14-等级保护测评项目实施过程讲解
等级保护实施技术环节说明课件
数据加密传输
采用加密技术对敏感数据进行加密传 输,保证数据传输过程中的安全性。
入侵检测与防御
部署入侵检测系统,及时发现和防御 网络攻击。
应用安全
身份认证
建立完善的身份认证机制 ,确保用户身份的合法性 和真实性。
访问控制
根据用户角色和权限,限 制对重要资源的访问。
03
技术要求
物理安全
01
02
03
物理访问控制
确保只有授权人员能够访 问物理设施,如通过门禁 系统测 ,及时发现异常情况并采 取相应措施。
防盗窃和防破坏
采取有效措施防止盗窃和 破坏行为,如设置安全警 报系统、加强巡逻等。
网络安全
防火墙配置
国际标准
国际上也有类似的等级保护标准,如ISO27001等,我国在制定等级保护标准时也参考了 国际标准,并与国际标准保持一致。
02
等级保护实施流程
确定等级
确定信息系统重要程度
根据业务需求、系统规模和安全风险等因素,评估信息系统的等级,一般分为 五级(自主保护级、指导保护级、监督保护级、强制保护级和专控保护级)。
安全审计
对重要操作进行安全审计 ,记录操作日志,以便事 后追溯和分析。
04
安全管理制度
安全策略与制度
安全策略
制定全面的安全策略,明确安全目标 和安全风险控制措施,确保组织的安 全性。
安全制度
建立完善的安全管理制度,包括安全 检查、安全事件处置、安全漏洞修补 等,确保安全工作的有序进行。
安全责任制
等级保护实施技术环节说明 课件
目录
• 等级保护概述 • 等级保护实施流程 • 技术要求 • 安全管理制度 • 安全技术措施
等保系列之——网络安全等级保护测评工作流程及工作内容
等保系列之——网络安全等级保护测评工作流程及工作内容一、网络安全等级保护测评过程概述网络安全等级保护测评工作过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。
而测评相关方之间的沟通与洽谈应贯穿整个测评过程。
每一项活动有一定的工作任务。
如下表。
01基本工作流程①测评准备活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。
测评准备工作是否充分直接关系到后续工作能否顺利开展。
本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
②方案编制活动本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
③现场测评活动本活动是开展等级测评工作的核心活动。
本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
④分析与报告编制活动本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果和《信息安全技术网络安全等级保护测评要求》GB/T28448-2023的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
02工作方法网络安全等级保护测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。
访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。
访谈的对象是人员,访谈涉及的技术安全和管理安全测评的测评结果,要提供记录或录音。
等级保护测评-完全过程(非常全面)
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
等保测评流程范文
等保测评流程范文信息安全等级保护测评(以下简称等保测评)是指对信息系统进行安全性评估与等级评定的一项工作。
等保测评是信息安全等级保护的重要环节,通过对信息系统进行全面评估,评估其安全运行状况和安全等级,为后续的安全保护工作提供有力支持。
下面将介绍等保测评的主要流程。
等保测评的主要流程可以分为需求分析、测评准备、测评实施、评定报告编写和归档等五个阶段。
1.需求分析阶段:该阶段主要是对测评的目的、范围、要求进行明确和分析。
在这一阶段,需要明确等保测评的目标、重点、所需资源、时间等,同时也需要对待测评的信息系统进行初步了解,并确定测评的需求和测评指标。
2.测评准备阶段:该阶段的主要工作是为测评做好准备工作,包括制定测评方案和计划、组建测评团队、收集所需资料和工具以及进行安全事件模拟等。
在制定测评方案和计划时,需要明确信息系统的安全等级、测评的时间和地点、测评资源的分配等。
另外,还需要组建测评团队,确保团队成员具备相应的专业知识和技能,以便能够顺利进行测评工作。
同时,还需要收集所需资料和工具,并准备必要的安全事件模拟场景。
3.测评实施阶段:该阶段是整个等保测评的核心阶段,主要是通过对信息系统进行实际的安全性评估和等级评定,发现其存在的安全问题和隐患,查找其不足之处,并进行相应的风险分析。
在这一阶段,测评团队需要根据测评方案和计划对信息系统进行全面的检查和测试,包括系统的物理安全性、网络安全性、应用安全性、数据安全性等。
同时,还需要对系统的安全策略、安全控制和安全管理进行评估。
在实施阶段,需要记录所有的发现问题,包括安全漏洞、风险以及可能带来的影响。
4.评定报告编写阶段:在该阶段,测评团队根据实际的测评结果和发现的问题,撰写相应的评定报告。
评定报告主要包括对信息系统安全等级的评定结论、存在的安全问题和不足之处以及相关的改进建议等内容。
评定报告需要进行逻辑整理和说明,并确保准确、全面和一致。
5.归档阶段:在等保测评的最后一步,将评定报告进行归档保存,并做好相应的管理工作。
14-等级保护测评项目实施过程讲解
人工访谈,配置检查,文档查看
现场测评-网络安全测评举例
例:ቤተ መጻሕፍቲ ባይዱ
“系统内有专门用于 审计的日志服务器” (人工访谈)
测评项内容:应对网络系统中 的网络设备运行状况、网络流 量、用户行为等进行日志记录 测评项内容:应对登录网络设 备的用户进行身份鉴别;
(配置检查) 测评项内容:具有层次网络结 构的单位可统一提供互联网出 口; 记录结论
15
测评须知-测评风险
验证测试可能影响系统正常运行!
