信息安全風(fēng)險評估項目流程

1、信息安全風(fēng)險評估項目流程一、售前方案階段1.1 、工作說明技術(shù)部配合項目銷售經(jīng)理 （以下簡稱銷售） 根據(jù)客戶需求制定項 目解決方案，客戶認可后， 銷售與客戶簽訂合同協(xié)議，同時向技術(shù)部 派發(fā)項目工單（項目實施使用）1.2 、輸出文檔XXX 項目 XXX 解決方案輸出文檔（電子版、紙質(zhì)版）交付銷售助理保管，電子版抄送技 術(shù)部助理。1.3 、注意事項銷售需派發(fā)內(nèi)部工單（售前技術(shù)支持）輸出文檔均一式三份（下同）二、派發(fā)項目工單2.1 、工作說明銷售談下項目后向技術(shù)部派發(fā)項目工單，技術(shù)部成立項目小組，指定項目實施經(jīng)理和實施人員。三、項目啟動會議3.1 、工作說明銷售和項目經(jīng)理與甲方召開項目啟動會議，確定

2、各自接口負 責(zé)人。要求甲方按合同范圍提供資產(chǎn)表 ，確定掃描評估范圍、人 工評估范圍和滲透測試范圍。請甲方給所有資產(chǎn)賦值（雙方確認資產(chǎn)賦值） 請甲方指定安全評估調(diào)查（訪談）人員3.2 、輸出文檔XXX 項目啟動會議記要 客戶提交信息資產(chǎn)表、網(wǎng)絡(luò)拓撲圖，由項目小組暫時保管， 以供項目實施使用3.3 、注意事項資產(chǎn)數(shù)量正負不超過 15% ；給資產(chǎn)編排序號，以方便事后檢 查。給人工評估資產(chǎn)做標記，以方便事后檢查。 資產(chǎn)值是評估報告的重要數(shù)據(jù)。銷售跟客戶溝通，為項目小組提供信息資產(chǎn)表及拓撲圖，以便項目小組分析制定項目計劃使用。四、項目前期準備4.1 、工作說明準備項目實施PPT,人工評估原始文檔（對象評

3、估文檔），掃描工具、滲透測試工具、保密協(xié)議和授權(quán)書 項目小組與銷售根據(jù)項目內(nèi)容和范圍制定項目實施計劃。4.2 、輸出文檔XXX項目實施PPT XXX 項目人工訪談原始文檔 XXX 項目保密協(xié)議 XXX 項目 XXX 授權(quán)書4.3 、注意事項如無資產(chǎn)表和拓撲圖需到現(xiàn)場調(diào)查后再制定項目實施計劃和 工作進度安排。項目實施小組與客戶約定進場時間。 保密協(xié)議和授權(quán)書均需雙方負責(zé)人簽字并加蓋公章。 保密協(xié)議需項目雙方參與人員簽字五、駐場實施會議5.1 、工作說明項目小組進場與甲方召開項目實施會議（項目實施 PPT）,確定 評估對象和范圍（主機、設(shè)備、應(yīng)用、管理等） 、實施周期（工作進 度安排），雙方各自提

4、出自身要求， 項目小組要求甲方提供辦公場地、 打印機、接入網(wǎng)絡(luò)等項目必備環(huán)境。與甲方簽訂評估保密協(xié)議、授權(quán) 書（漏洞掃描、人工評估、滲透測試等） 。實施過程中需甲方人員陪 同。5.2 、輸出文檔XXX項目駐場實施會議記要5.3 、注意事項如前期未準備資產(chǎn)表與拓撲圖， 在此階段項目小組進行調(diào)查 （視 情況是否另收費） 。六、現(xiàn)場實施階段6.1 、工作說明按照工作計劃和被評估對象安排實施進度。主要工作內(nèi)容漏洞掃描（主機、應(yīng)用、數(shù)據(jù)庫等）人工評估（主機、應(yīng)用、數(shù)據(jù)庫、設(shè)備等） 滲透測試（主機、應(yīng)用等） 項目實施經(jīng)理做好會議記要和日報，項目實施成員保留所有 原始文檔并妥善存檔。現(xiàn)場實施部分完成后，雙方

5、召開階段性總結(jié)會議（如甲方有 需求可對項目實施過程中發(fā)現(xiàn)的問題進行簡要總結(jié)，輸出簡 要總結(jié)報告）6.2 、輸出文檔 XXX 項目 XXX 人工評估過程文檔 XXX 項目 XXX 漏洞掃描過程文檔 XXX 項目 XXX 滲透測試過程文檔 XXX 項目工作日報 XXX 項目會議記要6.3 、注意事項若遇到協(xié)調(diào)問題，雙方負責(zé)人協(xié)調(diào)解決 實施過程中如出現(xiàn)計劃外問題，以會議形式商討解決 日報需項目雙方負責(zé)人簽字確認七、靜態(tài)評估階段7.1 、工作說明與甲方商定評估報告輸出周期和報告內(nèi)容 項目小組依據(jù)評估結(jié)果分工進行報告輸出、整理匯總，準備 項目總結(jié) PPT 和整改建議 （如客戶要求則輸出整體加固解決 方案

6、），完成后提交公司項目質(zhì)量評審小組審核， 審核通過后 提交客戶。經(jīng)客戶認可后輸出紙質(zhì)文檔。7.2 、輸出文檔 XXX 項目 XXX 人工評估報告 XXX 項目 XXX 漏洞掃描報告 XXX 項目 XXX 滲透測試報告 XXX 項目安全評估綜合報告 XXX 項目整改建議書（整體加固解決方案） XXX 項目總結(jié)（ PPT）7.3 、注意事項依據(jù)公司文檔標準化體系輸出文檔（電子版輸出 PDF 格式） 統(tǒng)計數(shù)據(jù)要求完整、準確無誤； 解決方案與銷售討論后輸出文檔。項目實施人員對每份輸出文檔簽字，預(yù)留甲方接口人員簽字位。八、評估階段驗收8.1 、工作說明項目實施經(jīng)理和銷售與甲方召開項目驗收會議， 講解項目實施中 發(fā)現(xiàn)的風(fēng)險、隱患和威脅，與客戶討論解決方法 （視項目情況而定）， 雙方驗收項目成果（輸出的報告） ，對輸出報告簽字確認，并簽訂項 目驗收成果書。客戶如有需求，則對評估中發(fā)現(xiàn)的風(fēng)險、隱患進行加 固實施。8.2 、輸出文檔 XXX 項目驗收成果書 XXX 項目會議記要九、安全加固實施9.1 、工作說明安全加固參考安全加固項目流程9.2 、輸出文檔 XXX 項目整體安全加固方案 XXX 項目 XXX 安全加固方案會議記要工作日報9.3 、注意事項項目實施雙方對加固過程文檔（紙質(zhì)）簽字確認十、安全加固驗收10.1 、工作說明針對已加固對象進行再次風(fēng)險評估，輸出評