信息安全風(fēng)險評估項目流程

信息安全風(fēng)險評估項目流程一、售前方案階段1.1、工作說明技術(shù)部配合項目銷售經(jīng)理（以下簡稱銷售）根據(jù)客戶需求制定項目解決方案，客戶認可后，銷售與客戶簽訂合同協(xié)議，同時向技術(shù)部派發(fā)項目工單（項目實施使用）1.2、輸出文檔《XXX項目XXX解決方案》輸出文檔（電子版、紙質(zhì)版）交付銷售助理保管，電子版抄送技術(shù)部助理。1.3、注意事項 銷售需派發(fā)內(nèi)部工單（售前技術(shù)支持）輸出文檔均一式三份（下同）二、派發(fā)項目工單2.1、工作說明銷售談下項目后向技術(shù)部派發(fā)項目工單，技術(shù)部成立項目小組，指定項目實施經(jīng)理和實施人員。三、項目啟動會議3.1、工作說明銷售和項目經(jīng)理與甲方召開項目啟動會議，確定各自接口負責(zé)人。要求甲方按合同范圍提供《資產(chǎn)表》，確定掃描評估范圍、人工評估范圍和滲透測試范圍。請甲方給所有資產(chǎn)賦值（雙方確認資產(chǎn)賦值）請甲方指定安全評估調(diào)查（訪談）人員3.2、輸出文檔《XXX項目啟動會議記要》客戶提交《信息資產(chǎn)表》、《網(wǎng)絡(luò)拓撲圖》，由項目小組暫時保管，以供項目實施使用3.3、注意事項資產(chǎn)數(shù)量正負不超過15%；給資產(chǎn)編排序號，以方便事后檢查。給人工評估資產(chǎn)做標記，以方便事后檢查。資產(chǎn)值是評估報告的重要數(shù)據(jù)。銷售跟客戶溝通，為項目小組提供信息資產(chǎn)表及拓撲圖，以便項目小組分析制定項目計劃使用。四、項目前期準備4.1、工作說明準備項目實施PPT，人工評估原始文檔（對象評估文檔），掃描工具、滲透測試工具、保密協(xié)議和授權(quán)書項目小組與銷售根據(jù)項目內(nèi)容和范圍制定項目實施計劃。4.2、輸出文檔《XXX項目實施PPT》《XXX項目人工訪談原始文檔》《XXX項目保密協(xié)議》《XXX項目XXX授權(quán)書》4.3、注意事項如無資產(chǎn)表和拓撲圖需到現(xiàn)場調(diào)查后再制定項目實施計劃和工作進度安排。項目實施小組與客戶約定進場時間。保密協(xié)議和授權(quán)書均需雙方負責(zé)人簽字并加蓋公章。保密協(xié)議需項目雙方參與人員簽字五、駐場實施會議5.1、工作說明項目小組進場與甲方召開項目實施會議（項目實施PPT），確定評估對象和范圍（主機、設(shè)備、應(yīng)用、管理等）、實施周期（工作進度安排），雙方各自提出自身要求，項目小組要求甲方提供辦公場地、打印機、接入網(wǎng)絡(luò)等項目必備環(huán)境。與甲方簽訂評估保密協(xié)議、授權(quán)書（漏洞掃描、人工評估、滲透測試等）。實施過程中需甲方人員陪同。5.2、輸出文檔 《XXX項目駐場實施會議記要》5.3、注意事項如前期未準備資產(chǎn)表與拓撲圖，在此階段項目小組進行調(diào)查（視情況是否另收費）。六、現(xiàn)場實施階段6.1、工作說明按照工作計劃和被評估對象安排實施進度。主要工作內(nèi)容漏洞掃描（主機、應(yīng)用、數(shù)據(jù)庫等）人工評估（主機、應(yīng)用、數(shù)據(jù)庫、設(shè)備等）滲透測試（主機、應(yīng)用等）項目實施經(jīng)理做好會議記要和日報，項目實施成員保留所有原始文檔并妥善存檔?