工具测试可能影响系统正常运行! 敏感信息可能泄露!
等级保护测评项目
16
方案编制
等级保护测评工作流程
测评准备
测 评 对 象 的 确 定 工 具 和 表 单 准 备 测 评 指 标 确 定 测 评 工 具 接 入 点 确 定 测 评 内 容 确 定 测 评 指 导 书 开 发 测 评 方 案 编 制
38
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
39
分析与编制报告
工作内容
对前期测评工作成果进行分析,评论,
以及建议。
目标
正式输出:《等级保护测评报告》
40
等级保护测评报告-文档结构
在测评准备阶段,输出项目计划书
在方案编制阶段,输出测评方案 在现场测评阶段,根据测评内容,确定测评
4.使用的技术装备、设施应当符合《信息安全等级保护管理办法》
(公通字[2007]43号)对信息安全产品的要求。 5.具备相应的安全管理制度。 6.对国家安全、社会秩序、公共利益不构成威胁。
14
测评须知-执行主体义务
1.遵守国家有关法律法规和技术标准,提供安全、客观、
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
2014信息安全等级保护测评机构异地备案实施细则
附件1:信息安全等级保护测评机构异地备案实施细则第一条为加强对等级测评机构异地开展测评项目的管理,规范测评机构异地备案流程,根据《信息安全等级保护管理办法》和《信息安全等级保护测评机构管理办法》,制定本实施细则。
第二条各地已审核推荐的等级测评机构,到推荐地以外地区开展等级测评项目的,应到测评地办理备案手续。
各省级信息安全等级保护协调(领导)小组办公室(以下简称“等保办”)负责受理备案。
第三条等级测评机构办理备案手续,应于异地信息系统等级测评项目合同签订之前完成。
办理时,测评机构应首先到中国信息安全等级保护网站下载《等级测评机构异地测评项目备案表》(以下简称《备案表》),准备好备案相关文件。
第四条测评机构填写完《备案表》并盖章后,应首先提交推荐地省级等保办审阅,再向测评地省级等保办备案。
《备案表》一式三份,测评机构、推荐地和测评地省级等保办各执一份,备案时应提交《备案表》电子文档。
第五条省级等保办收到测评机构提交的备案材料后,应当对备案材料是否完备,是否符合测评工作要求,其纸质材料和电子文档是否一致等内容进行审核,并通过《中国信息安全等级保护网》,核实测评机构和等级测评师的相关信息。
第六条经审核,对备案材料符合要求的,省级等保办应当自收到备案材料之日起的五个工作日内完成备案,并将加盖省级信息安全等级保护专用章的《备案表》反馈测评机构。
对材料不符合要求的,省级等保办应在五个工作日内通知测评机构。
第七条通过备案的测评机构,在异地开展测评项目时,应严格按照《信息安全等级保护测评机构管理办法》第十七条、第十八条等相关规定执行。
第八条测评机构在异地开展等级测评项目,应当遵守当地相关工作要求。
对未办理备案手续而在异地开展等级测评项目的,省级等保办可责令测评机构停止测评活动,直至测评机构办理完成相关备案手续。
第九条国家等保办推荐的等级测评机构到北京以外的区域开展等级测评项目时,也须按照本细则规定办理备案手续。
第十条受理备案的省级等保办应建立管理制度,对备案材料和信息系统等级测评数据进行严格管理。
等级保护测评-完全过程(非常全面)
G:通用安全保护类要求。--技术类中 的安全审计、管理制度等
等级保护测评指标
技术/ 管理
安全类
测评指标 安全子类数量
S类 S类 A类 A类 G类 G类 F类 F类 (2级) (3级) (2级) (3级) (2级) (3级) (2级) (3级)
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护完全实施过程
信息系统定级
等
安全总体规划
级
变
更
安全设计与实施
局 部 调
整 安全运行维护
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
分析与编制报告
3
测评须知-等保制度
等级保护制度
定义:根据信息系统在国家安全、经济 建设、社会生活中的重要程度;遭到破 坏后对国家安全、社会秩序、公共利益 以及公民、法人和其他组织的合法权益 的危害程度;将信息系统划分为不同的 安全保护等级并对其实施不同的保护和 监管。 作用:体现国家管理意志,构建国家信 息安全保障体系,保障信息化发展和维
