《信息安全风险评估项目流程》由会员分享,可在线阅读,更多相关《信息安全风险评估项目流程(9页珍藏版)》请在装配图网上搜索。
1、信息安全风险评估项目流程一、售前方案阶段1.1、工作说明技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用)1.2、输出文档XXX项目XXX解决方案输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。1.3、注意事项 销售需派发内部工单(售前技术支持) 输出文档均一式三份(下同)二、派发项目工单2.1、工作说明销售谈下项目后向技术部派发项目工单,技术部成立项目小组,指定项目实施经理和实施人员。三、项目启动会议3.1、工作说明 销售和项目经理与甲方召开项目启动会议,确定各自接口负责人。 要求
2、甲方按合同范围提供资产表,确定扫描评估范围、人工评估范围和渗透测试范围。 请甲方给所有资产赋值(双方确认资产赋值) 请甲方指定安全评估调查(访谈)人员3.2、输出文档XXX项目启动会议记要客户提交信息资产表、网络拓扑图,由项目小组暂时保管,以供项目实施使用3.3、注意事项 资产数量正负不超过15%;给资产编排序号,以方便事后检查。 给人工评估资产做标记,以方便事后检查。 资产值是评估报告的重要数据。 销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以便项目小组分析制定项目计划使用。四、项目前期准备4.1、工作说明 准备项目实施PPT,人工评估原始文档(对象评估文档),扫描工具、渗透测试工具、
3、保密协议和授权书 项目小组与销售根据项目内容和范围制定项目实施计划。4.2、输出文档XXX项目实施PPTXXX项目人工访谈原始文档XXX项目保密协议XXX项目XXX授权书4.3、注意事项 如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。 项目实施小组与客户约定进场时间。 保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字五、驻场实施会议5.1、工作说明项目小组进场与甲方召开项目实施会议(项目实施PPT),确定评估对象和范围(主机、设备、应用、管理等)、实施周期(工作进度安排),双方各自提出自身要求,项目小组要求甲方提供办公场地、打印机、接入网络等项
4、目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实施过程中需甲方人员陪同。5.2、输出文档XXX项目驻场实施会议记要5.3、注意事项如前期未准备资产表与拓扑图,在此阶段项目小组进行调查(视情况是否另收费)。六、现场实施阶段6.1、工作说明 按照工作计划和被评估对象安排实施进度。 主要工作内容 漏洞扫描(主机、应用、数据库等) 人工评估(主机、应用、数据库、设备等) 渗透测试(主机、应用等) 项目实施经理做好会议记要和日报,项目实施成员保留所有原始文档并妥善存档。 现场实施部分完成后,双方召开阶段性总结会议(如甲方有需求可对项目实施过程中发现的问题进行简要总结,输出
5、简要总结报告)6.2、输出文档XXX项目XXX人工评估过程文档XXX项目XXX漏洞扫描过程文档XXX项目XXX渗透测试过程文档XXX项目工作日报XXX项目会议记要6.3、注意事项 若遇到协调问题,双方负责人协调解决 实施过程中如出现计划外问题,以会议形式商讨解决 日报需项目双方负责人签字确认七、静态评估阶段7.1、工作说明 与甲方商定评估报告输出周期和报告内容 项目小组依据评估结果分工进行报告输出、整理汇总,准备项目总结PPT和整改建议(如客户要求则输出整体加固解决方案),完成后提交公司项目质量评审小组审核,审核通过后提交客户。经客户认可后输出纸质文档。7.2、输出文档XXX项目XXX人工评估
6、报告XXX项目XXX漏洞扫描报告XXX项目XXX渗透测试报告XXX项目安全评估综合报告XXX项目整改建议书(整体加固解决方案)XXX项目总结(PPT)7.3、注意事项 依据公司文档标准化体系输出文档(电子版输出PDF格式) 统计数据要求完整、准确无误; 解决方案与销售讨论后输出文档。 项目实施人员对每份输出文档签字,预留甲方接口人员签字位。八、评估阶段验收8.1、工作说明项目实施经理和销售与甲方召开项目验收会议,讲解项目实施中发现的风险、隐患和威胁,与客户讨论解决方法(视项目情况而定),双方验收项目成果(输出的报告),对输出报告签字确认,并签订项目验收成果书。客户如有需求,则对评估中发现的风险
