信息安全风险评估项目流程

1、信息安全风险评估项目流程一、售前方案阶段1.1 、工作说明技术部配合项目销售经理（以下简称销售）根据客户需求制定 项目解决方案，客户认可后，销售与客户签订合同协议，同时向技 术部派发项目工单（项目实施使用）1.2 、输出文档XXX 项目 XXX 解决方案输出文档（电子版、纸质版）交付销售助理保管，电子版抄送 技术部助理。1.3 、注意事项销售需派发内部工单（售前技术支持）输出文档均一式三份（下同）二、派发项目工单2.1 、工作说明销售谈下项目后向技术部派发项目工单，技术部成立项目小 组，指定项目实施经理和实施人员。三、项目启动会议3.1 、工作说明销售和项目经理与甲方召开项目启动会议，确定各自

2、接口负 责人。要求甲方按合同范围提供资产表 ，确定扫描评估范围、 人工评估范围和渗透测试范围。请甲方给所有资产赋值（双方确认资产赋值） 请甲方指定安全评估调查（访谈）人员3.2 、输出文档XXX 项目启动会议记要客户提交信息资产表 、网络拓扑图，由项目小组暂时保 管，以供项目实施使用3.3 、注意事项资产数量正负不超过 15% ；给资产编排序号，以方便事后 检查。给人工评估资产做标记，以方便事后检查。资产值是评估报告的重要数据。销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以便项目小组分析制定项目计划使用。四、项目前期准备4.1 、工作说明准备项目实施PPT，人工评估原始文档（对象评估文档

3、）扫描工具、渗透测试工具、保密协议和授权书项目小组与销售根据项目内容和范围制定项目实施计划。4.2 、输出文档XXX 项目实施 PPTXXX 项目人工访谈原始文档XXX 项目保密协议XXX 项目 XXX 授权书4.3 、注意事项如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。项目实施小组与客户约定进场时间。 保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字五、驻场实施会议5.1 、工作说明项目小组进场与甲方召开项目实施会议（项目实施 PPT）,确定 评估对象和范围（主机、设备、应用、管理等） 、实施周期（工作进 度安排），双方各自提出自身要求，项

4、目小组要求甲方提供办公场 地、打印机、接入网络等项目必备环境。与甲方签订评估保密协 议、授权书（漏洞扫描、人工评估、渗透测试等） 。实施过程中需甲 方人员陪同。5.2 、输出文档XXX项目驻场实施会议记要5.3 、注意事项如前期未准备资产表与拓扑图，在此阶段项目小组进行调查 （视情况是否另收费） 。六、现场实施阶段6.1 、工作说明按照工作计划和被评估对象安排实施进度。主要工作内容? 漏洞扫描（主机、应用、数据库等）? 人工评估（主机、应用、数据库、设备等）? 渗透测试（主机、应用等）项目实施经理做好会议记要和日报，项目实施成员保留所有 原始文档并妥善存档。现场实施部分完成后，双方召开阶段性总

5、结会议（如甲方有 需求可对项目实施过程中发现的问题进行简要总结，输出简 要总结报告）6.2 、输出文档 XXX 项目 XXX 人工评估过程文档 XXX 项目 XXX 漏洞扫描过程文档 XXX 项目 XXX 渗透测试过程文档 XXX 项目工作日报 XXX 项目会议记要6.3 、注意事项若遇到协调问题，双方负责人协调解决 实施过程中如出现计划外问题，以会议形式商讨解决 日报需项目双方负责人签字确认七、静态评估阶段7.1 、工作说明与甲方商定评估报告输出周期和报告内容项目小组依据评估结果分工进行报告输出、整理汇总，准备 项目总结 PPT 和整改建议（如客户要求则输出整体加固解 决方案），完成后提交公

6、司项目质量评审小组审核，审核通 过后提交客户。经客户认可后输出纸质文档。7.2 、输出文档 XXX 项目 XXX 人工评估报告 XXX 项目 XXX 漏洞扫描报告 XXX 项目 XXX 渗透测试报告 XXX 项目安全评估综合报告 XXX 项目整改建议书（整体加固解决方案） XXX 项目总结（ PPT）7.3 、注意事项依据公司文档标准化体系输出文档（电子版输出 PDF 格 式）统计数据要求完整、准确无误；解决方案与销售讨论后输出文档。项目实施人员对每份输出文档签字，预留甲方接口人员签字 位。八、评估阶段验收8.1 、工作说明项目实施经理和销售与甲方召开项目验收会议，讲解项目实施 中发现的风险、隐患和威胁，与客户讨论解决方法（视项目情况而 定），双方验收项目成果（输出的报告） ，对输出报告签字确认，并 签订项目验收成果书。客户如有需求，则对评估中发现的风险、隐 患进行加固实施。8.2 、输出文档 XXX 项目验收成果书 XXX 项目会议记要九、安全加固实施9.1 、工作说明安全加固参考安全加固项目流程9.2 、输出文档XXX 项目整体安全加固方案XXX 项目 XXX 安全加固方案会议记要工作日报9.3 、注意事项 项目实施双方对加固过程文档（纸质）签字确认十、安全加固验收10.1 、工作说明 针对已加固对象进行再次风险评估，输出评估