1、信息安全風(fēng)險(xiǎn)評估項(xiàng)目流程一、售前方案階段1.1 、工作說明技術(shù)部配合項(xiàng)目銷售經(jīng)理 （以下簡稱銷售） 根據(jù)客戶需求制定項(xiàng) 目解決方案，客戶認(rèn)可后， 銷售與客戶簽訂合同協(xié)議，同時向技術(shù)部 派發(fā)項(xiàng)目工單（項(xiàng)目實(shí)施使用）1.2 、輸出文檔XXX 項(xiàng)目 XXX 解決方案輸出文檔（電子版、紙質(zhì)版）交付銷售助理保管，電子版抄送技 術(shù)部助理。1.3 、注意事項(xiàng)銷售需派發(fā)內(nèi)部工單（售前技術(shù)支持）輸出文檔均一式三份（下同）二、派發(fā)項(xiàng)目工單2.1 、工作說明銷售談下項(xiàng)目后向技術(shù)部派發(fā)項(xiàng)目工單，技術(shù)部成立項(xiàng)目小組，指定項(xiàng)目實(shí)施經(jīng)理和實(shí)施人員。三、項(xiàng)目啟動會議3.1 、工作說明銷售和項(xiàng)目經(jīng)理與甲方召開項(xiàng)目啟動會議，確定

2、各自接口負(fù) 責(zé)人。要求甲方按合同范圍提供資產(chǎn)表 ，確定掃描評估范圍、人 工評估范圍和滲透測試范圍。請甲方給所有資產(chǎn)賦值（雙方確認(rèn)資產(chǎn)賦值） 請甲方指定安全評估調(diào)查（訪談）人員3.2 、輸出文檔XXX 項(xiàng)目啟動會議記要 客戶提交信息資產(chǎn)表、網(wǎng)絡(luò)拓?fù)鋱D，由項(xiàng)目小組暫時保管， 以供項(xiàng)目實(shí)施使用3.3 、注意事項(xiàng)資產(chǎn)數(shù)量正負(fù)不超過 15% ；給資產(chǎn)編排序號，以方便事后檢 查。給人工評估資產(chǎn)做標(biāo)記，以方便事后檢查。 資產(chǎn)值是評估報(bào)告的重要數(shù)據(jù)。銷售跟客戶溝通，為項(xiàng)目小組提供信息資產(chǎn)表及拓?fù)鋱D，以便項(xiàng)目小組分析制定項(xiàng)目計(jì)劃使用。四、項(xiàng)目前期準(zhǔn)備4.1 、工作說明準(zhǔn)備項(xiàng)目實(shí)施PPT,人工評估原始文檔（對象評

3、估文檔），掃描工具、滲透測試工具、保密協(xié)議和授權(quán)書 項(xiàng)目小組與銷售根據(jù)項(xiàng)目內(nèi)容和范圍制定項(xiàng)目實(shí)施計(jì)劃。4.2 、輸出文檔XXX項(xiàng)目實(shí)施PPT XXX 項(xiàng)目人工訪談原始文檔 XXX 項(xiàng)目保密協(xié)議 XXX 項(xiàng)目 XXX 授權(quán)書4.3 、注意事項(xiàng)如無資產(chǎn)表和拓?fù)鋱D需到現(xiàn)場調(diào)查后再制定項(xiàng)目實(shí)施計(jì)劃和 工作進(jìn)度安排。項(xiàng)目實(shí)施小組與客戶約定進(jìn)場時間。 保密協(xié)議和授權(quán)書均需雙方負(fù)責(zé)人簽字并加蓋公章。 保密協(xié)議需項(xiàng)目雙方參與人員簽字五、駐場實(shí)施會議5.1 、工作說明項(xiàng)目小組進(jìn)場與甲方召開項(xiàng)目實(shí)施會議（項(xiàng)目實(shí)施 PPT）,確定 評估對象和范圍（主機(jī)、設(shè)備、應(yīng)用、管理等） 、實(shí)施周期（工作進(jìn) 度安排），雙方各自提