安言咨询 等级保护测评项目实施过程讲解
总述
等级保护测评项目实施培训资料是以《信息系统安
全保护测评过程指南》中的内容为主线,以等级保护相
关的管理规范和技术标准为参考资料,对等级保护测评 项目中涉及到的重点概念,重要流程,以及具体的测评
方法等进行了较为详细的阐述。
2
目录
测评须知 测评准备
方案编制
现场测评
7
测评须知-测评内容
8
测评须知-标准规范
信息系统等级保护由 国家发布一系列的信息安全管理规范与技术标准作为 具体工作中的指导。
文档名称
信息系统安全等级保护基本要求 信息系统安全等级保护测评要求
主要内容
规定了不同安全等级保护信息系统的最低保 护要求,包括技术和管理两方面的内容 规定了不同安全等级保护信息系统的测评要 求 从信息系统所承载的业务在国家安全、经济 建设、社会生活中的重要作用和业务对信息 系统的以来程度这两方面,提出确定信息系 统安全保护等级的方法 规定了信息系统安全等级保护实施的过程, 适用于指导信息系统安全等级保护的实施
15
测评须知-测评风险
验证测试可能影响系统正常运行!
工具测试可能影响系统正常运行! 敏感信息可能泄露!
等级保护测评项目
16
方案编制
等级保护测评工作流程
测评准备
测 评 对 象 的 确 定 工 具 和 表 单 准 备 测 评 指 标 确 定 测 评 工 具 接 入 点 确 定 测 评 内 容 确 定 测 评 指 导 书 开 发 测 评 方 案 编 制
测评项内容:操作系统用户身 份鉴别信息应不易被冒用,口 令复杂度应满足要求并定期更 换。口令长度不得小于8位,且 为字母、数字或特殊字符的混 合组合,用户名和口令禁止相 同;
查看操作系统的账号策略 以Windows系统为例,在开始 ->运行->“gpedit.msc” 查看组策略。(配置检查)
测评项内容:应对重要服务器 进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资 源的使用情况
33
人工访谈,配置检查,文档查看
现场测评-网络安全测评举例
例:
“系统内有专门用于 审计的日志服务器” (人工访谈)
测评项内容:应对网络系统中 的网络设备运行状况、网络流 量、用户行为等进行日志记录 测评项内容:应对登录网络设 备的用户进行身份鉴别;
(配置检查) 测评项内容:具有层次网络结 构的单位可统一提供互联网出 口; 记录结论
发测评指导书,形成测评方案。
23
方案编制-工作流程
24
方案编制-阶段成果
Байду номын сангаас测评方案指定了测评对象,测评内 容以及测评方法 。
测试方案
25
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
26
现场测评-工作内容
依据测评方案实施现场测评工作,将测 评方案和测评工具等具体落实到现场测 评活动中。
现场 测评准备
12
测评须知-测评目的
现状 评估
检测评估信息 系统安全等级
差距 整改
根据评测结论进行 整改,使得信息系
落实 制度
落实信息安全 等级保护制度
保护状况
统符合相应等级的
保护能力。
查漏补缺,落实制度
13
测评须知-执行主体
1.中华人民共和国境内注册,中国公民投资、中国法人投资或者
国家投资的企事业单位。
2.从事相关检测评估工作两年以上,无违法记录。 3.工作人员及法人应符合相关的规定。
信息系统安全等级保护定级指南
信息系统安全等级保护实施指南 信息系统安全等级保护测评过程指南
规定了信息系统安全等级保护测评的过程, 适用于指导信息系统安全等级保护测评的实 施
9
测评须知-系统定级
信息系统的安全等级由两个定级要素决定: 1. 等级保护对象受到破坏时所侵害的客体
2. 对客体造成侵害的程度
信息收集和分 析
填好的调查表 格
工具和表单准 备
各类表单
现场测评授权、交接的文档名称、 会议记录项目、会议签到项目。 19
测评准备-工作流程
20
测评准备-阶段成果
确立项目计划
确定测评工具
获取信息系统
相关资料
21
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
22
方案编制-工作内容