，F(xiàn)場實施部分完成后，雙方召開階段性總結(jié)會議（如甲方有需求可對項目實施過程中發(fā)現(xiàn)的問題進行簡要總結(jié)，輸出簡要總結(jié)報告）6.2、輸出文檔《XXX項目XXX人工評估過程文檔》《XXX項目XXX漏洞掃描過程文檔》《XXX項目XXX滲透測試過程文檔》《XXX項目工作日報》《XXX項目會議記要》6.3、注意事項若遇到協(xié)調(diào)問題，雙方負責(zé)人協(xié)調(diào)解決實施過程中如出現(xiàn)計劃外問題，以會議形式商討解決日報需項目雙方負責(zé)人簽字確認七、靜態(tài)評估階段7.1、工作說明與甲方商定評估報告輸出周期和報告內(nèi)容項目小組依據(jù)評估結(jié)果分工進行報告輸出、整理匯總，準備項目總結(jié)PPT和整改建議（如客戶要求則輸出整體加固解決方案），完成后提交公司項目質(zhì)量評審小組審核，審核通過后提交客戶。經(jīng)客戶認可后輸出紙質(zhì)文檔。7.2、輸出文檔《XXX項目XXX人工評估報告》《XXX項目XXX漏洞掃描報告》《XXX項目XXX滲透測試報告》《XXX項目安全評估綜合報告》《XXX項目整改建議書（整體加固解決方案）》《XXX項目總結(jié)》（PPT）7.3、注意事項依據(jù)公司文檔標準化體系輸出文檔（電子版輸出PDF格式）統(tǒng)計數(shù)據(jù)要求完整、準確無誤；解決方案與銷售討論后輸出文檔。項目實施人員對每份輸出文檔簽字，預(yù)留甲方接口人員簽字位。八、評估階段驗收8.1、工作說明項目實施經(jīng)理和銷售與甲方召開項目驗收會議，講解項目實施中發(fā)現(xiàn)的風(fēng)險、隱患和威脅，與客戶討論解決方法（視項目情況而定），雙方驗收項目成果（輸出的報告），對輸出報告簽字確認，并簽訂項目驗收成果書。客戶如有需求，則對評估中發(fā)現(xiàn)的風(fēng)險、隱患進行加固實施。8.2、輸出文檔《XXX項目驗收成果書》《XXX項目會議記要》九、安全加固實施9.1、工作說明安全加固參考安全加固項目流程9.2、輸出文檔《XXX項目整體安全加固方案》《XXX項目XXX安全加固方案》《會議記要》《工作日報》9.3、注意事項項目實施雙方對加固過程文檔（紙質(zhì)）簽字確認十、安全加固驗收10.1、工作說明針對已加固對象進行再次風(fēng)險評估，輸出評估結(jié)果報告。10.2、輸出文檔《XXX項目安全加固驗收報告》10.3、注意事項項目雙方對驗收成果簽字確認十一、項目總結(jié)會議對本次風(fēng)險評估、安全加固過程中遇到的問題進行總結(jié)，并對遺留問題進行建議。輸出文檔：《會議記要》個人工作業(yè)務(wù)總結(jié)本人于2009年7月進入新疆中正鑫磊地礦技術(shù)服務(wù)有限公司(前身為“西安中正礦業(yè)信息咨詢有限公司”)，主要從事測量技術(shù)工作，至今已有三年。在這寶貴的三年時間里，我邊工作、邊學(xué)習(xí)測繪相專業(yè)書籍，遇到不懂得問題積極的請教工程師們，在他們耐心的教授和指導(dǎo)下，我的專業(yè)知識水平得到了很到的提高，并在實地測量工作中加以運用、總結(jié)，不斷的提高自己的專業(yè)技術(shù)水平。同時積極的參與技術(shù)培訓(xùn)學(xué)習(xí)，加速自身知識的不斷更新和自身素質(zhì)的提高。努力使自己成為一名合格的測繪技術(shù)人員。在這三年中，在公司各領(lǐng)導(dǎo)及同事的幫助帶領(lǐng)下，按照崗位職責(zé)要求和行為規(guī)范，努力做好本職工作，認真完成了領(lǐng)導(dǎo)所交給的各項工作，在思想覺悟及工作能力方面有了很大的提高。