7、、隐患进行加固实施。8.2、输出文档XXX项目验收成果书XXX项目会议记要九、安全加固实施9.1、工作说明安全加固参考安全加固项目流程9.2、输出文档XXX项目整体安全加固方案XXX项目XXX安全加固方案会议记要工作日报9.3、注意事项项目实施双方对加固过程文档(纸质)签字确认十、安全加固验收10.1、工作说明针对已加固对象进行再次风险评估,输出评估结果报告。10.2、输出文档XXX项目安全加固验收报告10.3、注意事项项目双方对验收成果签字确认十一、项目总结会议对本次风险评估、安全加固过程中遇到的问题进行总结,并对遗留问题进行建议。输出文档:会议记要个人工作业务总结本人于2009年7月进入新
8、疆中正鑫磊地矿技术服务有限公司(前身为“西安中正矿业信息咨询有限公司”),主要从事测量技术工作,至今已有三年。在这宝贵的三年时间里,我边工作、边学习测绘相专业书籍,遇到不懂得问题积极的请教工程师们,在他们耐心的教授和指导下,我的专业知识水平得到了很到的提高,并在实地测量工作中加以运用、总结,不断的提高自己的专业技术水平。同时积极的参与技术培训学习,加速自身知识的不断更新和自身素质的提高。努力使自己成为一名合格的测绘技术人员。在这三年中,在公司各领导及同事的帮助带领下,按照岗位职责要求和行为规范,努力做好本职工作,认真完成了领导所交给的各项工作,在思想觉悟及工作能力方面有了很大的提高。 在思想上
9、积极向上,能够认真贯彻党的基本方针政策,积极学习政治理论,坚持四项基本原则,遵纪守法,爱岗敬业,具有强烈的责任感和事业心。积极主动学习专业知识,工作态度端正,认真负责,具有良好的思想政治素质、思想品质和职业道德。 在工作态度方面,勤奋敬业,热爱本职工作,能够正确认真的对待每一项工作,能够主动寻找自己的不足并及时学习补充,始终保持严谨认真的工作态度和一丝不苟的工作作风。 在公司领导的关怀以及同事们的支持和帮助下,我迅速的完成了职业角色的转变。一、回顾这四年来的职业生涯,我主要做了以下工作:1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、1:2000地形地质
10、图修测、1:1000勘探剖面测量、测绘内业资料的编写工作,提交成果新疆库车县胡同布拉克石灰岩矿普查报告已通过评审。2、参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作,提交成果为库车县城北水厂建设项目用地压覆矿产资源评估报告,现已通过评审。3、参与了新疆库车县巴西克其克盐矿普查项目的野外地质勘查工作,参与项目包括:1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作;最终提交的新疆库车县康村盐矿普查报告已通过评审。4、参与了新疆哈密市南坡子泉金矿2009年度矿山储量监测工作,项目包括:野外地质测量与室内地质资料的编写,提交成果为新疆哈密市南坡子泉金
11、矿2009年度矿山储量年报,现已通过评审。6、参与了新疆博乐市五台石灰岩矿9号矿区勘探项目的野外地质勘查工作,项目包括:1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作,并绘制相应图件。7、参与了新疆博乐市托特克斜花岗岩矿详查报告项目的野外地质勘查工作,项目包括:1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作,并绘制相应图件。通过以上的这些工作,我学习并具备了以下工作能力: 1、通过实习,对测绘这门学科的研究内容及实际意义有了系统的认识。加深对测量学基本理论的理解,能够用有关理论指导作业实践,做到理论与实践相统一,提高分析问题、解决问题的能力,从而
12、对测量学的基本内容得到一次实际应用,使所学知识进一步巩固、深化。2、熟悉了三、四等控制测量的作业程序及施测方法,并掌握了全站仪、静态GPS、RTK等测量仪器的工作原理和操作方法。3、掌握了GPS控制测量内业解算软件(南方测绘 Gps数据处理)以及内业成图软件(南方cass)的操作应用。能够将外业测量的数据导入软件进行地形图成图和处理。4、在项目技术负责的指导下熟悉了测量技术总结的编写要求和方法,并参与了部分项目测量技术总结章节的编写工作。5、在项目负责的领导下参与整个测量项目的组织运作,对项目的实施过程有了深刻理解。通过在项目组的实习锻炼了自己的组织协调能力,为以后的工作打下了坚实基础。二、工作中尚存在的问题 从事测绘工作以来,深深感受到工作的繁忙、责任的重大,也因此没能全方位地进行系统地学习实践,主要表现为没有足够的经验,对于地形复杂的地段理解不够深刻;理论知识掌握不够系统,实践能力尚为有限。以上问题,在今后工作中自己将努力做到更好。三、今后的工作打算 通过总结四年来的工作,我无论从工作技术上,还是从世界观、人生观、价值观等各个方面,都有了很大的提高。今后,我会在此基础上,刻苦钻研,再接再厉,使自己在业务知识水平更上一层楼,为测绘事业的发展,贡献自己的力量。
信息安全风险评估项目流程
