【正文】 流程一、項(xiàng)目啟動(dòng)1．雙方召開(kāi)項(xiàng)目啟動(dòng)會(huì)議，確定各自接口負(fù)責(zé)人。5．對(duì)評(píng)估中需要的其他策略文檔進(jìn)行收集。6．簽字，并重新確認(rèn)實(shí)施時(shí)間與實(shí)施范圍，有可能的情況下，需要甲方全程陪同。4．收集好評(píng)估數(shù)據(jù)，并妥善保存。3．對(duì)應(yīng)業(yè)務(wù)的管理、員工、安全主管進(jìn)行訪談。風(fēng)險(xiǎn)控制計(jì)劃是針對(duì)風(fēng)險(xiǎn)評(píng)估中識(shí)別的安全風(fēng)險(xiǎn)，特別是不可接受風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制和處理計(jì)劃，選擇有效的風(fēng)險(xiǎn)控制措施將殘余風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。安全設(shè)備 包括防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)閘、防病毒、桌面管理、審計(jì)、加密機(jī)、身份鑒別等；查看安全設(shè)備的部署情況。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。綜合評(píng)定方法，可以根據(jù)組織自身的特點(diǎn)，選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果，也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同重要程度對(duì)其賦值進(jìn)行加權(quán)計(jì)算而得到資產(chǎn)的最終賦值。2. 脆弱性賦值（五個(gè)等級(jí)：很低、低、中、高、很高）可以根據(jù)對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。路由器 檢查操作系統(tǒng)是否存在安全漏洞；配置方面，檢測(cè)端口開(kāi)放、管理員口令設(shè)置與管理、口令文件安全存儲(chǔ)形式、訪問(wèn)控制表；是否能對(duì)配置文件進(jìn)行備份和導(dǎo)出；關(guān)鍵位置路由器是否有冗余配置。 ==工作輸出1．《業(yè)務(wù)安全評(píng)估相關(guān)成員列表》（包括雙方人員）2．《報(bào)告藍(lán)圖》 ==備注1．務(wù)必請(qǐng)指定業(yè)務(wù)實(shí)施負(fù)責(zé)人作為項(xiàng)目接口和協(xié)調(diào)人；列出人員的電話號(hào)碼和電子郵件帳號(hào)以備聯(lián)絡(luò)。==工作輸出1．《資料接收單》2．《安全訪談?dòng)涗泦巍?=備注1．對(duì)提供的電子或紙質(zhì)文檔進(jìn)行嚴(yán)格的保密和內(nèi)部使用控制，資料接收時(shí)需要填寫(xiě)《資料接收單》并簽字。7．每日總結(jié)并檢查當(dāng)日工作是否完成，如未完成，要考慮后期計(jì)劃的調(diào)整。3．工作確認(rèn)單是你工作完成的憑證。2．提供對(duì)應(yīng)業(yè)務(wù)的系統(tǒng)信息，包括拓?fù)鋱D、業(yè)務(wù)功能說(shuō)明、業(yè)務(wù)流程說(shuō)明（如能提供系統(tǒng)設(shè)計(jì)方案更佳）。結(jié)合系統(tǒng)的IT戰(zhàn)略和業(yè)務(wù)連續(xù)性目標(biāo)，確定系統(tǒng)不可接受風(fēng)險(xiǎn)范圍。評(píng)估內(nèi)容重要服務(wù)器的安全配置 登錄安全檢測(cè)；用戶(hù)及口令安全檢測(cè)；共享資源安全檢測(cè)；系統(tǒng)服務(wù)安全檢測(cè)；系統(tǒng)安全補(bǔ)丁檢測(cè)；日志記錄審計(jì)檢測(cè)；木馬檢測(cè)。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專(zhuān)家和軟硬件方面的專(zhuān)業(yè)等人員。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。脆弱性由于很多弱點(diǎn)反映的是同一方面的問(wèn)題，應(yīng)綜合考慮這些弱點(diǎn)，最終確定這一方面的脆弱性嚴(yán)重程度。物理環(huán)境 包括 UPS、變電設(shè)備、空調(diào)、門(mén)禁等。二、確定工作范圍1．請(qǐng)局方按合同范圍提供《資產(chǎn)表》，也即掃描評(píng)估范圍。2．訪談?dòng)涗泦蝺?nèi)容需要與被訪談人進(jìn)行確認(rèn)及簽字。六、數(shù)據(jù)整理1．工作整理。2．清晰明確的日工作計(jì)劃才能使當(dāng)日工作有條不紊。四、管理評(píng)估階段1．提供現(xiàn)有的安全管理規(guī)范和管理制度。風(fēng)險(xiǎn)綜合分析是根據(jù)對(duì)