱：XX），描述客戶企業(yè)的性質(zhì)、所屬行業(yè)、規(guī)模大小等等。近年來，隨著公司業(yè)務(wù)的快速發(fā)展和信息化建設(shè)的逐步深入，公司的業(yè)務(wù)活動對信息系統(tǒng)的依賴性越來越大，對網(wǎng)絡(luò)和信息系統(tǒng)的安全性、可靠性的要求也日益增強。然而，隨著網(wǎng)絡(luò)規(guī)模越來越大、應(yīng)用信息系統(tǒng)的復(fù)雜度不斷增加，信息系統(tǒng)的漏洞被發(fā)現(xiàn)的越來越多，隨著黑客工具和技術(shù)變得泛濫，漏洞被利用的可能性越來越大，一旦發(fā)生安全事件，將對公司重要的數(shù)據(jù)造成損害，給企業(yè)的帶來巨大的經(jīng)濟損失和業(yè)務(wù)影響。XXX公司（以下簡稱：XXX）接受XX企業(yè)的委托，負責(zé)承擔本次安全巡檢服務(wù)工作任務(wù)。目的是對企業(yè)核心業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、安全設(shè)備、重要主機、特定日志等對象進行定期的安全巡檢，并對發(fā)現(xiàn)的問題提出安全建議和改進方案。1<客戶名稱>安全巡檢服務(wù)需求分析1.1信息化安全的重要性顯著提高隨著全球信息化水平的不斷提高，網(wǎng)絡(luò)與信息安全的重要性日趨增強。當前網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)已成為支撐國家安全、政治穩(wěn)定、經(jīng)濟發(fā)展、社會生活、健康文化等方方面面生存性以及保障性的關(guān)鍵產(chǎn)業(yè)。網(wǎng)絡(luò)與信息安全可能會影響個人的工作、生活；影響企業(yè)的經(jīng)營狀況、收入；甚至?xí)绊憞医?jīng)濟發(fā)展、社會穩(wěn)定、國防安全。因此，網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)現(xiàn)已在整個產(chǎn)業(yè)布局乃至國家戰(zhàn)略格局中具有舉足輕重的地位和作用。因此，我們需要采用PDCA的過程方法，不斷保持和改進信息安全。1.2安全的相對性和動態(tài)性，要求組織不斷的關(guān)注組織的安全狀況安全是相對的、動態(tài)的，受時間或周期、環(huán)境、范圍的影響。信息安全建設(shè)是一個龐雜且動態(tài)變化的系統(tǒng)工程，任何系統(tǒng)的安全性均具有時間局限性，只能確保在某一個階段是相對安全的，隨著軟件升級，系統(tǒng)更新、安全策略變更以及黑客攻擊手段的變化，新的安全隱患和漏洞會陸續(xù)出現(xiàn)，系統(tǒng)將面臨新的安全問題，因此，需要不斷的監(jiān)控業(yè)務(wù)信息安全的整體狀況。1.3新技術(shù)新產(chǎn)品要求組織投入眾多的成本信息化系統(tǒng)日趨復(fù)雜，維護成本不斷提高，新技術(shù)、新產(chǎn)品層出不窮，客戶僅憑借培訓(xùn)內(nèi)部的技術(shù)人員已不能完全滿足系統(tǒng)維護的需求。另外，在專業(yè)安全人才相對稀缺的現(xiàn)狀下，雇傭以及留住專業(yè)安全人才將變得越來越困難。解決信息安全問題，除了依賴廠商及內(nèi)部人員，還應(yīng)重視安全服務(wù)的重要作用。1.4客戶需要從繁瑣的安全事務(wù)中解脫出來，更加關(guān)注業(yè)務(wù)客戶自己需要更加的專注于業(yè)務(wù)，為其自身的客戶提供專業(yè)的業(yè)務(wù)服務(wù)，屬于業(yè)務(wù)領(lǐng)域的專家。但是，客戶已經(jīng)意識到安全對于業(yè)務(wù)的重要性，深深認識到安全是為業(yè)務(wù)服務(wù)的，如果缺乏了安全保障，業(yè)務(wù)的連續(xù)性、可靠性、可用性將受到嚴重的威脅，因此，為了能夠?qū)Ｗ⒂跇I(yè)務(wù)服務(wù)，更好的實現(xiàn)企業(yè)經(jīng)營目標的經(jīng)濟活動，客戶必須選擇專業(yè)的安全服務(wù)外包企業(yè)，將自己從繁雜的信息安全事務(wù)中抽身出來。