方案编制工作是开展等级保护测评工作的关键环节, 为现场测评提供最基本的文档和指导方案,本活动 的主要任务是确定与被测信息系统相适应的测评对 象、测评指标及测评内容等,并根据需要重用或开
护国家安全。
4
测评须知-等保对象
等级保护对象
电信广电行业的公用通信网,广播电视传输网等基础信 息网络,经营性公众互联网信息服务单位、互联网接入 服务单位、数据中心等单位的重要信息系统
铁路、银行、海关、税务、民航、电力、证券、保险、
外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源、 交通、文化、教育、统计、工商行政管理、邮政等行业、
现场测评
分析与编制报告
等 级 测 评 项 目 启 动
信 息 收 集 与 分 析
测 评 实 施 准 备
现 场 测 评 和 结 果 记 录
结 果 确 认 和 资 料 返 还
单 项 测 评 结 果 判 断
单 元 测 评 结 果 判 定
整 体 测 评
风 险 分 析
等 级 测 评 结 论 形 成
测 评 报 告 编 制
应用安全、管理安全等方面。
在测评方案中,体现测评内容的为条目化的测评项。
29
现场测评-测评内容举例
30
现场测评-物理安全测评
测评内容
各类物理安全相关内容:物
理位置的选择、物理访问控制、 防雷、防火…..
测评方式
现场勘查,人工访谈
注意: 测评内容在测试方案的物理安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
38
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
39
分析与编制报告
工作内容
对前期测评工作成果进行分析,评论,
以及建议。
目标
正式输出:《等级保护测评报告》
40
等级保护测评报告-文档结构
在测评准备阶段,输出项目计划书
在方案编制阶段,输出测评方案 在现场测评阶段,根据测评内容,确定测评
(文档查看)
34
现场测评-主机安全测评
测评内容
包括:身份鉴别、安全标记、资
源控制、访问控制…….
测评方式
人工访谈,配置检查
注意: 测评内容在测试方案的主机安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
35
现场测评-主机安全测评举例
37
现场测评-应用安全测评举例
测评项内容:应 根据安全策略设 置登录终端的操 作超时锁定;
以oracle为例,查看oracle的 概要文件中的相关配置。(配 置检查)
测评项内容:应能 够通过操作系统自 身功能或第三方工 具根据记录数据进 行分析,并生成审 计报表;
记录结论
询问是否有此功能,是否有第 三方工具具有此功能。(人工 访谈)
结果。
在分析与编制报告阶段,完成结论,问题,
建议,
输出《等级保护测评报告》
41
地址:上海市长宁路855号亨通国际大厦8楼B座 电邮:service@
部门的生产、调度、管理、办公等重要信息系统。
市(地)级以上党政机关的重要网站和办公信息系统。
5
测评须知-等级保护工作流程
针对新建系统和已建系统,有 不同的等级保护工作流程
等级保护测评工作是等保工作
中的重要环节
测评须知-等级保护测评
等级保护测评
定义:等级测评是测评机构依据《信 息系统安全等级保护测评要求》等管 理规范和技术标准,检测评估信息系 统安全等级保护状况是否达到相应等 级基本要求的过程。
记录结论 询问是否有专门的监控软件, 询问是否能监控到这些指标 (人工访谈)。
36
现场测评-应用安全测评
测评内容
包括:身份鉴别、安全标记、资
源控制、访问控制…….
测评方式
人工访谈,配置检查
注意: 测评内容在测试方案的应用安全部分的测试项中体现。 可参考《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
访谈,检查
目录
测评须知 测评准备
方案编制
现场测评
分析与编制报告
18
测评准备-工作内容
顺利启动测评项目,准备测评所需的相关资料,为
顺利编制测评方案打下良好的基础。
任务 项目启动 输出文档 项目计划书 文档内容 项目概述、工作依据、技术思路、 工作内容和项目组织等 被测系统的安全保护等级、业务情 况、数据情况、软硬件情况、管理 模式和相关部门及角色等。
31