編號:【家信息安全測評信息安全服務資質(zhì)申請書（安全工程類一級）申請單位（公章）：填表日期：?版權(quán)2011—中國信息安全測評中心2011年1月1日申請單位的信息安全工程過程能力本項應包括以下^一項內(nèi)容：評估系統(tǒng)安全威脅的能力；評估系統(tǒng)脆弱性的能力；評估安全對系統(tǒng)的影響的能力；評估系統(tǒng)安全風險的能力；確定系統(tǒng)的安全需求的能力；確定系統(tǒng)的安全輸入的能力；進行管理安全控制的能力；進行監(jiān)測系統(tǒng)安全狀況的能力；進行安全協(xié)調(diào)的能力；進行檢測和證實系統(tǒng)安全性的能力；進行建立系統(tǒng)安全的保證證據(jù)的能力。本項要求：詳細描述申請單位是如何識別系統(tǒng)所面臨的各種安全威脅及其性質(zhì)和特征；詳細描述申請組織是如何對威脅的可能性進行評估的；提供一份具體項目中關于評估系統(tǒng)安全威脅的相應文檔、記錄。描述如何對系統(tǒng)安全威脅進行評估詳細描述系統(tǒng)安全威脅是在信息系統(tǒng)中存在的對機構(gòu)、組織或部門造成某種損害的潛在可能性，可能導致信息安全事故和組織信息資產(chǎn)損失的活動，威脅是利用脆弱性來造成后果的。系統(tǒng)安全威脅來自于兩個方面：人為威脅和自然威脅，其中人為威脅造成的損失遠遠大于自然威脅。人為威脅可以分為兩部分：一是意外的人為威脅，由各類不確定因素綜合在一起時偶然發(fā)生的；二是有意的人為威脅，由有意的行為所引起的。自然威脅是不以人的意志為轉(zhuǎn)移的不可抗拒的自然事件，如地震、雷擊、洪災和火災等。識別人為威脅，應描述其威脅如何發(fā)生的，測試其威脅相關事件的可能性。同時進行評估性工作，如評估由人為原因引起的威脅作用力的技能和效力。識別自然威脅需要根據(jù)評估目標所在的位置的地理因素來進行評估，對于非地震帶、內(nèi)陸、山區(qū)、干旱地區(qū)等地理因素進行充分的識別，避免評估中的偏差。就威脅本身來說，評估威脅可能性時有兩個關鍵因素需要考慮，一個是威脅源的動機，包括趨利、報復、破壞等；另一個是威脅源的能力，包括其技能、環(huán)境、機會等。威脅源的能力和動機都用“高V“中”、“低”這三級來衡量。在評估威脅事件可能性時，我們充分考慮多種因素，如一項資產(chǎn)可能面臨多個威脅，而一個威脅也可能對不同的資產(chǎn)造成影響，同時也注意在不同的安全服務項目中，各因素出現(xiàn)的概率都有所不同。威脅事件發(fā)生的可能性，需要從三個方面進行評定：一是歷史威脅情況，曾經(jīng)發(fā)生過的威脅和威脅發(fā)生次數(shù)可以為威脅事件發(fā)生的可能性提供一個最重要的參考數(shù)據(jù)；二是威脅在整個社會層面上，總體的發(fā)展態(tài)勢；三是威脅形成的復雜程度。具體的威脅評估結(jié)果會隨著時間的變動而需要重新審核，所以在威脅評估中，評估者的專家經(jīng)驗非常重要。公司建立、實施并保持《安全危險因素識別、評價與更新控制程序》對能夠控制和能夠施加影響的環(huán)境因素，及在相關的活動、產(chǎn)品、場所、人員、管理及變更中的危險源進行識別、評價，確定和更新重要環(huán)境因素和不可接受風險，確保重要環(huán)境因素和不可接受風險得到有效控制。備注附件6.1系統(tǒng)安全威脅能力評估報告注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱本項要求：詳細描述申請單位是如何對系統(tǒng)的脆弱性進行評估的，包括所選擇的分析方法、工具，收集、合成系統(tǒng)的脆弱性數(shù)據(jù)等；提供一份具體項目中關于系統(tǒng)脆弱性評估的相應文檔、記錄，包括系統(tǒng)脆弱性清單、攻擊測試報告等。描述如何評估系統(tǒng)脆弱性企業(yè)信息系統(tǒng)的脆弱性是因為信息系統(tǒng)可能被威脅利用的弱點，可能對資產(chǎn)造成影響，所以我們針對每一項需要保護的信息資產(chǎn)，系統(tǒng)脆弱性識別主要兩方面進彳亍說明：1、技術(shù)性脆弱性，識別對象包括物理環(huán)境、網(wǎng)絡結(jié)構(gòu)、系統(tǒng)軟件、應用系統(tǒng)和應用中間件程序。2、管理性脆弱性，識別對象包括技術(shù)管理和組織管理。通過脆弱性識別，獲得系統(tǒng)中的脆弱性清單，以及相應的測試分析結(jié)果。脆弱性嚴重程度賦值需要按照對資產(chǎn)的危害程度大小、利用脆弱性的技術(shù)水平高低、脆弱性點是否經(jīng)常被內(nèi)部或者外部人員使用，再加上通過脆弱性嚴重程度的識別，以便確認最終構(gòu)成整個脆弱性的評估。其中，進行脆弱性賦值時，還需要考慮有可能以前就有很多脆弱性點反應的是同一問題或者相類似問題，以便確認這類問題的脆弱性嚴重程度。