2<客戶名稱>安全巡檢服務(wù)項目范圍及目標2.1項目目標本次對<客戶名稱>實施安全巡檢服務(wù)的主要目標有：通過信息收集，獲得<客戶名稱>要求的巡檢范圍及關(guān)鍵對象。通過漏洞掃描，獲得<客戶名稱>的特定對象的漏洞及脆弱性。定期分析關(guān)鍵系統(tǒng)日志內(nèi)容，及時發(fā)現(xiàn)問題，做到防患于未然。通過策略檢查，確保<客戶名稱>的服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的策略的合理性和有效性。整理漏洞掃描、日志審計、策略檢查的結(jié)果，分析結(jié)果，形成報告，并提出改進建議。2.2項目范圍本部分具體內(nèi)容需要項目開展實施后，結(jié)合甲方信息系統(tǒng)的實際情況進行確定。實施范圍等參見服務(wù)實施范圍表：巡檢對象標識巡檢對象巡檢對象描述責(zé)任人巡檢服務(wù)選擇服務(wù)頻率2.3項目內(nèi)容本項目內(nèi)容主要包括：漏洞掃描運用當前市場的成熟的專業(yè)的產(chǎn)品，同時根據(jù)XXX安全服務(wù)團隊經(jīng)驗，對巡檢服務(wù)范圍內(nèi)的主機、數(shù)據(jù)庫、網(wǎng)站系統(tǒng)進行定期的掃描，檢查當前IT環(huán)境中存在的安全漏洞，并提供整改建議，讓客戶對現(xiàn)有IT環(huán)境安全狀況了然于心。根據(jù)客戶實際需要，將客戶需要進行掃描的主機、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站系統(tǒng)等對象進行描述。策略檢查充分了解用戶安全戰(zhàn)略方針，分析用戶的網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)需求，采用專家手工方法對服務(wù)服務(wù)器、網(wǎng)絡(luò)設(shè)備等對象的策略配置進行檢查分析，并提出改進和優(yōu)化建議。根據(jù)客戶實際需要，將需要進行策略檢查的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等對象進行描述。日志審計通過自動化的工具或?qū)＜沂止し椒?，對客戶的服?wù)器、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站系統(tǒng)等對象的日志進行審計，并且基于日志自身的關(guān)聯(lián)、日志與策略的關(guān)聯(lián)、日志與業(yè)務(wù)的關(guān)聯(lián)進行分析，提高問題發(fā)現(xiàn)的準確率。根據(jù)客戶實際需要，將需要日志分析服務(wù)的對象進行描述。3<客戶名稱>安全巡檢服務(wù)方案設(shè)計3.1項目設(shè)計概述隨著網(wǎng)絡(luò)技術(shù)的發(fā)展已經(jīng)深入到社會生活的各個方面。網(wǎng)絡(luò)新業(yè)務(wù)的不斷興起，為國內(nèi)政府部門日常辦公提供了極大的便利，通過政府網(wǎng)上辦公系統(tǒng)、網(wǎng)上視頻會議系統(tǒng)、電話語音系統(tǒng)、互動式政府網(wǎng)站系統(tǒng)、門戶型政府網(wǎng)站系統(tǒng)等應(yīng)用，極大地提高了政府部門的辦公效率。以信息化帶動工業(yè)化，加快國民經(jīng)濟結(jié)構(gòu)的戰(zhàn)略性調(diào)整，實現(xiàn)社會生產(chǎn)力的跨越式發(fā)展，是電子政務(wù)建設(shè)的首要任務(wù)。推進電子政務(wù)建設(shè)作為今后一個時期我國信息化工作的重點，目的是加強政府監(jiān)管、提高政府效率、推進政府高效服務(wù)。