4、出自身要求， 項(xiàng)目小組要求甲方提供辦公場地、 打印機(jī)、接入網(wǎng)絡(luò)等項(xiàng)目必備環(huán)境。與甲方簽訂評估保密協(xié)議、授權(quán) 書（漏洞掃描、人工評估、滲透測試等） 。實(shí)施過程中需甲方人員陪 同。5.2 、輸出文檔XXX項(xiàng)目駐場實(shí)施會議記要5.3 、注意事項(xiàng)如前期未準(zhǔn)備資產(chǎn)表與拓?fù)鋱D， 在此階段項(xiàng)目小組進(jìn)行調(diào)查 （視 情況是否另收費(fèi)） 。六、現(xiàn)場實(shí)施階段6.1 、工作說明按照工作計(jì)劃和被評估對象安排實(shí)施進(jìn)度。主要工作內(nèi)容漏洞掃描（主機(jī)、應(yīng)用、數(shù)據(jù)庫等）人工評估（主機(jī)、應(yīng)用、數(shù)據(jù)庫、設(shè)備等） 滲透測試（主機(jī)、應(yīng)用等） 項(xiàng)目實(shí)施經(jīng)理做好會議記要和日報(bào)，項(xiàng)目實(shí)施成員保留所有 原始文檔并妥善存檔。現(xiàn)場實(shí)施部分完成后，雙方

5、召開階段性總結(jié)會議（如甲方有 需求可對項(xiàng)目實(shí)施過程中發(fā)現(xiàn)的問題進(jìn)行簡要總結(jié)，輸出簡 要總結(jié)報(bào)告）6.2 、輸出文檔 XXX 項(xiàng)目 XXX 人工評估過程文檔 XXX 項(xiàng)目 XXX 漏洞掃描過程文檔 XXX 項(xiàng)目 XXX 滲透測試過程文檔 XXX 項(xiàng)目工作日報(bào) XXX 項(xiàng)目會議記要6.3 、注意事項(xiàng)若遇到協(xié)調(diào)問題，雙方負(fù)責(zé)人協(xié)調(diào)解決 實(shí)施過程中如出現(xiàn)計(jì)劃外問題，以會議形式商討解決 日報(bào)需項(xiàng)目雙方負(fù)責(zé)人簽字確認(rèn)七、靜態(tài)評估階段7.1 、工作說明與甲方商定評估報(bào)告輸出周期和報(bào)告內(nèi)容 項(xiàng)目小組依據(jù)評估結(jié)果分工進(jìn)行報(bào)告輸出、整理匯總，準(zhǔn)備 項(xiàng)目總結(jié) PPT 和整改建議 （如客戶要求則輸出整體加固解決 方案

6、），完成后提交公司項(xiàng)目質(zhì)量評審小組審核， 審核通過后 提交客戶。經(jīng)客戶認(rèn)可后輸出紙質(zhì)文檔。7.2 、輸出文檔 XXX 項(xiàng)目 XXX 人工評估報(bào)告 XXX 項(xiàng)目 XXX 漏洞掃描報(bào)告 XXX 項(xiàng)目 XXX 滲透測試報(bào)告 XXX 項(xiàng)目安全評估綜合報(bào)告 XXX 項(xiàng)目整改建議書（整體加固解決方案） XXX 項(xiàng)目總結(jié)（ PPT）7.3 、注意事項(xiàng)依據(jù)公司文檔標(biāo)準(zhǔn)化體系輸出文檔（電子版輸出 PDF 格式） 統(tǒng)計(jì)數(shù)據(jù)要求完整、準(zhǔn)確無誤； 解決方案與銷售討論后輸出文檔。項(xiàng)目實(shí)施人員對每份輸出文檔簽字，預(yù)留甲方接口人員簽字位。八、評估階段驗(yàn)收8.1 、工作說明項(xiàng)目實(shí)施經(jīng)理和銷售與甲方召開項(xiàng)目驗(yàn)收會議， 講解項(xiàng)目實(shí)施中 發(fā)現(xiàn)的風(fēng)險(xiǎn)、隱患和威脅，與客戶討論解決方法 （視項(xiàng)目情況而定）， 雙方驗(yàn)收項(xiàng)目成果（輸出的報(bào)告） ，對輸出報(bào)告簽字確認(rèn)，并簽訂項(xiàng) 目驗(yàn)收成果書。客戶如有需求，則對評估中發(fā)現(xiàn)的風(fēng)險(xiǎn)、隱患進(jìn)行加 固實(shí)施。8.2 、輸出文檔 XXX 項(xiàng)目驗(yàn)收成果書 XXX 項(xiàng)目會議記要九、安全加固實(shí)施9.1 、工作說明安全加固參考安全加固項(xiàng)目流程9.2 、輸出文檔 XXX 項(xiàng)目整體安全加固方案 XXX 項(xiàng)目 XXX 安全加固方案會議記要工作日報(bào)9.3 、注意事項(xiàng)項(xiàng)目實(shí)施雙方對加固過程文檔（紙質(zhì)）簽字確認(rèn)十、安全加固驗(yàn)收10.1 、工作說明針對已加固對象進(jìn)行再次風(fēng)險(xiǎn)評估，輸出評