信息安全风险评估项目流程

发布时间：2020-03-02 18:27:47 来源：范文大全收藏本文下载本文手机版

信息安全风险评估项目流程

一、售前方案阶段

1.1、工作说明

技术部配合项目销售经理（以下简称销售）根据客户需求制定项目解决方案，客户认可后，销售与客户签订合同协议，同时向技术部派发项目工单（项目实施使用） 1.2、输出文档

《XXX项目XXX解决方案》

输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。 1.3、注意事项

 销售需派发内部工单（售前技术支持）  输出文档均一式三份（下同）

二、派发项目工单

2.1、工作说明

销售谈下项目后向技术部派发项目工单，技术部成立项目小组，指定项目实施经理和实施人员。

三、项目启动会议

3.1、工作说明

 销售和项目经理与甲方召开项目启动会议，确定各自接口负责人。

 要求甲方按合同范围提供《资产表》，确定扫描评估范围、人工评估范围和渗透测试范围。

 请甲方给所有资产赋值（双方确认资产赋值）  请甲方指定安全评估调查（访谈）人员 3.2、输出文档

《XXX项目启动会议记要》

客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 3.3、注意事项

 资产数量正负不超过15%；给资产编排序号，以方便事后检查。

 给人工评估资产做标记，以方便事后检查。  资产值是评估报告的重要数据。  销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以便项目小组分析制定项目计划使用。

四、项目前期准备

4.1、工作说明

 准备项目实施PPT，人工评估原始文档（对象评估文档），扫描工具、渗透测试工具、保密协议和授权书

 项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档

《XXX项目实施PPT》《XXX项目人工访谈原始文档》《XXX项目保密协议》《XXX项目XXX授权书》 4.3、注意事项

 如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。

 项目实施小组与客户约定进场时间。

 保密协议和授权书均需双方负责人签字并加盖公章。  保密协议需项目双方参与人员签字

五、驻场实施会议

5.1、工作说明

项目小组进场与甲方召开项目实施会议（项目实施PPT），确定评估对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出自身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书（漏洞扫描、人工评估、渗透测试等）。实施过程中需甲方人员陪同。

5.2、输出文档

《XXX项目驻场实施会议记要》 5.3、注意事项

如前期未准备资产表与拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。

六、现场实施阶段

6.1、工作说明

 按照工作计划和被评估对象安排实施进度。  主要工作内容  漏洞扫描（主机、应用、数据库等）  人工评估（主机、应用、数据库、设备等）  渗透测试（主机、应用等）

 项目实施经理做好会议记要和日报，项目实施成员保留所有原始文档并妥善存档。

 现场实施部分完成后，双方召开阶段性总结会议（如甲方有需求可对项目实施过程中发现的问题进行简要总结，输出简要总结报告）

6.2、输出文档

《XXX项目XXX人工评估过程文档》《XXX项目XXX漏洞扫描过程文档》《XXX项目XXX渗透测试过程文档》《XXX项目工作日报》《XXX项目会议记要》 6.3、注意事项

 若遇到协调问题，双方负责人协调解决

 实施过程中如出现计划外问题，以会议形式商讨解决  日报需项目双方负责人签字确认