針對<客戶名稱>網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)特點與安全需求，充分了解<客戶名稱>業(yè)務(wù)當前安全風(fēng)險現(xiàn)狀。XXX利用豐富的安全巡檢服務(wù)經(jīng)驗，專業(yè)的技術(shù)優(yōu)勢，體系化、規(guī)范的安全巡檢服務(wù)流程，對<客戶名稱>特定的業(yè)務(wù)目標系統(tǒng)進行全面、深入、顆粒化的安全服務(wù)檢測，以發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)存在的安全風(fēng)險和違規(guī)操作，讓客戶明確當前信息業(yè)務(wù)中存在的安全問題。并提供切實可行的、準確的、及時的安全建議方案，幫助用戶最大限度降低安全風(fēng)險和隱患，提高客戶業(yè)務(wù)系統(tǒng)安全運營核心優(yōu)勢。XXX為客戶提供一體化安全巡檢服務(wù)設(shè)計方案：XXX安全巡檢服務(wù)由漏洞掃描、策略檢查、日志審計三種服務(wù)組成，采用模塊化用戶定制的方式，客戶可以根據(jù)實際的安全服務(wù)需求，選擇安全巡檢服務(wù)的全部或某一服務(wù)模塊，從而在成本與安全間達到平衡。XXX安全巡檢服務(wù)，涉及的操作系統(tǒng)類型包括Microsoft、Unix、Linux、Solaris、AIX等；數(shù)據(jù)庫類型包括MSSQLServer、MySQL、ORACLE、Sybase、DB2等；安全設(shè)備范圍涉及各種主流安全設(shè)備，網(wǎng)絡(luò)設(shè)備涉及主流的網(wǎng)絡(luò)設(shè)備；日志文件格式涉及特定格式、XML格式、數(shù)據(jù)庫記錄等類型。XXX根據(jù)<客戶名稱>的實際安全需求特點和豐富的安全服務(wù)經(jīng)驗，采用流程化、過程化的方法，將安全巡檢服務(wù)項目劃分成不同的階段，每個階段的目標、任務(wù)內(nèi)容、輸入輸出明確清晰，通過實施階段化方法，讓客戶逐漸體驗和感受到XXX安全巡檢服務(wù)過程和服務(wù)成果，如下圖所示：通過XXX專業(yè)化的安全巡檢服務(wù)，用戶不但可以享受到安全巡檢服務(wù)的過程體驗，而且可以獲得明顯的收益：通過專業(yè)、嚴謹?shù)姆?wù)，為客戶IT環(huán)境提供安全運維服務(wù)，確保客戶IT環(huán)境的安全性和穩(wěn)定性；大大降低客戶的運維風(fēng)險和運維成本；專業(yè)的安全技術(shù)和專業(yè)人員及時、全面的掌握客戶IT環(huán)境的安全現(xiàn)狀和面臨的風(fēng)險，并提出改進建議，降低風(fēng)險；客戶從繁瑣的IT運維中解脫出來，更加的關(guān)注核心業(yè)務(wù)，提高工作效率；3.2項目設(shè)計原則根據(jù)<客戶名稱>的安全特點和實際需求，以<客戶名稱>核心業(yè)務(wù)系統(tǒng)安全、連續(xù)、穩(wěn)定運行為核心；以安全、暢通、高效的網(wǎng)絡(luò)傳輸為保障；注重實際，具體高效；確定如下安全巡檢服務(wù)原則：3.2.1經(jīng)濟性原則XXX公司提供的安全巡檢服務(wù)產(chǎn)品，客戶可以根據(jù)實際的安全服務(wù)需求，選擇安全巡檢服務(wù)的全部或某一項服務(wù)，以定制化的形式滿足不同的安全服務(wù)需求，從而確?？蛻舭踩枨蟮玫綕M足，投資得到保護的前提下，降低了用戶的成本。3.2.2安全性、可靠性原則 XXX公司經(jīng)過10多年的安全技術(shù)、安全管理的積累和沉淀，已經(jīng)形成了一套非常完善的安全服務(wù)方法論，并得到了實踐的充分檢驗，所以，對客戶實施安全巡檢服務(wù)時，會采取整套安全風(fēng)險規(guī)避措施，如掃描策略規(guī)則級選擇、核心系統(tǒng)巡檢前備份等，來規(guī)避風(fēng)險，以提高安全性和可靠性。