by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西，顺便发出来，希望能有所帮助。个人拙见，有不妥之处还望斧正。仅以此文献给我伟大的妈妈！

一、项目启动
1．双方召开项目启动会议，确定各自接口负责人。    
==工作输出
1．《业务安全评估相关成员列表》（包括双方人员）
2．《报告蓝图》        
==备注
1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。

二、确定工作范围
1．请局方按合同范围提供《资产表》，也即扫描评估范围。
2．请局方指定需进行人工评估的资产，确定人工评估范围。
3．请局方给所有资产赋值（双方确认资产赋值）
4．请局方指定安全管理问卷调查（访谈）人员，管理、员工、安全主管各一人。
==工作输出
1．《会议备忘》（要求签字确认）
2．《资产表》（包括人工评估标记和资产值）
==备注
1．资产数量正负不超过15%；给资产编排序号，以方便事后检查。
2．给人工评估资产做标记，以方便事后检查。
3．资产值是评估报告的重要数据。

三、制定整体实施计划
1．按照工作范围制定整个项目的总体计划，包括现场准备、扫描评估、人工评估、问卷调查、加固实施等各阶段。
2．与接口负责人共同确定针对各相关资产进行管理评估，入侵检测系统实施扫描评估、人工评估的日期和时间段。
==工作输出
1．《总体项目进度甘特图》
2．《评估阶段工作计划表》
==备注
1．扫描评估、人工评估、问卷调查在可能的情况下可以同期进行；《工作计划表》交项目经理参考，以便配合。
2．确定日期以便于制定工作计划；确定时间段（白天、晚间、夜间甚至钟点）对加固阶段详细计划的确定更重要。

四、管理评估阶段
1．提供现有的安全管理规范和管理制度。
2．提供对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明（如能提供系统设计方案更佳）。
3．对应业务的管理、员工、安全主管进行访谈。
4．对现有安全管理制度的实行情况进行审计。
5．对评估中需要的其他策略文档进行收集。
==工作输出
1．《资料接收单》
2．《安全访谈记录单》
==备注
1．对提供的电子或纸质文档进行严格的保密和内部使用控制，资料接收时需要填写《资料接收单》并签字。
2．访谈记录单内容需要与被访谈人进行确认及签字。
3．对于发现的重要情况，均须与对应配合人员进行确认，重大内容需要双方签字。

五、技术评估阶段
1．提出扫描申请
2．每日制定第二天的日工作计划，包括扫描评估、人工评估、问卷调查等详细计划。
3．进行扫描评估（每次扫描完成后，应有扫描确认，需用户方签字）。
4．进行人工评估（每次人工评估完成后，应有人工评估确认，需用户方签字）。
6．双方协商布置在网络关键节点上布置入侵检测系统（一般放置3天）。
7．在整个项目技术部分基本结束时，双方协商进行渗透测试。
8．每日进行记录和总结。
9．逢周末进行周工作总结。
==工作输出
1．《扫描申请报告》/《原始弱点报告》
2．《日工作计划》
3．《工作确认单》
4．评估数据
5．《入侵检测系统布置申请报告》《入侵检测系统日志分析报告》
6．《渗透测试申请报告》/《渗透测试报告》
7．《日工作记录》
8．《周工作总结》
==备注
1．签字确认。
2．清晰明确的日工作计划才能使当日工作有条不紊。
3．工作确认单是你工作完成的凭证。
4．收集好评估数据，并妥善保存。
5．签字，注意端口镜像原则上必须由客户进行配置。
6．签字，并重新确认实施时间与实施范围，有可能的情况下，需要甲方全程陪同。
7．每日总结并检查当日工作是否完成，如未完成，要考虑后期计划的调整。

六、数据整理
1．工作整理。
2．撰写评估报告。
3．撰写加固方案和安全建议。
==工作输出
1．《评估阶段工作总结》
2．《网络安全风险评估报告》
3．《网络安全建议报告》

七、项目验收
1．提交项目成果。
2．报告解读
3．培训

ENGEE / amxku_at_msn.com
个人拙见，有不妥之处还望斧正。