安全评估实施方案完整模板

安全评估实施方案完整模板内容摘要：

...................................................................... 82 . 评估步骤 ...................................................................................................................................... 82 . 评估内容 ...................................................................................................................................... 83 . 报告整理 ...................................................................................................................................... 84 八 . 项目实施计划 ............................................................................................................................................. 84 . 项目组结构 ........................................................................................................................................ 84 . 甲方项目组结构 ......................................................................................................................... 84 . 乙方 项目组结构 ......................................................................................................................... 85 . 项目小组联系表 ............................................................................................................................... 86 . 甲方小组联系表 ......................................................................................................................... 86 7 / 92 . 乙方小组联系表 ......................................................................................................................... 86 . 项目进度安排 .................................................................................................................................... 86 . 用户配合 ............................................................................................................................................. 87 . 评估监控 ............................................................................................................................................. 87 . 网页监控 ...................................................................................................................................... 87 . 系统监控 ...................................................................................................................................... 88 . 评估风险的应对措施 ...................................................................................................................... 88 . 评估风险应急预案 ........................................................................................................................... 89 附录一：甲方项目组联系表 ............................................................................................................................. 90 附录二：乙方项目组联系表 ............................................................................................................................. 91 附录三：项目进度计划 ...................................................................................................................................... 92 8 / 92 一 . 背景 企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。 为保证企业富有竞争力，保持现金流顺畅和赢利，以及维护企业的良好商业形象，信息安全的三要素保密性、完整性和可用性都是至关重要的。 对于一个特定的网络，为了实现其网络安全的目标，就是要在网络安全风险评估的基础上，明确系统中所存在的各种安全风险，并制订相应的安全策略，通过网络安全管理和各种网络安全技术的实施，从而达到网络安全的目标。 安全 评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。 目标可以包括工作站、服务器、交换机、路由器、数据库等各种网络对象和应用对象。 然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。 为了充分了解客户当前的网络安全威胁状况，需要利用一些常用的扫描工 具、应用软件以及人工分析的等方式获得客户中重要服务器的各类数据。 在扫描之后，将扫描系统获得的报告汇集成为一个当前系统漏洞评估报告，同时根据漏洞情况提供加强网络安全的建议。 为了保证客户网络的安全有效运行以及漏洞信息能够更加完整和准确， XXXXXX 公司还为客户提供手工的安全评估服务，我们公司拥有 大量具有丰富经验的安全工程师，通过对客户网络主机的直接接触，对 目标进行安全评估，达到及时发现网络存在的安全问题，保证网络的安全性，同时对网络系统性能不造成影响。 . 评估目标 本期安全风险评估项目，将通过管理上、技术上的等 多方面进行，以实现以下安全评估目标：  管理上  审核安全策略的合理性  审核安全管理文档的完备程度 9 / 92  完成资产识别、分类工作  拟定体系及策略改进计划  技术上  识别被评估系统面临的威胁  识别被评估系统存在的脆弱性  识别安全设施的有效性  分析威胁发生的可能性  分析威胁发生的后果  评价安全风险  拟定风险处理计划 . 评估范围 对于指定的信息系统必须首先进行资产识别和分类，明确被保护的信息资产，对每一项资产进行确认和评估。 在对信息资产进行识别评估分析时，要根据系统遭受破坏后，对保密性、完整性和可用性造成的影响来决定信息资产的 价值。 XXXXX 目前拥有一个机房。 XXXXXX 将对个机房进行安全评估和加固服务。 主要从这个机房的管理层、技术层、操作层、物理层等多个层面进行安全评估工作，以求能够通过这次评估和加固工作达到要求的安全标准，大幅度提高 XXXXX 以及下属机房的安全防御能力。 二 . 评估原则 为了确保安全项目成功实施，我们将遵循以下原则进行： . 保密原则 对于安全项目，实施方首先应做到的就是对用户要求保密的信息遵守保密原则。 XXXXXX 公司和参加此次评估项目的所有项目组成员，都要与甲方签署相关的保密协议和非侵害性协议。 10 / 92 . 标准性原则 依 据国际国内标准开展工作是本次评估工作的指导原则，也是 XXXXXX 公司提供信息安全服务的一贯原则。 XXXXXX 公司在提供本次评估服务中，将会依据相关的国内和国际标准进行。 这些标准包括：  ISO 17799  BS77992  ISO 13335  AS/NZS 4360  ISO 15408 / GB18336  SSECMM XXXXXX 公司在提供本次评估服务中，除了依据相关的国内和国际标准之外，还要参考一些没有成为国际和国内标准，但是已经成为业界事实上标准的一些规范和约定。 这些规范和约定包括：  CVE 公共漏洞和暴露  PMI 项目管理方法学 XXXXXX 公司在提供本次评估服务中，除了依据相关的国内和国际标准之外，还根据本项目的需要，遵循 XXXXXX 公司自身的一些规范和要求。 这些规范包括：  XXXXXX 科技顾问服务项目管理规范  XXXXXX 科技信息安全顾问服务规范  XXXXXX 科技信息安全风险评估标准  XXXXXX 科技信息安全风险评估服务规范 . 可控性原则 XXXXXX 公司将从多个方面配合甲方，以便达到甲方对评估工作的可控性。 这 些可控性包括：  人员可控性  XXXXXX 公司项目组将确保项目组成员工作的连续性。 11 / 92  XXXXXX 公司将派遣有经验的顾问、评估师和工程师参加本项目的评估工作，同时还会安排有经验的项目管理人员、质量保证人员、标准化审核人员等支持项目的工作。  XXXXXX 公司的人员安排将在顾问服务的工作说明中明确定义并得到双方的同意、确认和签署。 如果根据项目的具体情况，后期需要进行人员调整时，必须经过正规的项目变更程序，并得到双方的正式认可和签署。  工具可控性  XXXXXX 公司项目组所使用的所有技术工具都事先通告甲方。 并且在必要时可以应甲方要求，向甲方介绍主要工具的使用方法，并进行一些实验。  项目过程可控性  本评估项目的管理将依据 PMI 项目管理方法学达到项目过程的可控性。  为了保证 XXXXXX 公司的工作能够按照工程进度实施，甲方组成的评估小组的工作需要在双方进行评估之前举行会议，予以讨论，正式形成文字材料，即书面确定甲方评估小组的职责和义务。 评估期间双方将本着友好合作的态度完成各自的职责。 . 全面性原则 XXXXXX 公司将按照确定的评估范围进行全面的评估，从范围上满足甲方的要求。 XXXXXX 公司实施的网络、系统和应用评估是对 xxxxx 的全面评估； XXXXXX 公司实施的人工分析也覆盖了上述业务系统的业务流程和相互间的业务相关性和数据共享；XXXXXX 公司进行的综合分析和建议将结合 XXXXXX 公司长期的信息安全经验和相关的国际经验。 评估覆盖信息的存储、传输、处理全过程。 . 重点性原则 从用户的业务期望出发，采用详细的安全风险评估方式对用户指出的关键性业务系统进行重点评估。