3.2.3機動性、靈活性原則 XXX公司的安全巡檢服務(wù)可以根據(jù)用戶的特定時間要求，進行靈活安排，為減輕安全巡檢服務(wù)工作對客戶網(wǎng)絡(luò)、核心業(yè)務(wù)系統(tǒng)的影響，安全巡檢的掃描測試盡量安排在業(yè)務(wù)量不大的時間段（晚上、節(jié)假日等）。確保客戶業(yè)務(wù)正常開展的前提下，開展安全巡檢服務(wù)。3.2.4高效性原則XXX公司根據(jù)多年來的安全服務(wù)經(jīng)驗，形成一套完整的安全巡檢服務(wù)基線標準庫，可以根據(jù)客戶特定的需求，快速擴展，從而高效的、快捷的對客戶業(yè)務(wù)系統(tǒng)、安全設(shè)備等實施安全巡檢，盡早發(fā)現(xiàn)存在問題，提出安全建議，降低客戶風(fēng)險。3.2.5突出重點、業(yè)務(wù)主導(dǎo)原則信息化建設(shè)受企業(yè)信息基礎(chǔ)設(shè)施、資金、人力等條件的限制，必須堅持通盤統(tǒng)籌，突出重點，并從企業(yè)實際出發(fā)，以業(yè)務(wù)需求為主導(dǎo)，區(qū)分不同層面和業(yè)務(wù)類別，統(tǒng)一標準規(guī)范，總結(jié)經(jīng)驗，分階段實施。同時，信息化建設(shè)要嚴抓應(yīng)用、追求實效，實現(xiàn)系統(tǒng)實用化水平評價的動態(tài)管理，不斷促進業(yè)務(wù)流程的科學(xué)化、規(guī)范化、程序化，以實現(xiàn)管理和技術(shù)創(chuàng)新、效益和效率提高作為判斷成效的標準。3.3項目設(shè)計模型由于<客戶名稱>IT基礎(chǔ)設(shè)施、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備策略和人員在不斷的發(fā)生變化，本身安全也是一個動態(tài)的、相對的概念，基于客戶的這些實際情況，XXX公司結(jié)合10多年來在安全領(lǐng)域積累的經(jīng)驗和豐富的專業(yè)知識，設(shè)計了一套安全巡檢服務(wù)的體系模型。由于內(nèi)部IT資源，如人員、業(yè)務(wù)系統(tǒng)、安全設(shè)備等的動態(tài)變化；戰(zhàn)略方針的調(diào)整；外部環(huán)境的變化，如威脅嚴峻等；再加上安全本身就是一個動態(tài)的、相對的概念，因此<客戶名稱>需要定期的檢查組織的現(xiàn)有安全狀況，及時發(fā)現(xiàn)問題，及時采取措施解決問題，讓組織一直處于一個安全良好的狀況下，從而讓安全為組織業(yè)務(wù)保駕護航。如下圖所示： XXX基于巡檢基線對客戶進行安全巡檢，將安全巡檢劃分為巡檢準備、巡檢實施、報告及改進指導(dǎo)、巡檢基線四個過程，每次巡檢完成后，XXX根據(jù)用戶當前的需要形成特定于<客戶名稱>的巡檢基線，隨著客戶巡檢需求的變更，不斷更新基線庫。3.4項目體系結(jié)構(gòu)針對當前<客戶名稱>的安全需求，對客戶主機系統(tǒng)、服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)和網(wǎng)站系統(tǒng)等進行全局、深入、顆?；踩椖繖z測。為<客戶名稱>提供準確、完整、可視化的安全巡檢服務(wù)報告，幫助客戶確保及時發(fā)現(xiàn)問題，并提出建議，指導(dǎo)用戶改進，降低風(fēng)險，巡檢報告是客戶保持和改進安全狀況的依據(jù)與先決條件。