信息安全风险评估项目工序与操作流程

1、信息安全风险评估项目工序与流程由于写报告的需要，上网找的资料，把它保存起来。原文地址：一、项目启动1双方召开项目启动会议，确定各自接口负责人。    =工作输出1业务安全评估相关成员列表（包括双方人员）2报告蓝图        =备注1务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。二、确定工作范围1请局方按合同范围提供资产表，也即扫描评估范围。2请局方指定需进行人工评估的资产，确定人工评估范围。3请局方给所有资产赋值（双方确认资产赋值）4请局方指定安全管理问卷调查

2、（访谈）人员，管理、员工、安全主管各一人。=工作输出1会议备忘（要求签字确认）2资产表（包括人工评估标记和资产值）=备注1资产数量正负不超过15%；给资产编排序号，以方便事后检查。2给人工评估资产做标记，以方便事后检查。3资产值是评估报告的重要数据。三、制定整体实施计划1按照工作范围制定整个项目的总体计划，包括现场准备、扫描评估、人工评估、问卷调查、加固实施等各阶段。2与接口负责人共同确定针对各相关资产进行管理评估，入侵检测系统实施扫描评估、人工评估的日期和时间段。=工作输出1总体项目进度甘特图2评估阶段工作计划表=备注1扫描评估、人工评估、问卷调查在可能的情况下可以同期进行；工作计划表交项目

3、经理参考，以便配合。2确定日期以便于制定工作计划；确定时间段（白天、晚间、夜间甚至钟点）对加固阶段详细计划的确定更重要。四、管理评估阶段1提供现有的安全管理规范和管理制度。2提供对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明（如能提供系统设计方案更佳）。3对应业务的管理、员工、安全主管进行访谈。4对现有安全管理制度的实行情况进行审计。5对评估中需要的其他策略文档进行收集。=工作输出1资料接收单2安全访谈记录单=备注1对提供的电子或纸质文档进行严格的保密和内部使用控制，资料接收时需要填写资料接收单并签字。2访谈记录单内容需要与被访谈人进行确认及签字。3对于发现的重要情况，均须与对应配

4、合人员进行确认，重大内容需要双方签字。五、技术评估阶段1提出扫描申请2每日制定第二天的日工作计划，包括扫描评估、人工评估、问卷调查等详细计划。3进行扫描评估（每次扫描完成后，应有扫描确认，需用户方签字）。4进行人工评估（每次人工评估完成后，应有人工评估确认，需用户方签字）。6双方协商布置在网络关键节点上布置入侵检测系统（一般放置3天）。7在整个项目技术部分基本结束时，双方协商进行渗透测试。8每日进行记录和总结。9逢周末进行周工作总结。=工作输出1扫描申请报告/原始弱点报告2日工作计划3工作确认单4评估数据5入侵检测系统布置申请报告入侵检测系统日志分析报告6渗透测试申请报告/渗透测试报告7日工作记录8周工作总结=备注1签字确认。2清晰明确的日工作计划才能使当日工作有条不紊。3工作确认单是你工作完成的凭证。4收集好评估数据，并妥善保存。5签字，注意端口镜像原则上必须由客户进行配置。6签字，并重新确认实施时间与实施范围，有可能的情况下，需要甲方全程陪同。7每日总结并检查当日工作是否完成，如未完成，要考虑后期计划的调整。六、数据整理1工作整理。2撰写评估报告。3撰写加固方案和安全建议。=工作输出1评估阶段工作总结