脆弱性嚴重程度越低，賦值大小越小。詳細描述等級標識詳細描述等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中等如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可忽略將資產(chǎn)的脆弱性賦值分為5個等級，分別是很高、高、中等、低、很低并且從很高到很低分別賦值5—1。如下表所示：在實際評估工作中，技術(shù)類弱點的嚴重性值一般參考掃描器或CVE標準中的值，并進行修正，從而獲得適用的弱點嚴重性值。脆弱性的掃描工具主要有：Nmap掃描工具、X-SCAN工具可以根據(jù)具體的評估對象、評估目的來選擇具體的弱點獲取方式。在弱點的識別和獲取必須對應前一個過程中識別出的威脅列表，不能被列表中威脅所利用的弱點在風險評估中沒有意義，可以不進行識別。同時，因為威脅來源可以分為內(nèi)部和外部，所以弱點的獲取方法也可以根據(jù)威脅的來源不同而選擇不同的獲取方式，比如從內(nèi)網(wǎng)獲取和從外網(wǎng)獲取。附件6.2系統(tǒng)脆弱性影響報告本項要求：詳細描述申請單位是如何識別系統(tǒng)資產(chǎn)和評估系統(tǒng)資產(chǎn)影響的；提供一份具體項目中關于評估系統(tǒng)資產(chǎn)影響的相應文檔、記錄，如系統(tǒng)優(yōu)先級清單、系統(tǒng)資產(chǎn)影響分析表等。

描述如何評估安全對系統(tǒng)的影響的詳細描述影響是安全事件對系統(tǒng)產(chǎn)生的后果，可能對資產(chǎn)造成一定的破壞作用，如對信息系統(tǒng)的機密性、完整性、可用性等進行破壞，也可能引起間接的結(jié)果，如經(jīng)濟損失、市場占有率損失和公司形象損失等。首先制定資產(chǎn)調(diào)查表，通過組織相關人員協(xié)商，界定信息資產(chǎn)的重要性，按照保密等級和業(yè)務類型等因素分成若干資產(chǎn)類，之后進行資產(chǎn)列表，列出包含在資產(chǎn)類和子類中的所有重要的信息資產(chǎn)，主要包括幾種資產(chǎn)類型，包括硬件資產(chǎn)、軟件資產(chǎn)、人員資產(chǎn)和數(shù)據(jù)資產(chǎn)等。其次，對信息系統(tǒng)進行掃描，獲得系統(tǒng)信息。最后將資產(chǎn)賦值，賦值是對資產(chǎn)的機密性、完整性和可用性方面的價值分別賦予價值等級，分為五個等級。識別系統(tǒng)資產(chǎn)和它的運行意義及產(chǎn)品資產(chǎn)和它的運行意義，資產(chǎn)包括系統(tǒng)的人、環(huán)境、技術(shù)和基礎設施，還包括數(shù)據(jù)和資源。確定評估影響的度量標準，從資產(chǎn)預算財務成本、重要等級和基本的描述中說明影響的數(shù)量、質(zhì)量。影響有“嚴重性”的屬性，等同于弱點的嚴重性。考慮到資產(chǎn)的等級將影響嚴重性分為5個等級，分別是很高、高、中等、低、很低，并且從高到低分別賦值5-1。主要識別和分析系統(tǒng)操作的運行、業(yè)務或任務的影響，并進行優(yōu)先級區(qū)分。根據(jù)資產(chǎn)重要程度及脆弱性嚴重程度，計算安全事件一旦發(fā)生后的損失，即：安全事件的影響=F（資產(chǎn)重要程度，脆弱性嚴重程度）部分安全事件的發(fā)生造成的影響不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務的連續(xù)性。不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內(nèi)。監(jiān)視影響，影響都是動態(tài)的，新的影響可以隨著外界與內(nèi)部環(huán)境的變化而與此相關。因此重要的是監(jiān)視現(xiàn)有影響并有規(guī)律地檢查潛在的新影響。備注附件6.3系統(tǒng)資產(chǎn)影響報告本項要求：詳細描述申請單位是如何識別、分析和評估系統(tǒng)安全風險的，包括選擇安全風險評估方法、安全風險的計算、安全風險等級排列、提出安全風險的應對措施等；提供一份具體項目中關于評估系統(tǒng)安全風險的相應文檔、記錄。描述如何評估系統(tǒng)安全風險的系統(tǒng)的風險評估就是對各方面風險進行辨識和分析的過程，包括風險分析和風險評價，是確認安全風險及其大小的過程。安全風險評估的總體目標是認清信息安全環(huán)境、信息安全狀況，有助于達成共識，明確責任，采取或完善安全保障措施，使其更加經(jīng)濟有效，并使信息安全策略保持一致性和持續(xù)性。風險評估的策略是首先選定某項資產(chǎn)，評估資產(chǎn)價值，挖掘并評估資產(chǎn)面臨的威脅和脆弱性，評估該資產(chǎn)的風險，進而得出整個評估目標的風險。