1、信息安全风险评估项目流程
一、售前方案阶段
1.1、工作阐明
技术部配合项目销售经理(如下简称销售)根据客户需求制定项目处理方案,客户承认后,销售与客户签订协议协议,同步向技术部派发项目工单(项目实行使用)
1.2、输出文档
《XXX项目XXX处理方案》
输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。
1.3、注意事项
² 销售需派发内部工单(售前技术支持)
² 输出文档均一式三份(下同)
二、派发项目工单
2.1、工作阐明
销售谈下项目后向技术部派发项目工单,技术部成立项目小组,指定项目实行经理和实行人员。
三、项目启动会议
3.1、工作阐明
2、
² 销售和项目经理与甲方召开项目启动会议,确定各自接口负责人。
² 规定甲方按协议范围提供《资产表》,确定扫描评估范围、人工评估范围和渗透测试范围。
² 请甲方给所有资产赋值(双方确认资产赋值)
² 请甲方指定安全评估调查(访谈)人员
3.2、输出文档
《XXX项目启动会议记要》
客户提交《信息资产表》、《网络拓扑图》,由项目小组临时保管,以供项目实行使用
3.3、注意事项
² 资产数量正负不超过15%;给资产编排序号,以以便事后检查。
² 给人工评估资产做标识,以以便事后检查。
² 资产值是评估汇报重要数据。
² 销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以
3、便项目小组分析制定项目计划使用。
四、项目前期准备
4.1、工作阐明
² 准备项目实行PPT,人工评估原始文档(对象评估文档),扫描工具、渗透测试工具、保密协议和授权书
² 项目小组与销售根据项目内容和范围制定项目实行计划。
4.2、输出文档
《XXX项目实行PPT》
《XXX项目人工访谈原始文档》
《XXX项目保密协议》
《XXX项目XXX授权书》
4.3、注意事项
² 如无资产表和拓扑图需到现场调查后再制定项目实行计划和工作进度安排。
² 项目实行小组与客户约定进场时间。
² 保密协议和授权书均需双方负责人签字并加盖公章。
² 保密协议需项目双方参与人员签字
4、五、驻场实行会议
5.1、工作阐明
项目小组进场与甲方召开项目实行会议(项目实行PPT),确定评估对象和范围(主机、设备、应用、管理等)、实行周期(工作进度安排),双方各自提出自身规定,项目小组规定甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实行过程中需甲方人员陪伴。
5.2、输出文档
《XXX项目驻场实行会议记要》
5.3、注意事项
如前期未准备资产表与拓扑图,在此阶段项目小组进行调查(视状况与否另收费)。
六、现场实行阶段
6.1、工作阐明
² 按照工作计划和被评估对象安排实行进度。
² 重要工作
5、内容
Ø 漏洞扫描(主机、应用、数据库等)
Ø 人工评估(主机、应用、数据库、设备等)
Ø 渗透测试(主机、应用等)
² 项目实行经理做好会议记要和日报,项目实行组员保留所有原始文档并妥善存档。
² 现场实行部分完毕后,双方召开阶段性总结会议(如甲方有需求可对项目实行过程中发现问题进行简要总结,输出简要总结汇报)
6.2、输出文档
《XXX项目XXX人工评估过程文档》
《XXX项目XXX漏洞扫描过程文档》
《XXX项目XXX渗透测试过程文档》
《XXX项目工作日报》
《XXX项目会议记要》
6.3、注意事项
² 若碰到协调问题,双方负责人协调处理
² 实行过程中如出
6、现计划外问题,以会议形式商讨处理
² 日报需项目双方负责人签字确认
七、静态评估阶段
7.1、工作阐明
² 与甲方约定评估汇报输出周期和汇报内容
² 项目小组根据评估成果分工进行汇报输出、整顿汇总,准备项目总结PPT和整改提议(如客户规定则输出整体加固处理方案),完毕后提交企业项目质量评审小组审核,审核通过后提交客户。经客户承认后输出纸质文档。
7.2、输出文档
《XXX项目XXX人工评估汇报》
《XXX项目XXX漏洞扫描汇报》
《XXX项目XXX渗透测试汇报》
《XXX项目安全评估综合汇报》
《XXX项目整改提议书(整体加固处理方案)》
《XXX项目总结》(PPT)
7、
7.3、注意事项
² 根据企业文档原则化体系输出文档(电子版输出PDF格式)
² 记录数据规定完整、精确无误;
² 处理方案与销售讨论后输出文档。
² 项目实行人员对每份输出文档签字,预留甲方接口人员签字位。
八、评估阶段验收
8.1、工作阐明
项目实行经理和销售与甲方召开项目验收会议,讲解项目实行中发现风险、隐患和威胁,与客户讨论处理措施(视项目状况而定),双方验收项目成果(输出汇报),对输出汇报签字确认,并签订项目验收成果书。客户如有需求,则对评估中发现风险、隐患进行加固实行。
8.2、输出文档
《XXX项目验收成果书》
《XXX项目会议记要》
九、安全加固实行
9.1、工作阐明
安全加固参照安全加固项目流程
9.2、输出文档
《XXX项目整体安全加固方案》
《XXX项目XXX安全加固方案》
《会议记要》
《工作日报》
9.3、注意事项
项目实行双方对加固过程文档(纸质)签字确认
十、安全加固验收
10.1、工作阐明
针对已加固对象进行再次风险评估,输出评估成果汇报。
10.2、输出文档
《XXX项目安全加固验收汇报》
10.3、注意事项
项目双方对验收成果签字确认
十一、项目总结会议
对本次风险评估、安全加固过程中碰到问题进行总结,并对遗留问题进行提议。
输出文档:《会议记要》
浙ICP备2021020529号-1 | 浙B2-20240490 