3.5項目體系特點3.5.1體系規(guī)格主機操作系統(tǒng)支持類型：windows、Unix、Linux、Solaris、AIX等；數(shù)據(jù)庫系統(tǒng)支持類型：MSSQL、MySQL、Orcale、DB2、Sybase等；安全設(shè)備：主流的安全設(shè)備，如防火墻、IDS、IPS、安全網(wǎng)關(guān)、防病毒網(wǎng)關(guān)等；網(wǎng)絡(luò)設(shè)備：主流的網(wǎng)絡(luò)設(shè)備，如思科交換機、思科路由器等；網(wǎng)站系統(tǒng)支持類型：主流網(wǎng)站系統(tǒng)，如IIS、Apache等；日志格式支持：文本文件、XML、數(shù)據(jù)庫記錄等3.5.2體系事宜可根據(jù)客戶實際安全巡檢服務(wù)需求，選擇全部或某一模塊的安全巡檢服務(wù)，以滿足客戶不同的安全服務(wù)需求，最終達到成本與收益平衡。3.5.3體系特色提供相應(yīng)數(shù)量的專職安全工程師為客戶提供外包服務(wù)，外包工程師將在約定時間內(nèi)完全按照客戶的作息時間上下班，為客戶提供安全巡檢服務(wù)。XXX依托完善的安全外包服務(wù)體系與服務(wù)知識庫，建設(shè)并完善了外包運維服務(wù)中心，整體負責(zé)外包工程師日常工作的支持、協(xié)調(diào)和監(jiān)督，更貼近客戶實際需求。4<客戶名稱>安全巡檢服務(wù)項目實施4.1項目實施階段針對<客戶名稱>的實際安全巡檢需求，XXX將本項目的實施劃分為項目啟動準備階段、巡檢服務(wù)實施階段、總結(jié)建議階段三個階段，并且根據(jù)客戶的安全服務(wù)巡檢周期定期執(zhí)行此過程流程，不斷對客戶指定的安全設(shè)備策略、核心業(yè)務(wù)系統(tǒng)及主機、核心業(yè)務(wù)系統(tǒng)的日志采用自動化或人工的方式進行安全巡檢服務(wù)，如下圖所示：4.1.1階段一：項目啟動準備階段4.1.1.1階段目標確定安全巡檢實施范圍確定《安全巡檢服務(wù)實施計劃》4.1.1.2階段任務(wù)在客戶方相關(guān)人員陪同下，采用實地檢查和問詢的方式調(diào)查統(tǒng)計信息系統(tǒng)所涉及資產(chǎn)，填寫信息系統(tǒng)資產(chǎn)調(diào)研表。資產(chǎn)調(diào)研完成后，由項目雙方交流討論，確定最終安全巡檢實施范圍。然后根據(jù)范圍制定項目實施計劃。4.1.1.3階段步驟4.1.1.3.1系統(tǒng)資產(chǎn)調(diào)查XXX項目組成員在客戶方相關(guān)從員陪同下，采用實地檢查和問詢的方式調(diào)查統(tǒng)計信息系統(tǒng)所涉及資產(chǎn)，填寫信息系統(tǒng)資產(chǎn)調(diào)研表，最終確認客戶信息系統(tǒng)所涉及的所有資產(chǎn)。4.1.1.3.2確定巡檢范圍在客戶信息系統(tǒng)所涉及的所有資產(chǎn)中，根據(jù)客觀情況和客戶實際需求，由客戶確定最終安全巡檢范圍。4.1.1.3.3制定實施計劃根據(jù)最終的檢測范圍，與客戶交流巡檢實施時間、階段、參與人員、工作分工等內(nèi)容，制定《安全巡檢服務(wù)實施計劃》，提交項目雙方。4.1.2階段二：巡檢服務(wù)實施階段4.1.2.1階段目標完成漏洞掃描工作完成策略檢查工作完成日志審計工作4.1.2.2階段任務(wù)按照實施計劃實施安全巡檢服務(wù)，導(dǎo)出并保存好巡檢實施記錄。4.1.2.3階段步驟4.1.2.3.1漏洞掃描根據(jù)的實際需要，對客戶確定的巡檢范圍內(nèi)的數(shù)據(jù)庫系統(tǒng)、主機系統(tǒng)、網(wǎng)站系統(tǒng)進行自動掃描，并導(dǎo)出保存漏洞掃描記錄。4.1.2.3.2策略檢查根據(jù)的實際需要，對客戶確定的巡檢范圍內(nèi)的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器，以專家人工的方式，結(jié)合客戶的業(yè)務(wù)狀況，進行策略的合理性和有效性檢查，記錄保存檢查結(jié)果。4.1.2.3.3日志審計根據(jù)的實際需要，對客戶確定的巡檢范圍內(nèi)的服務(wù)器、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站系統(tǒng)的日志，采用專家人工和自動化工具相結(jié)合的方式，對日志進行審計分析，記錄保存日志審計結(jié)果。