風險存在兩個屬性：后果和可能性。最終風險對信息系統(tǒng)的影響，也就是風險兩個屬性權(quán)衡作用的結(jié)果。不同的資產(chǎn)面臨的主要威脅各不相同。而隨著威脅可以利用的、資產(chǎn)存在的弱點數(shù)量的增加會增加風險的可能性，隨著弱點嚴重級別的提高會增加該資產(chǎn)面臨風險的后果。在許多情況下，某資產(chǎn)風險的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆弱性的函數(shù)，而風險的后果是資產(chǎn)的價值（影響）的函數(shù)。本次評估我們采用如下算式來得到資產(chǎn)的風險賦值：風險值=資產(chǎn)價值X威脅可能性X資產(chǎn)脆弱性詳細描述上述公式主要考慮到各參數(shù)的取值并不是特別精確的數(shù)據(jù)，加入了顧問的經(jīng)驗和判斷，在國際中對此類數(shù)據(jù)常采用的數(shù)據(jù)主要使用乘法或矩陣等方法。考慮到便于運算，故我們采用線性的相乘。根據(jù)風險信息和數(shù)據(jù)，對風險分析予以不同程度的改進。采用下詳細描述等如標識蜘險滴受數(shù)值5VH高）風險眼商，/致系統(tǒng)受到非常嚴更影響的叫能性很大IQU-1254H沛）區(qū)險商.導放系統(tǒng)受劃嚴亟影響的可能性較大75-1003M〔中｝區(qū)瞼中，導致系統(tǒng)坐到影響的U能性較大50—752L風降低?計致系統(tǒng)受到影響的可能it較小25—501VLf很低）區(qū)險很低，導致系統(tǒng)受到影職的卻能性很小0—25風險的應對措施：1、降低風險一一采取適當?shù)目刂拼胧﹣斫档惋L險，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務連續(xù)性計劃，等等。2、避免風險一一通過消除可能導致風險發(fā)生的條件來避免風險的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機房安置在不可能造成水患的位置，等等。3、轉(zhuǎn)移風險一一將風險全部或者部分地轉(zhuǎn)移到其他責任方，例如購買商業(yè)保險。4、接受風險一一在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受。備注附件6.4系統(tǒng)安全風險報告?zhèn)渥⒈卷椧螅涸敿毭枋錾暾垎挝皇侨绾芜M行系統(tǒng)安全需求分析并提出系統(tǒng)安全要求的；提供一份具體項目中關于確定系統(tǒng)的安全需求的相應文檔、記錄，如安全需求調(diào)查表、安全策略定義，安全目標定義，安全需求分析報告描述如何確定系統(tǒng)的安全需求的一、系統(tǒng)安全風險分析物理安全風險分析黑客攻擊惡意代碼病毒的攻擊應用的安全風險分析應用系統(tǒng)的安全與具體的應用有關，它涉及很多方面。應用系統(tǒng)的安全是動態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。應用系統(tǒng)的安全是動態(tài)的、不斷變化的:應用的安全涉及面很廣，以目前Internet上應用最為廣泛的E-mail系統(tǒng)來說，其解決方案有十幾種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導致的BUG是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測試軟件是相當必須的。但是應用系統(tǒng)是不斷發(fā)展且應用類型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應用系統(tǒng)的安全也是一個隨網(wǎng)絡發(fā)展不斷完善的過程。應用的安全性涉及到信息、數(shù)據(jù)的安全性；信息的安全性涉及到：機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個銀行局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進行保密的可以考慮在應用級進行加密，針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。二、金融網(wǎng)網(wǎng)絡安全問題分析金融網(wǎng)具有速度快、規(guī)模大、計算機系統(tǒng)管理復雜，隨著其應用的深入，金融網(wǎng)絡的安全問題也逐漸突出，直接影響著銀行的正常經(jīng)營活動。因此，在全面了解金融網(wǎng)的安全現(xiàn)狀基礎上，合理構(gòu)建安全體系結(jié)構(gòu)，改善網(wǎng)絡應用環(huán)境的工作迫在眉睫。