在思想上積極向上，能夠認真貫徹黨的基本方針政策，積極學(xué)習(xí)政治理論，堅持四項基本原則，遵紀守法，愛崗敬業(yè)，具有強烈的責(zé)任感和事業(yè)心。積極主動學(xué)習(xí)專業(yè)知識，工作態(tài)度端正，認真負責(zé)，具有良好的思想政治素質(zhì)、思想品質(zhì)和職業(yè)道德。

在工作態(tài)度方面，勤奮敬業(yè)，熱愛本職工作，能夠正確認真的對待每一項工作，能夠主動尋找自己的不足并及時學(xué)習(xí)補充，始終保持嚴謹認真的工作態(tài)度和一絲不茍的工作作風(fēng)。

在公司領(lǐng)導(dǎo)的關(guān)懷以及同事們的支持和幫助下，我迅速的完成了職業(yè)角色的轉(zhuǎn)變。一、回顧這四年來的職業(yè)生涯，我主要做了以下工作：1、參與了新疆庫車縣新疆庫車縣胡同布拉克石灰?guī)r礦的野外測繪和放線工作、點之記的編寫工作、1:2000地形地質(zhì)圖修測、1:1000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，提交成果《新疆庫車縣胡同布拉克石灰?guī)r礦普查報告》已通過評審。2、參與了庫車縣城北水廠建設(shè)項目用地壓覆礦產(chǎn)資源評估項目的室內(nèi)地質(zhì)資料編寫工作，提交成果為《庫車縣城北水廠建設(shè)項目用地壓覆礦產(chǎn)資源評估報告》，現(xiàn)已通過評審。3、參與了《新疆庫車縣巴西克其克鹽礦普查》項目的野外地質(zhì)勘查工作，參與項目包括：1:2000地質(zhì)測圖、1:1000勘查線剖面測量、測繪內(nèi)業(yè)資料的編寫工作；最終提交的《新疆庫車縣康村鹽礦普查報告》已通過評審。4、參與了新疆哈密市南坡子泉金礦2009年度礦山儲量監(jiān)測工作，項目包括：野外地質(zhì)測量與室內(nèi)地質(zhì)資料的編寫，提交成果為《新疆哈密市南坡子泉金礦2009年度礦山儲量年報》，現(xiàn)已通過評審。6、參與了《新疆博樂市五臺石灰?guī)r礦9號礦區(qū)勘探》項目的野外地質(zhì)勘查工作，項目包括：1:2000地質(zhì)測圖、1:1000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，并繪制相應(yīng)圖件。7、參與了《新疆博樂市托特克斜花崗巖礦詳查報告》項目的野外地質(zhì)勘查工作，項目包括：1:2000地質(zhì)測圖、1:1000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，并繪制相應(yīng)圖件。通過以上的這些工作，我學(xué)習(xí)并具備了以下工作能力：

1、通過實習(xí)，對測繪這門學(xué)科的研究內(nèi)容及實際意義有了系統(tǒng)的認識。加深對測量學(xué)基本理論的理解，能夠用有關(guān)理論指導(dǎo)作業(yè)實踐，做到理論與實踐相統(tǒng)一，提高分析問題、解決問題的能力，從而對測量學(xué)的基本內(nèi)容得到一次實際應(yīng)用，使所學(xué)知識進一步鞏固、深化。2、熟悉了三、四等控制測量的作業(yè)程序及施測方法，并掌握了全站儀、靜態(tài)GPS、RTK等測量儀器的工作原理和操作方法。3、掌握了GPS控制測量內(nèi)業(yè)解算軟件（南方測繪Gps數(shù)據(jù)處理）以及內(nèi)業(yè)成圖軟件（南方cass）的操作應(yīng)用。能夠?qū)⑼鈽I(yè)測量的數(shù)據(jù)導(dǎo)入軟件進行地形圖成圖和處理。4、在項目技術(shù)負責(zé)的指導(dǎo)下熟悉了測量技術(shù)總結(jié)的編寫要求和方法，并參與了部分項目測量技術(shù)總結(jié)章節(jié)的編寫工作。5、在項目負責(zé)的領(lǐng)導(dǎo)下參與整個測量項目的組織運作，對項目的實施過程有了深刻理解。通過在項目組的實習(xí)鍛煉了自己的組織協(xié)調(diào)能力，為以后的工作打下了堅實基礎(chǔ)。二、工作中尚存在的問題

從事測繪工作以來，深深感受到工作的繁忙、責(zé)任的重大，也因此沒能全方位地進行系統(tǒng)