信息安全风险评估项目工序与操作流程.docVIP

信息安全风险评估项目工序与流程 由于写报告的需要，上网找的资料，把它保存起来。 原文地址：一、项目启动1．双方召开项目启动会议，确定各自接口负责人。?? ?==工作输出1．《业务安全评估相关成员列表》（包括双方人员）2．《报告蓝图》?? ??? ?==备注1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。二、确定工作范围1．请局方按合同范围提供《资产表》，也即扫描评估范围。2．请局方指定需进行人工评估的资产，确定人工评估范围。3．请局方给所有资产赋值（双方确认资产赋值）4．请局方指定安全管理问卷调查（访谈）人员，管理、员工、安全主管各一人。==工作输出1．《会议备忘》（要求签字确认）2．《资产表》（包括人工评估标记和资产值）==备注1．资产数量正负不超过15%；给资产编排序号，以方便事后检查。2．给人工评估资产做标记，以方便事后检查。3．资产值是评估报告的重要数据。三、制定整体实施计划1．按照工作范围制定整个项目的总体计划，包括现场准备、扫描评估、人工评估、问卷调查、加固实施等各阶段。2．与接口负责人共同确定针对各相关资产进行管理评估，入侵检测系统实施扫描评估、人工评估的日期和时间段。==工作输出1．《总体项目进度甘特图》2．《评估阶段工作计划表》==备注1．扫描评估、人工评估、问卷调查在可能的情况下可以同期进行；《工作计划表》交项目经理参考，以便配合。2．确定日期以便于制定工作计划；确定时间段（白天、晚间、夜间甚至钟点）对加固阶段详细计划的确定更重要。四、管理评估阶段1．提供现有的安全管理规范和管理制度。2．提供对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明（如能提供系统设计方案更佳）。3．对应业务的管理、员工、安全主管进行访谈。4．对现有安全管理制度的实行情况进行审计。5．对评估中需要的其他策略文档进行收集。==工作输出1．《资料接收单》2．《安全访谈记录单》==备注1．对提供的电子或纸质文档进行严格的保密和内部使用控制，资料接收时需要填写《资料接收单》并签字。2．访谈记录单内容需要与被访谈人进行确认及签字。3．对于发现的重要情况，均须与对应配合人员进行确认，重大内容需要双方签字。五、技术评估阶段1．提出扫描申请2．每日制定第二天的日工作计划，包括扫描评估、人工评估、问卷调查等详细计划。3．进行扫描评估（每次扫描完成后，应有扫描确认，需用户方签字）。4．进行人工评估（每次人工评估完成后，应有人工评估确认，需用户方签字）。6．双方协商布置在网络关键节点上布置入侵检测系统（一般放置3天）。7．在整个项目技术部分基本结束时，双方协商进行渗透测试。8．每日进行记录和总结。9．逢周末进行周工作总结。==工作输出1．《扫描申请报告》/《原始弱点报告》2．《日工作计划》3．《工作确认单》4．评估数据5．《入侵检测系统布置申请报告》《入侵检测系统日志分析报告》6．《渗透测试申请报告》/《渗透测试报告》7．《日工作记录》8．《周工作总结》==备注1．签字确认。2．清晰明确的日工作计划才能使当日工作有条不紊。3．工作确认单是你工作完成的凭证。4．收集好评估数据，并妥善保存。5．签字，注意端口镜像原则上必须由客户进行配置。6．签字，并重新确认实施时间与实施范围，有可能的情况下，需要甲方全程陪同。7．每日总结并检查当日工作是否完成，如未完成，要考虑后期计划的调整。六、数据整理1．工作整理。2．撰写评估报告。3．撰写加固方案和安全建议。==工作输出1．《评估阶段工作总结》2．《网络安全风险评估报告》3．《网络安全建议报告》七、项目验收1．提交项目成果。2．报告解读3．培训 ENGEE / amxku_at_个人拙见，有不妥之处还望斧正。