當前，金融網(wǎng)網(wǎng)絡常見的安全隱患有以下幾種：計算機系統(tǒng)漏洞2.計算機病毒的破壞3.來自網(wǎng)絡外部的入侵、攻擊等惡意破壞行為4.非正常途徑訪問或內(nèi)部破壞5.網(wǎng)絡硬件設備受損6.金融網(wǎng)安全管理有缺陷三、技術(shù)需求硬件安全需求網(wǎng)絡連接技術(shù)標準有專門的網(wǎng)絡中心設備間，用來放置銀行的中心交換設備、服務器、后備電源等主要設備以及網(wǎng)絡管理設備等服務器技術(shù)標準服務器不少于兩臺，用于提供銀行對外的相關業(yè)務和服務。終端技術(shù)標準機房要求每臺計算機能夠接入金融內(nèi)網(wǎng)，配備相關配件，滿足銀行日常業(yè)務活動需要。軟件安全需求需要安裝防火墻軟件需要安裝能及時更新的殺毒軟件，確保免受病毒攻擊管理安全需求信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應的管理制度或采用相應的規(guī)范具體工作是：根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級根據(jù)確定的安全等級，確定安全管理的范圍制度相應的機房出去管理制度對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理科采用證件識別或安裝自動識別登記系統(tǒng)。采用磁卡、身份卡等手段，對人員進行識別、登記管理。制定嚴格的操作規(guī)程操作規(guī)程要根據(jù)職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。制定完備的系統(tǒng)維護制度對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等，維護時要首先經(jīng)主管部門批準，并有安全管理人員在場，故障的原因、維護內(nèi)容和維護前后的情況要詳細記錄。制訂應急措施要制定系統(tǒng)在緊急情況下，如何盡快恢復的應急措施，使損失減至最少。建立人員雇傭和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應的授權(quán)。四、應對措施身份認證技術(shù)防范系統(tǒng)安全漏洞防范計算機病毒網(wǎng)絡監(jiān)控措施網(wǎng)絡安全隔離數(shù)據(jù)備份和恢復制定切實可行的網(wǎng)絡安全管理制度備|附件6.5信息系統(tǒng)安全需求分析報告注本項要求：詳細描述申請單位是如何為系統(tǒng)的規(guī)劃者、設計者、實施者或用戶提供他們所需的安全輸入的，包括對系統(tǒng)安全體系進行設計、編制安全工程實施指南、系統(tǒng)安全運行操作指南和有關安全管理制度等文檔、進行安全培訓等；提供一份具體項目中關于確定系統(tǒng)的安全輸入的相應文檔、記錄，如系統(tǒng)安全體系設計方案，各種安全相關的指南等。描述如何確定系統(tǒng)的安全輸入的詳細描述系統(tǒng)的安全體系設計主要包括安全策略、安全評估和安全管理這三個方面。在技術(shù)層面上需要考慮實體的物理安全，網(wǎng)絡的基礎結(jié)構(gòu)、網(wǎng)絡層的安全、操作系統(tǒng)平臺安全、應用平臺安全，以及在此基礎上的應用數(shù)據(jù)安全等。這些方面既是一種防護基礎，也是相互的促進的，同時是一個循環(huán)遞進的工程，需要不斷的自我完善和增強，才能形成一套合理有效的安全防護系統(tǒng)。在實際的系統(tǒng)安全設計中，需同系統(tǒng)安全設計者、開發(fā)者及用戶一起商討，以求對安全需求有一個共同的理解。通過分析以決定在需求、設計、實現(xiàn)、配置和文檔方面的任何安全限制和考慮。對安全相關的需求進行分解、分析和重組，以致識別出有效的解決方案，同時根據(jù)安全約束和需要考慮的問題進行方案分析，并加以區(qū)分它們的優(yōu)先級。開發(fā)出與安全有關的指南，并提供給工程組，安全工程指南包括體系結(jié)構(gòu)、設計和實現(xiàn)建議等。同時為運行系統(tǒng)的用戶和管理員提供安全相關的指南，安全設計準則、安全實施規(guī)則、安全設計文檔、安全模型、安全體系結(jié)構(gòu)、管理員手冊、用戶手冊等。一、需求說明針對Web應用防護安全需要實現(xiàn)以下功能：針對網(wǎng)站主頁惡意篡改的監(jiān)控，防護和快速恢復對Web網(wǎng)站進行多層次檢測分析與應用防護行為審計支持多種WEB應用加速技術(shù)，減輕服務器負載二、網(wǎng)頁防篡改解決方案Web網(wǎng)站和Web應用系統(tǒng)除了采用常見的網(wǎng)絡安全設備進行防護外，需要更有效的網(wǎng)頁防篡改系統(tǒng)來專門對頁面內(nèi)容進行保護，防止來自外部或內(nèi)部的非授權(quán)人員對頁面和內(nèi)容進行篡改和非法添加。