4.1.3階段三：報告建議階段4.1.3.1階段目標完成安全巡檢實施報告與客戶討論溝通，客戶認可安全巡檢實施報告內(nèi)容和成果4.1.3.2階段任務(wù)整理分析安全巡檢記錄，編寫安全巡檢實施報告，經(jīng)項目經(jīng)理審核并批準提交給客戶，同時向客戶講解巡檢情況。4.1.3.3階段步驟4.1.3.3.1輸出報告對各安全巡檢記錄進行整理，并詳細分析安全問題，編寫安全巡檢報告。4.1.3.3.2報告討論提交安全巡檢報告完成后，經(jīng)項目經(jīng)理審核并批準提交給客戶，同時向客戶詳細講解報告、分析問題、回答客戶提問，最終雙方對報告內(nèi)容、成果達成統(tǒng)一意見，確定最終版安全巡檢報告內(nèi)容，向客戶提交最終版巡檢報告。5項目總結(jié)及驗收XXX根據(jù)用戶的實際需求，針對<客戶名稱>對XXX安全巡檢服務(wù)模塊的選擇，XXX最終為客戶提供安全巡檢服務(wù)實施計劃和安全巡檢服務(wù)實施報告。報告提交完成后，召開項目總結(jié)驗收會，經(jīng)雙方對項目過程及成果達成一致認可，同意對項目進行驗收，簽署驗收文檔，項目完成驗收，簽字確認。最終成果清單為：《安全巡檢服務(wù)實施計劃》《安全巡檢服務(wù)實施報告》6知識轉(zhuǎn)移通過現(xiàn)場指導(dǎo)和技術(shù)交流的形式，對為<客戶名稱>的安全巡檢服務(wù)的成果進行知識轉(zhuǎn)移，XXX安全巡檢服務(wù)團隊，根據(jù)客戶的實際需求，對巡檢范圍內(nèi)的設(shè)備、主機和系統(tǒng)進行巡檢，并對階段性巡檢結(jié)果進行分析整理，最終形成安全巡檢服務(wù)報告，并與客戶進行溝通交流，對客戶進行詳細的講解，回答客戶提問，提交報告。安全巡檢服務(wù)最終向客戶提供：《安全巡檢服務(wù)實施計劃》和《安全巡檢服務(wù)實施報告》。7項目管理根據(jù)世界標準美國項目管理協(xié)會（PMI）-《項目管理知識體系(PMBOK)指南》的項目管理體系結(jié)構(gòu)，先進的項目管理體系結(jié)構(gòu)有橫向管理體系結(jié)構(gòu)和縱向管理體系結(jié)構(gòu)。XXX將一如既往應(yīng)用該項目管理體系結(jié)構(gòu)到本信息安全管理咨詢項目的實施中。橫向項目管理體系結(jié)構(gòu)示意圖橫向項目管理體系結(jié)構(gòu)示意圖項目范圍管理是確定和管理為成功完成項目所要做的全部工作。項目時間管理包括項目所需用時間的估算，制定可以接受的項目進度計劃，并確保項目的及時完成。項目成本管理包括項目預(yù)算的準備和管理工作。項目質(zhì)量是要確保項目滿足明確約定的或各方默認的需要。四大項目管理輔助功能包括人力資源管理、風(fēng)險管理和采購管理，之所以稱其為輔助知識領(lǐng)域，是因為項目目標是通過他們來實現(xiàn)的。具體如下：項目人力資源關(guān)心的是如何有效利用參與項目的人員。項目溝通管理涉及產(chǎn)生、收集、發(fā)布和保存項目信息，并如何與項目干系人有效溝通。項目風(fēng)險管理包括對項目相關(guān)的風(fēng)險進行識別、分析和應(yīng)對。項目采購管理是指根據(jù)項目的需要從項目執(zhí)行組織外部獲取或購進產(chǎn)品和服務(wù)。 項目整體管理則要發(fā)揮項目管理整體上的支撐作用，它與其他項目管理領(lǐng)域互相影響。項目經(jīng)理必須具備上述全部9個方面的管理能力。7.1項目組織管理7.1.1組織結(jié)構(gòu)7.1.2角色職責(zé)7.1.2.1項目領(lǐng)導(dǎo)小組項目領(lǐng)導(dǎo)小組由XXX和XX公司相關(guān)領(lǐng)導(dǎo)共同組成，主要就項目實施方向、變更事宜起決策作用。在項目進行關(guān)鍵階段與項目管理小組舉行會議，檢查項目的進展，并對項目中的一些關(guān)鍵問題和爭議進行決策。