信息安全風險評估項目工序與流程,召開項目啟動會議,確定各自接口負責人。
基本介紹
- 中文名:信息安全風險評估項目工序與流程
- 所屬領域:信息安全
一、項目啟動
1.
==工作輸出
1.《業務安全評估相關成員列表》(包括雙方人員)
2.《報告藍圖》
==備註
1.務必請指定業務實施負責人作為項目接口和協調人;列出人員的電話號碼和電子郵件賬號以備聯絡。
二、確定工作範圍
1.請局方按契約範圍提供《資產表》,也即掃描評估範圍。
2.請局方指定需進行人工評估的資產,確定人工評估範圍。
3.請局方給所有資產賦值(雙方確認資產賦值)
4.請局方指定安全管理問卷調查(訪談)人員,管理、員工、安全主管各一人。
==工作輸出
1.《會議備忘》(要求籤字確認)
2.《資產表》(包括人工評估標記和資產值)
==備註
1.資產數量正負不超過15%;給資產編排序號,以方便事後檢查。
2.給人工評估資產做標記,以方便事後檢查。
3.資產值是評估報告的重要數據。
三、制定整體實施計畫
1.按照工作範圍制定整個項目的總體計畫,包括現場準備、掃描評估、人工評估、問卷調查、加固實施等各階段。
2.與接口負責人共同確定針對各相關資產進行管理評估,入侵檢測系統實施掃描評估、人工評估的日期和時間段。
==工作輸出
1.《總體項目進度甘特圖》
2.《評估階段工作計畫表》
==備註
1.掃描評估、人工評估、問卷調查在可能的情況下可以同期進行;《工作計畫表》交項目經理參考,以便配合。
2.確定日期以便於制定工作計畫;確定時間段(白天、晚間、夜間甚至鐘點)對加固階段詳細計畫的確定更重要。
四、管理評估階段
1.提供現有的安全管理規範和管理制度。
2.提供對應業務的系統信息,包括拓撲圖、業務功能說明、業務流程說明(如能提供系統設計方案更佳)。
3.對應業務的管理、員工、安全主管進行訪談。
4.對現有安全管理制度的實行情況進行審計。
5.對評估中需要的其他策略文檔進行收集。
==工作輸出
1.《資料接收單》
2.《安全訪談記錄單》
==備註
1.對提供的電子或紙質文檔進行嚴格的保密和內部使用控制,資料接收時需要填寫《資料接收單》並簽字。
2.訪談記錄單內容需要與被訪談人進行確認及簽字。
3.對於發現的重要情況,均須與對應配合人員進行確認,重大內容需要雙方簽字。
五、技術評估階段
1.提出掃描申請
2.每日制定第二天的日工作計畫,包括掃描評估、人工評估、問卷調查等詳細計畫。
3.進行掃描評估(每次掃描完成後,應有掃描確認,需用戶方簽字)。
4.進行人工評估(每次人工評估完成後,應有人工評估確認,需用戶方簽字)。
6.雙方協商布置在網路關鍵節點上布置入侵檢測系統(一般放置3天)。
7.在整個項目技術部分基本結束時,雙方協商進行滲透測試。
8.每日進行記錄和總結。
9.逢周末進行周工作總結。
==工作輸出
1.《掃描申請報告》/《原始弱點報告》
2.《日工作計畫》
3.《工作確認單》
4.評估數據
5.《入侵檢測系統布置申請報告》《入侵檢測系統日誌分析報告》
6.《滲透測試申請報告》/《滲透測試報告》
7.《日工作記錄》
8.《周工作總結》
==備註
1.簽字確認。
2.清晰明確的日工作計畫才能使當日工作有條不紊。
3.工作確認單是你工作完成的憑證。
4.收集好評估數據,並妥善保存。
5.簽字,注意連線埠鏡像原則上必須由客戶進行配置。
6.簽字,並重新確認實施時間與實施範圍,有可能的情況下,需要甲方全程陪同。
7.每日總結並檢查當日工作是否完成,如未完成,要考慮後期計畫的調整。
六、數據整理
1.工作整理。
2.撰寫評估報告。
3.撰寫加固方案和安全建議。
==工作輸出
1.《評估階段工作總結》
2.《網路安全風險評估報告》
3.《網路安全建議報告》
七、項目驗收
1.提交項目成果。
2.報告解讀
3.培訓