技術(shù)原理：防篡改體系除7Web服務器外，另外需部署“發(fā)布服務器”：包括：部署結(jié)構(gòu)、系統(tǒng)組成、集群與允余部署、方案特點三、WEB應用防護解決方案當前安全風險分析防護計劃WEB應用防火墻功能四、負載均衡解決方案備注附件6.6信息系統(tǒng)安全設計方案本項要求：詳細描述申請單位是如何對系統(tǒng)的安全控制進行管理的，包括控制系統(tǒng)在運行狀態(tài)最終實現(xiàn)所設計的安全程度，建立安全職責，對所有用戶和管理員實施安全意識教育和培訓，制定和維護教育大綱，對系統(tǒng)進行合理配置等；提供一份具體項目中關于進行管理安全控制的相應文檔、記錄。描述如何進行管理安全控制的能力詳細描述一、加強信息安全管理體系的建設信息安全管理體系是整個管理體系的一部分，它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系。建立安全控制的職責和責任并通知到組織中的每一個人，安全的某些方面能夠在常規(guī)的管理結(jié)構(gòu)中進行管理，然而另外一些方面則需要更專業(yè)的管理，建立安全組織圖表，并描述安全角色和安全職責，并對安全組織中的人員進行授權(quán)。對系統(tǒng)安全控制的配置進行管理，如所有軟件更新的記錄、所有發(fā)布中問題的記錄、系統(tǒng)安全配置的修改、安全需求修改等。管理所有的用戶和管理員的安全意識、培訓和教育大綱，因此要根據(jù)不同的用戶情況確定安全培訓資料，并跟蹤用戶對組織和系統(tǒng)安全的理解，不定期的進行用戶培訓，以適應新的安全需要。定期維護和管理安全服務和控制機制，如維護和管理日志，定期的維護和管理檢查，跟蹤記錄系統(tǒng)維護方面的問題以便識別需要額外關注的地方，注意維護和管理的例外，描述敏感信息和敏感介質(zhì)清單，建立起保證措施，以便信息敏感性降低或者介質(zhì)被凈化或處置后，不出現(xiàn)不必要的風險。信息安全管理體系的作用對內(nèi)形成單位可自我持續(xù)改進的信息安全管理機制使信息安全的角色和職責清晰，并落實到人確保實現(xiàn)動態(tài)的、系統(tǒng)的、制度化的信息安全管理有利于根本上保證業(yè)務的連續(xù)性，提高市場競爭力對外能夠使客戶、業(yè)務伙伴對單位信息安全充滿信心有助于界定外包雙方的信息安全責任可以使單位更好地滿足審計要求和符合法律法規(guī)保證和外部數(shù)據(jù)交換中的信息安全ISMS過程信息安全控制措施備注附件6.7信息系統(tǒng)安全管理規(guī)范6.8進行監(jiān)測系統(tǒng)安全狀況的能力本項要求：詳細描述申請單位是如何監(jiān)測系統(tǒng)的安全狀態(tài)并處理安全突發(fā)事件的；提供一份具體項目中關于進行監(jiān)測系統(tǒng)安全狀況的相應文檔、記錄。描述如何進行監(jiān)測系統(tǒng)安全狀況的詳細描述分析各種事件記錄，以確定一個事件的原因及其發(fā)展，以及將來可能發(fā)生的事件，對每一個事件進行描述，并建立起日志記錄和來源，對最近的日志加以分析并進行一定的歸納。特別要動態(tài)的監(jiān)控威脅、脆弱性、影響、風險和環(huán)境變化，并在報告中體現(xiàn)，在報告中對變化的意義進行定期評估。能識別出安全突發(fā)事件，定義突發(fā)事件并列出突發(fā)事件，制定突發(fā)事件響應指南，描述出現(xiàn)的突發(fā)事件及其相關詳細情況，包括突發(fā)事件的來源、任何形式的危險、應采取的響應和需要進一步采取的行動，同時報告各種入侵事件，指明入侵事件的來源、任何形式的危險、應采取的響應和需要進一步采取的行動。檢測安全防護措施的執(zhí)行情況，以便識別出安全措施執(zhí)行中的變化。審核系統(tǒng)安全態(tài)勢以識別必要的修改，描述當前安全風險環(huán)境、現(xiàn)有的安全態(tài)勢和對這兩者是否兼容進行分析，并通過第三方權(quán)威組織認證，通過報告的形式指明在運行的系統(tǒng)中，安全風險是可接受的。由于許多事件不能預防，因而對破壞的響應能力是十分重要的。為了保證監(jiān)控活動的可信性，應封存和歸檔相關的日志、審計報告和相關分析結(jié)果。備注6.8信息系統(tǒng)安全監(jiān)測報告6.9進行安全性協(xié)調(diào)的能力本項要求：詳細描述申請單位是如何進行系統(tǒng)安全協(xié)調(diào)的，包括建立的協(xié)調(diào)機制，系統(tǒng)安全協(xié)調(diào)的技術(shù)方法、具體措施等；提供一份具體項目中關于進行安全性協(xié)調(diào)的相應文檔、記錄。