信息安全风险评估综合项目作业流程.docxVIP

信息安全风险评定项目步骤

一、售前方案阶段

1.1、工作说明

技术部配合项目销售经理（以下简称销售）依据用户需求制订项目处理方案，用户认可后，销售和用户签署协议协议，同时向技术部派发项目工单（项目实施使用）

1.2、输出文档

《XXX项目XXX处理方案》

输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。

1.3、注意事项

销售需派发内部工单（售前技术支持）

输出文档均一式三份（下同）

二、派发项目工单

2.1、工作说明

销售谈下项目后向技术部派发项目工单，技术部成立项目小组，指定项目实施经理和实施人员。

三、项目开启会议

3.1、工作说明

销售和项目经理和甲方召开项目开启会议，确定各自接口责任人。

要求甲方按协议范围提供《资产表》，确定扫描评定范围、人工评定范围和渗透测试范围。

请甲方给全部资产赋值（双方确定资产赋值）

请甲方指定安全评定调查（访谈）人员

3.2、输出文档

《XXX项目开启会议记要》

用户提交《信息资产表》、《网络拓扑图》，由项目小组临时保管，以供项目实施使用

3.3、注意事项

资产数量正负不超出15%；给资产编排序号，以方便事后检验。

给人工评定资产做标识，以方便事后检验。

资产值是评定汇报关键数据。

销售跟用户沟通，为项目小组提供信息资产表及拓扑图，方便项目小组分析制订项目计划使用。

四、项现在期准备

4.1、工作说明

准备项目实施PPT，人工评定原始文档（对象评定文档），扫描工具、渗透测试工具、保密协议和授权书

项目小组和销售依据项目内容和范围制订项目实施计划。

4.2、输出文档

《XXX项目实施PPT》

《XXX项目人工访谈原始文档》

《XXX项目保密协议》

《XXX项目XXX授权书》

4.3、注意事项

如无资产表和拓扑图需到现场调查后再制订项目实施计划和工作进度安排。

项目实施小组和用户约定进场时间。

保密协议和授权书均需双方责任人签字并加盖公章。

保密协议需项目双方参与人员签字

五、驻场实施会议

5.1、工作说明

项目小组进场和甲方召开项目实施会议（项目实施PPT），确定评定对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出本身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。和甲方签署评定保密协议、授权书（漏洞扫描、人工评定、渗透测试等）。实施过程中需甲方人员陪同。

5.2、输出文档

《XXX项目驻场实施会议记要》

5.3、注意事项

如前期未准备资产表和拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。

六、现场实施阶段

6.1、工作说明

根据工作计划和被评定对象安排实施进度。

关键工作内容

漏洞扫描（主机、应用、数据库等）

人工评定（主机、应用、数据库、设备等）

渗透测试（主机、应用等）

项目实施经理做好会议记要和日报，项目实施组员保留全部原始文档并妥善存档。

现场实施部分完成后，双方召开阶段性总结会议（如甲方有需求可对项目实施过程中发觉问题进行简明总结，输出简明总结汇报）

6.2、输出文档

《XXX项目XXX人工评定过程文档》

《XXX项目XXX漏洞扫描过程文档》

《XXX项目XXX渗透测试过程文档》

《XXX项目工作日报》

《XXX项目会议记要》

6.3、注意事项

若碰到协调问题，双方责任人协调处理

实施过程中如出现计划外问题，以会议形式商讨处理

日报需项目双方责任人签字确定

七、静态评定阶段

7.1、工作说明

和甲方约定评定汇报输出周期和汇报内容

项目小组依据评定结果分工进行汇报输出、整理汇总，准备项目总结PPT和整改提议（如用户要求则输出整体加固处理方案），完成后提交企业项目质量评审小组审核，审核经过后提交用户。经用户认可后输出纸质文档。

7.2、输出文档

《XXX项目XXX人工评定汇报》

《XXX项目XXX漏洞扫描汇报》

《XXX项目XXX渗透测试汇报》

《XXX项目安全评定综合汇报》

《XXX项目整改提议书（整体加固处理方案）》

《XXX项目总结》（PPT）

7.3、注意事项

依据企业文档标准化体系输出文档（电子版输出PDF格式）

统计数据要求完整、正确无误；

处理方案和销售讨论后输出文档。

项目实施人员对每份输出文档签字，预留甲方接口人员签字位。

八、评定阶段验收

8.1、工作说明

项目实施经理和销售和甲方召开项目验收会议，讲解项目实施中发觉风险、隐患和威胁，和用户讨论处理方法（视项目情况而定），双方验收项目结果（输出汇报），对输出汇报签字确定，并签署项目验收结果书。用户如有需求，则对评定中发觉风险、隐患进行加固实施。

8.2、输出文档

《XXX项目验收结果书》

《XXX项目会议记要》

九、安全加固实施

9.1、工作说明

安全加固参考安全加固项目步骤

9.2、输出文档

《XXX项目整体安全加固方案》

《XXX项