7.1.2.2項目管理小組項目管理小組，由XXX項目負責(zé)人和XX公司相關(guān)負責(zé)人組成，負責(zé)對項目過程實行全面的管理，具體體現(xiàn)在對項目目標有一個全局、統(tǒng)一的觀點，并組織會議制定計劃和報告項目的進展，對不確定環(huán)境下對不確定問題組織集體討論決策。具體還有：保證項目目標在實施中前后一致，實現(xiàn)目標對各種項目資源進行適當?shù)墓芾砗统浞钟行У氖褂么龠M項目團隊和評估系統(tǒng)管理員之間進行及時有效的溝通，及時商討項目進展狀況，以及對可能發(fā)生的問題的預(yù)測。保證項目的成功，保證項目按時、在預(yù)期內(nèi)達到預(yù)期的效果保證項目的整體性，協(xié)調(diào)項目中的各個角色和各種關(guān)系，為項目組成員創(chuàng)造良好的工作環(huán)境XXX項目經(jīng)理為保障項目順利實施，作為乙方接口人負責(zé)相關(guān)的協(xié)調(diào)工作，定期與甲方溝通，確定實施方案的執(zhí)行情況及實施質(zhì)量。7.1.2.3XXX客戶經(jīng)理XXX客戶經(jīng)理的主要任務(wù)是協(xié)調(diào)XXX和XX公司在商務(wù)方面的事情，和XX公司在項目發(fā)生之前進行談判，前瞻性的解決項目實施中可能發(fā)生的問題。并保證項目在實施到不同的階段，和XX公司在項目上的商務(wù)條款可以得以落實。7.1.2.4項目實施人員在項目中具體對服務(wù)對象系統(tǒng)進行操作，我公司會根據(jù)本項目具體情況，選擇有相關(guān)技術(shù)特長的安全顧問對不同類型系統(tǒng)進行操作。負責(zé)項目實施文檔、具體實施操作、操作記錄整理，并整理相關(guān)項目報告。7.1.2.5技術(shù)支持人員由于目前信息系統(tǒng)日趨復(fù)雜，我們在項目實施過程中，將同時有部分安全專家在后臺對項目的實施進行技術(shù)支撐，保障項目執(zhí)行的技術(shù)深度。7.2項目風(fēng)險管理風(fēng)險管理的目的是最大限度地減少項目中各方面可能出現(xiàn)的負面影響，從而盡可能地減小項目的風(fēng)險。項目的風(fēng)險管理是通過以下一系列步驟來實現(xiàn)的：首先，找出項目中可能引起風(fēng)險的因素；然后，估計出可能引起的影響的程度；最后制定出相應(yīng)的預(yù)防措施。如下所示：通過次風(fēng)險管理過程，最終確保：保證項目中運用的技術(shù)可靠性、先進性；保證項目管理的組織嚴密性，工程設(shè)計、施工、管理的嚴緊性；確保及時獲得項目進程中所需的各種信息；充分估計人的因素；確保項目人員具備所需的技能；事先安排好項目所需的輔助設(shè)施；保證最小程度的差誤損失；保證明確的責(zé)任分配原則。7.3項目變更管理XXX公司在項目全程實施項目變更管理。項目變更管理的內(nèi)容包括項目的變更申請、變更評估、申請審批、變更實施；在整個變更管理中，完善的文檔記錄對達成項目所有相關(guān)體的共識和進行項目的回顧及驗收有重要意義；變更申請流程在確定變更并申請批準時使用。項目的任何參與方（者）在確定變更的必要性式需要填寫《變更申請》向上一級項目經(jīng)理或項目領(lǐng)導(dǎo)提出變更申請。請求的范圍可涉及項目的內(nèi)容、時間計劃、交付物、資源、技術(shù)規(guī)范和標準等諸多方面。申請人可是惠普公司的項目組成員，或者<客戶名稱>項目組成員；項目評估變更影響應(yīng)考慮所有受到影響的項目的各個方面，如：對交付物影響；對進度的影響；對成本的影響；對風(fēng)險的影響；對資源的影響；對付款進度的影響；項目經(jīng)理依據(jù)以下變更批準權(quán)限范圍來進行相應(yīng)的上升報告和獲取相應(yīng)的審批，并將變更記錄存放于項目文檔中。變更范圍 變更批準權(quán)限項目工作局部調(diào)整，項目工作范圍不變