描述如何進行安全協(xié)調(diào)的詳細描述確定安全協(xié)調(diào)的信息共享協(xié)議，與業(yè)主及其它專業(yè)承包單位進行系統(tǒng)安全協(xié)調(diào)，包括建立的協(xié)調(diào)機制，系統(tǒng)安全協(xié)調(diào)的技術(shù)方法、具體措施。我公司將實行項目法管理、優(yōu)化資源配置、強化運行機制。在本工程實行“項目法施工”運用系統(tǒng)工程的觀點和方法，對所承建的工程項目進行全過程、全方位的管理。一、嚴格執(zhí)行施工技術(shù)控制措施二、加強圖紙會審和技術(shù)交底控制措施三、加強施工現(xiàn)場文件的管理四、加強員工培訓管理重視對技術(shù)工人隊伍的培訓，定期開展技術(shù)工人崗位技能培訓，解決施工中遇到的技術(shù)難題不斷提高自身的素質(zhì)和能力。五、堅持現(xiàn)場例會制度六、建立工程報告管理制度備注附件6.9信息系統(tǒng)安全協(xié)調(diào)記錄文件6.10進行檢測和證實系統(tǒng)安全性的能力本項要求：詳細描述申請單位是如何檢測和證實系統(tǒng)安全有效性的；提供一份具體項目中關于檢測和證實系統(tǒng)安全性的相應文檔、記錄，如測試方案，檢測記錄單，檢測報告等。

描述如何進行檢測和證實系統(tǒng)安全性的詳細描述通過觀察、論證、分析和測試，因此解決方案依照安全需求、體系結(jié)構(gòu)和設計得到驗證，即證明了解決方案是有效的。解決方案依照用戶的運行證實了安全需求，即證明了解決方案被正確的實施。定義驗證和證實工作，包括資源、進度表、驗證和證實的工作產(chǎn)品。采用測試和分析的方法驗證和證實系統(tǒng)安全，同時定義測試每種解決方案時采取的步驟，并清楚什么樣的驗證和證實結(jié)果才能滿足用戶的安全需求和需要。注意各種方法和工具得到的原始數(shù)據(jù)及在驗證解決方案滿足需求過程中發(fā)現(xiàn)的矛盾。在證實過程中，要將發(fā)現(xiàn)的矛盾寫入問題報告，注意解決方案不能滿足安全的地方，并能找出不能滿足用戶安全需求的解決方案。將測試結(jié)果記入測試結(jié)果文檔，也要將安全需求映映射到解決方案的需求，映射到測試和測試的結(jié)果。在檢測或證實系統(tǒng)安全性時，可使用安全工具和項目管理工具。備注附件6.10信息系統(tǒng)安全能力的檢測和證實6.11進行建立系統(tǒng)安全的保證證據(jù)的能力本項要求：詳細描述組織是如何建立系統(tǒng)安全的保證證據(jù)的，包括對保證的目標進行識別、建立保證證據(jù)庫并對其進行分析等；提供一份具體項目中關于進行建立系統(tǒng)安全的保證證據(jù)的相應文檔、記錄。

描述如何建立系統(tǒng)安全的保證證據(jù)的詳細描述安全保證證據(jù)是收集用于支持給定聲明或子聲明的具體事實。對每個聲明，都須采用共同認可的收集技術(shù)來獲取證據(jù)。由開發(fā)者、集成者、用戶和簽名授權(quán)者確定安全保證目標，同識別新的和經(jīng)修改的安全保證目標。所有安全保證組件相互依存，它們一起以清晰且可防御的方式，闡明共同認可且可用的事實，是如何支持有意義的聲明。這些聲明涵蓋系統(tǒng)防護有效性及其最終安全態(tài)勢。識別并控制安全保證證據(jù)，建立安全保證倉庫，用于存儲開發(fā)、測試和使用期間產(chǎn)生的所有證據(jù)，可考慮使用數(shù)據(jù)庫、工程筆記本、測試結(jié)果、證據(jù)日志記錄的形式。對數(shù)據(jù)倉庫中的安全保證證據(jù)進行分析，從而識別和概述證據(jù)倉庫中證據(jù)的強度和弱點。開發(fā)出一個完整的并被證明與安全目標一致的安全保證目標，并將其提交給用戶。雖然安全保證不針對安全相關風險添加任何額外防御措施，但對于已實施的控制是否會降低預期風險這一點，安全保證確實提供了信心。安全保證也為防御措施是否實現(xiàn)預期功能提供了信心。這種信心來源于防御措施的正確性及其有效性。正確性指防御措施符合實現(xiàn)的需求。有效性指防御措施提供足夠的安全，滿足客戶安全需求。對某些需加強證據(jù)支持的聲明取決于安全保證需求的層次。備注附件6.11信息系統(tǒng)安全自查報告申請單位的項目和組織過程能力本項應包括以下八項內(nèi)容：實現(xiàn)質(zhì)量保證的能力；管理項目風險的能力；規(guī)劃技術(shù)活動的能力；監(jiān)控技術(shù)活動的能力；提供不斷發(fā)展的知識和技能的能力;與供應商協(xié)調(diào)的能力。7.1實現(xiàn)質(zhì)量保證的能力本項要求：詳細描述組織是如何實現(xiàn)質(zhì)量保證的；提供組織實現(xiàn)質(zhì)量保證的相應文檔、記錄。

