信息安全风险评估项目流程-

信息安全风险评估项目流程

一、项目启动会议

1.1、工作说明

✧项目经理与甲方召开项目启动会议，确定各自接口负责人。

✧要求甲方按合同范围提供《资产表》，确定扫描评估范围、

人工评估范围和渗透测试范围。

✧请甲方给所有资产赋值（双方确认资产赋值）

✧请甲方指定安全评估调查（访谈）人员

1.2、输出文档

《项目启动会议记要》

客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用

1.3、注意事项

✧资产数量正负不超过15%；给资产编排序号，以方便事后

检查。

✧给人工评估资产做标记，以方便事后检查。

✧资产值是评估报告的重要数据。

✧销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以

便项目小组分析制定项目计划使用。

二、项目前期准备

2.1、工作说明

✧准备人工评估原始文档（调查表），扫描工具、渗透测试工

具、保密协议和授权书

✧项目小组根据项目内容和范围制定项目实施计划。

2.2、输出文档

《信息安全风险评估调查表》

《项目保密协议》

《漏洞扫描、渗透测试授权书》

2.3、注意事项

✧如无资产表和拓扑图需到现场调查后再制定项目实施计划和

工作进度安排。

✧项目实施小组与客户约定进场时间。

✧保密协议和授权书均需双方负责人签字并加盖公章。

✧保密协议需项目双方参与人员签字

三、驻场实施会议

3.1、工作说明

项目小组进场与甲方召开项目实施会议，确定评估对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出自身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书（漏洞扫描、人工评估、渗透测试等）。实施过程中需甲方人员陪同。

3.2、输出文档

无

3.3、注意事项

如前期未准备资产表与拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。

四、现场实施阶段

4.1、工作说明

✧按照工作计划和被评估对象安排实施进度。

✧主要工作内容

➢漏洞扫描（主机、应用、数据库等）

➢人工评估（主机、应用、数据库、设备等）

➢渗透测试（主机、应用等）

✧项目实施成员保留所有原始文档并妥善存档。

✧现场实施部分完成后，双方召开阶段性总结会议（如甲方有

需求可对项目实施过程中发现的问题进行简要总结，输出简

要总结报告）

4.2、输出文档

《XXX项目人工评估过程文档》

《XXX项目漏洞扫描过程文档》

《XXX项目渗透测试过程文档》

4.3、注意事项

✧若遇到协调问题，双方负责人协调解决

✧实施过程中如出现计划外问题，以会议形式商讨解决

✧日报需项目双方负责人签字确认

五、静态评估阶段

5.1、工作说明

✧与甲方商定评估报告输出周期和报告内容

✧项目小组依据评估结果分工进行报告输出、整理汇总，准备

项目总结和整改建议（如客户要求则输出整体加固解决方

案），完成后提交公司项目质量评审小组审核，审核通过后

提交客户。经客户认可后输出纸质文档。

5.2、输出文档

《XXX项目XXX漏洞扫描报告》

《XXX项目XXX渗透测试报告》

《XXX项目安全评估综合报告》

《XXX项目整改建议书（整体加固解决方案）》

5.3、注意事项

✧依据公司文档标准化体系输出文档（电子版输出PDF格

式）

✧统计数据要求完整、准确无误；

✧解决方案与销售讨论后输出文档。

✧项目实施人员对每份输出文档签字，预留甲方接口人员签字

位。

六、评估阶段验收

6.1、工作说明

项目实施经理与甲方召开项目验收会议，讲解项目实施中发现

的风险、隐患和威胁，与客户讨论解决方法（视项目情况而定），双方验收项目成果（输出的报告），对输出报告签字确认，并签订项目验收成果书。客户如有需求，则对评估中发现的风险、隐患进行加固实施。

6.2、输出文档

《XXX项目验收成果书》

七、项目总结会议

对本次风险评估、安全加固过程中遇到的问题进行总结，并对遗留问题进行建议。