描述如何實現(xiàn)質(zhì)量保證的詳細描述我公司在二0一二年通過了1、09001：2000國際質(zhì)量體系認證，在國際質(zhì)量標準體系不斷完善的同時，我公司也跟隨國際質(zhì)量標準體系前進的步伐，于二零零四年八月十八日通過了環(huán)境管理體系GB/T24001-2004、職業(yè)健康安全管理體系GB/28001-2001認真，并于認證后繼續(xù)貫徹IS0-9001精髓和我公司品質(zhì)方針的精神，堅持不懈地強化品質(zhì)管理。公司每一個員工嚴格執(zhí)行以上幾種體系認證的要求，明確自己的崗位職責和質(zhì)量職責，規(guī)范項目每一個環(huán)節(jié)的質(zhì)量要求，從而保證項目整體的質(zhì)量。我公司依照IS09001的八大原則（質(zhì)量管理體系總要求、引用標準和應用范圍、術(shù)語和定義、質(zhì)量管理體系、管理職責、資源管理、產(chǎn)品實現(xiàn)、測量、分析和改進）并成立了文控中心，根據(jù)本公司的實際情況編寫了一套適合本公司管理體制的比較完善的質(zhì)量管理手冊，并不斷的監(jiān)督、改進、完善質(zhì)量管理體制。采用合適的測試手段，進行安全工程或安全服務質(zhì)量評估，并對安全工程或安全服務質(zhì)量進行有效的認證。同時每年外審一次，每兩個月內(nèi)審一次，對審核中發(fā)現(xiàn)的問題，采取了糾正和預防措施，保存了內(nèi)審記錄，并對糾正措施進行了跟蹤。確保了有質(zhì)量指標控制體系的有效性和質(zhì)量認證的一致性，減少了不合格品的發(fā)生，消除了質(zhì)量隱患。備注附件7.1質(zhì)量認證管理文件注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.2管理項目風險的能力本項要求：詳細描述組織是如何管理項目風險的;提供管理項目風險的相應文檔、記錄。

描述如何管理項目風險詳細描述項目風險管理是指通過風險識別、風險分析和風險評價去認識項目的風險，并以此為基礎合理地使用各種風險應對措施、管理方法技術(shù)和手段，對項目的風險實行有效的控制，妥善的處理風險事件造成的不利后果，以最少的成本保證項目總體目標實現(xiàn)的管理工作。公司根據(jù)可選擇方案和約束條件，通過對項目目標的測試來識別項目風險，并識別導致錯誤的可能因素，建立起項目風險清單。評估項目風險，并確定其發(fā)生的概率和影響。參考的工具和方式為：統(tǒng)計數(shù)加總、（統(tǒng)計數(shù)加總指將每個具體工作課題的估計成本加總以計算出整個項目的成本的變化范圍。）和模擬法、（模擬法運用假定值或系統(tǒng)模型來分析系統(tǒng)行為或系統(tǒng)表現(xiàn)。較普通的模擬法模式是運用項目模型作為項目框架來制作項目日程表）對項目風險評估正規(guī)化認識，公司審核風險評估并對基于風險的技術(shù)工作做出調(diào)整或取消的決策，這一審核應該包括對潛在風險的緩解努力及其成功可能性的評估。制定風險緩解計劃，通過風險緩解活動可以降低風險發(fā)生率，或當風險已經(jīng)發(fā)生時，減少它的破壞范圍，對于一些特別需要關注的風險，將同時采取幾種風險緩解活動。跟蹤風險緩解活動，獲得風險狀況，進行風險分類。備注附件7.2項目風險評估報告7.3規(guī)劃項目技術(shù)活動的能力本項要求：詳細描述組織是如何規(guī)劃技術(shù)活動的，包括關鍵資源的識別，項目費用估算，確定工程過程，定義項目接口，項目進度計劃等活動；提供關于進行規(guī)劃技術(shù)活動的相應文檔、記錄。

描述如何規(guī)劃項目技術(shù)活動詳細描述一、規(guī)模化工程業(yè)務加強規(guī)模化工程業(yè)務的學習和研究，把握規(guī)模化工程項目特點、重點、難點，運用各類科學手段（尤其是數(shù)字化和信息化）進行技術(shù)經(jīng)濟分析、比較。開發(fā)項目進度表和建立技術(shù)參數(shù)，開發(fā)技術(shù)性管理計劃和確定審核和批準項目計劃。二、提高綜合業(yè)務，增強公司軟實力各類軟件及信息技術(shù)的掌握、人際關系的把握、溝通能力加強、工作作風改進，思想覺悟提高等。三、熟悉合同，把握現(xiàn)場運用合同手段，規(guī)避合同風險，邊界理論（人的要素、時間要素、環(huán)境要素等）重證據(jù)，事前預控、事中掌控、事后應對。講究與其它專業(yè)的配合與融合。一切工作以現(xiàn)場為出發(fā)點，重調(diào)查、分析及反饋，大局觀、預見能力、洞察力、動態(tài)觀、系統(tǒng)觀。四、制定目標，明確思路、建立技術(shù)管理體系結(jié)合合同要求、公司要求、項目總體目標、項目特點等，制定技術(shù)管理工作目標和指標。五、持續(xù)改進，提高技術(shù)管理體系運行效率強化過程管理，增強對所屬各部室檢查、指導、反饋，利用會議、信息化建設。以人為本，以子系統(tǒng)效率（技術(shù)、質(zhì)量、試驗、測量、文檔）保障整個系統(tǒng)效率，不斷理順關系和思路，提高技術(shù)管理的規(guī)范化、系統(tǒng)化、信息化和可控性。六、加強總結(jié)與反饋備注附件7.3技術(shù)管理制度7.4監(jiān)控技術(shù)活動的能力本項要求：詳細描述組織是如何進行監(jiān)控技術(shù)活動的，包括技術(shù)活動指導，項目資源的跟蹤，問題分析等；提供關于進行監(jiān)控技術(shù)活動的相應文檔、記錄。描述如何監(jiān)控技術(shù)活動1、建立、健全技術(shù)監(jiān)控管理網(wǎng)絡體系，規(guī)范技術(shù)監(jiān)控管理工作，充分發(fā)揮技術(shù)監(jiān)控管理的作用。實施對工程從初步設計、設備選型與監(jiān)造、安裝、調(diào)試、試生產(chǎn)到運行、檢修、停備用、技術(shù)改造中的技術(shù)性能檢測等方面的全過程、全方位技術(shù)監(jiān)控管理。2、技術(shù)監(jiān)控管理工作以質(zhì)量為中心，依據(jù)有關的方針政策、法律法規(guī)、標準、規(guī)程、制度，利用計量、檢驗、試驗等手段，建立全方位的管理體系。技術(shù)監(jiān)控管理應充分依靠技術(shù)進步，采用和推廣成熟的、行之有效的新技術(shù)、新方法，不斷提高技術(shù)監(jiān)控管理的專業(yè)水平。3、建立健全公司技術(shù)監(jiān)控管理體系；組織工程部、項目部與技術(shù)監(jiān)控部門簽訂在建項目的“技術(shù)監(jiān)控管理和技術(shù)服務合同”；4、監(jiān)督、指導、協(xié)調(diào)各工程部、項目部技術(shù)監(jiān)控管理工作；5、貫徹執(zhí)行國家、行業(yè)、公司有關技術(shù)監(jiān)控管理政策、規(guī)程、標準、制度、技術(shù)措施等；編制公司技術(shù)監(jiān)控管理實施細則，并組織實施；6、及時了解和掌握各分子公司和技術(shù)監(jiān)控服務單位的技術(shù)動態(tài)，通過技術(shù)監(jiān)控管理工作信息平臺，對公司和技術(shù)監(jiān)控服務單位技術(shù)監(jiān)控指標完成情況、工作計劃完成情況、反事故的措施計劃完成情況、預警督辦問題整改完成情況進行跟蹤，建立健全發(fā)現(xiàn)問題、解決問題的體制和機制；7、負責監(jiān)督、檢查、指導技術(shù)監(jiān)控嚴重問題、特別嚴重問題的整改；8、負責組織重大事故調(diào)查分析和處理工作，并組織制定反事故措施；9、每年至少組織召開一次公司技術(shù)監(jiān)控管理工作會議；10、負責組織協(xié)調(diào)技術(shù)監(jiān)控動態(tài)檢查工作，每年不少于兩次；11、負責協(xié)調(diào)組織技術(shù)監(jiān)控網(wǎng)絡人員每年至少進行一次技術(shù)培訓和新標準宣貫；12、制定技術(shù)監(jiān)控服務單位監(jiān)督網(wǎng)絡各崗位職責、工作程序和標準；對各級專職人員每年至少進行一次任職資格、工作質(zhì)量和業(yè)務能力的培訓與考核，并對其是否勝任提出建議；13、完成技術(shù)監(jiān)控各類報表和工作總結(jié)，按時上報技術(shù)監(jiān)控月報、半年和年度總結(jié)等相關材料；14、建立本單位技術(shù)監(jiān)控自查制度，對發(fā)現(xiàn)的問題制定整改措施并落實解決；15、每年組織召開兩次本單位技術(shù)監(jiān)控工作會議，開展專業(yè)技術(shù)研討，學習掌握有關專業(yè)技術(shù)標準，總結(jié)工作的完成情況，落實工作計劃，并協(xié)調(diào)和解決技術(shù)監(jiān)控中存在的問題等;16、積極配合技術(shù)監(jiān)控服務單位完成動態(tài)檢查工作，對發(fā)現(xiàn)的問題制定切實可行的整改計劃及措施，并嚴格按計劃完成整改工作；17、建立健全本單位設備臺帳等監(jiān)控管理檔案；18、制定本單位技術(shù)監(jiān)控管理星級考評實施細則，組織開展全公司技術(shù)監(jiān)控管理星級評定工作和技術(shù)監(jiān)控網(wǎng)絡各級專責人的星級對標考評工作，考評結(jié)果接受公司的審查。備附件7.4監(jiān)控技術(shù)指導書及檢查表注7.5提供不斷發(fā)展的知識和技能的能力本項要求：詳細描述組織是如何提供不斷發(fā)展的知識和技能的；提供關于提供不斷發(fā)展的知識和技能的相應文檔、記錄。描述如何提供不斷發(fā)展的知識和技能詳細描述以項目需求、組織的策略計劃、現(xiàn)有的員工技能作為引導，對整個組織中的技能和知識中所需的改進進行識別，因此確認組織的培訓需求、項目技