風(fēng)險(xiǎn)評(píng)估實(shí)施步驟

風(fēng)險(xiǎn)評(píng)估實(shí)施步驟一風(fēng)評(píng)準(zhǔn)備確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)確定風(fēng)險(xiǎn)評(píng)估的范圍組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)進(jìn)行系統(tǒng)調(diào)研，采取問(wèn)卷調(diào)查、現(xiàn)場(chǎng)詢(xún)問(wèn)等方式，至少包括以下內(nèi)容：? 業(yè)務(wù)戰(zhàn)略及管理制度? 主要的業(yè)務(wù)功能和要求網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部鏈接好外部鏈接系統(tǒng)邊界主要的硬件、軟件數(shù)據(jù)和信息系統(tǒng)和數(shù)據(jù)的敏感性支持和使用系統(tǒng)的人員制定方案，為之后的風(fēng)評(píng)實(shí)施提供一個(gè)總體計(jì)劃，至少包括：確定實(shí)施評(píng)估團(tuán)隊(duì)成員工作計(jì)劃及時(shí)間進(jìn)度安排獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持二資產(chǎn)識(shí)別資產(chǎn)的價(jià)值是按照資產(chǎn)在保密性、完整性和可用性上達(dá)到的程度或者其未達(dá)到時(shí)造成的影響程度來(lái)決定資產(chǎn)分類(lèi)根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類(lèi)資產(chǎn)的賦值（五個(gè)等級(jí)：可忽略、低、中等、高、極高）?保密性賦值：根據(jù)資產(chǎn)在保密性上的不同要求，對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者密保性缺失時(shí)對(duì)整個(gè)組織的影響，劃分為五個(gè)不同的等級(jí)?完整性賦值：根據(jù)資產(chǎn)在完整性上的不同要求，對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響，劃分為五個(gè)不同的等級(jí)?可用性賦值：根據(jù)資產(chǎn)在可用性上的不同要求，對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度，劃分為五個(gè)不同的等級(jí)資產(chǎn)重要性等級(jí)（五個(gè)等級(jí)：很低、低、中、高、很高）資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出。綜合評(píng)定方法，可以根據(jù)組織自身的特點(diǎn)，選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果，也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同重要程度對(duì)其賦值進(jìn)行加權(quán)計(jì)算而得到資產(chǎn)的最終賦值。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。三威脅識(shí)別威脅是一種對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。威脅的分類(lèi)根據(jù)威脅的來(lái)源，威脅可分為軟硬件故障、物理環(huán)境威脅、無(wú)作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或?yàn)E用、黑客攻擊技術(shù)、物理攻擊、泄密、篡改、抵賴(lài)威脅的賦值（五個(gè)等級(jí)：很低、低、中、高、很高）判斷威脅出現(xiàn)的頻率是威脅識(shí)別的重要工作，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷。在風(fēng)歡迎共閱險(xiǎn)評(píng)估過(guò)程中，還需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：（1）以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)；（2）實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；（3）近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。四脆弱性識(shí)別脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱(chēng)。脆弱性識(shí)別也稱(chēng)為弱點(diǎn)識(shí)別，弱點(diǎn)是資產(chǎn)本身存在的，如果沒(méi)有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再?lài)?yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒(méi)有正確實(shí)施的安全措施本身就可能是一個(gè)弱點(diǎn)。脆弱性識(shí)別將針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專(zhuān)家和軟硬件方面的專(zhuān)業(yè)等人員。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。脆弱性識(shí)別脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性賦值（五個(gè)等級(jí)：很低、低、中、咼、很咼）可以根據(jù)對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性由于很多弱點(diǎn)反映的是同一方面的問(wèn)題，應(yīng)綜合考慮這些弱點(diǎn)，最終確定這一方面的脆弱性嚴(yán)重程度。對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。五已有安全措施的確認(rèn)組織應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消，或者用更合適的安全措施替代。六風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算方法安全事件發(fā)生的可能性丸（威脅出現(xiàn)頻率，脆弱性）安全事件的損失=卩（資產(chǎn)重要程度，脆弱性嚴(yán)重程度）風(fēng)險(xiǎn)值=R（安全事件發(fā)生的可能性，安全事件的損失）評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值。如矩陣法或相乘法，通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù)，矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系;運(yùn)用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)結(jié)果判定（五個(gè)等級(jí)：很低、低、中、咼、很咼）組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受風(fēng)險(xiǎn)閾值，七風(fēng)險(xiǎn)評(píng)估文件記錄風(fēng)險(xiǎn)評(píng)估文件記錄的要求記錄風(fēng)險(xiǎn)評(píng)估過(guò)程的相關(guān)文件，應(yīng)該符合以下要求（但不僅限于此）：（1） 確保文件發(fā)布前是得到批準(zhǔn)的;（2） 確保文件的更改和現(xiàn)行修訂狀態(tài)是可識(shí)別的;（3） 確保在使用時(shí)可獲得有關(guān)版本的適用文件;（4） 確保文件的分發(fā)得到適當(dāng)?shù)目刂?（5） 防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。歡迎共閱對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文件是否需要以及詳略程度由管理過(guò)程來(lái)決定。風(fēng)險(xiǎn)評(píng)估文件風(fēng)險(xiǎn)評(píng)估文件包括在整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔，包括（但不僅限于此）：（1）風(fēng)險(xiǎn)評(píng)估計(jì)劃：闡述風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、團(tuán)隊(duì)、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等；（2）風(fēng)險(xiǎn)評(píng)估程序：明確評(píng)估的目的、職責(zé)、過(guò)程、相關(guān)的文件要求，并且準(zhǔn)備實(shí)施評(píng)估需要的文檔；（3）資產(chǎn)識(shí)別清單：根據(jù)組織在風(fēng)險(xiǎn)評(píng)估程序文件中所確定的資產(chǎn)分類(lèi)方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門(mén)；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱(chēng)、描述、類(lèi)型、重要程度、責(zé)任人/部門(mén)等；（5）威脅列表：根據(jù)威脅識(shí)別和賦值的結(jié)果，形成威脅列表，包括威脅名稱(chēng)、種類(lèi)、來(lái)源、動(dòng)機(jī)及出現(xiàn)的頻率等；（6） 脆弱性列表：根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱(chēng)、描述、類(lèi)型及嚴(yán)重程度等；（7） 已有安全措施確認(rèn)表：根據(jù)已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱(chēng)、類(lèi)型、功能描述及實(shí)施效果等；（8） 風(fēng)險(xiǎn)評(píng)估報(bào)告：對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說(shuō)明被評(píng)估對(duì)象，風(fēng)險(xiǎn)評(píng)估方法，資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果，風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容；（9） 風(fēng)險(xiǎn)處理計(jì)劃：對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過(guò)對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)確保所選擇安全措施的有效性；（10） 風(fēng)險(xiǎn)評(píng)估記錄：根據(jù)組織的風(fēng)險(xiǎn)評(píng)估程序文件，記錄對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)評(píng)估過(guò)程。評(píng)估內(nèi)容重要服務(wù)器的安全配置登錄安全檢測(cè)；用戶(hù)及口令安全檢測(cè)；共享資源安全檢測(cè)；系統(tǒng)服務(wù)安全檢測(cè)；系統(tǒng)安全補(bǔ)丁檢測(cè)；日志記錄審計(jì)檢測(cè)；木馬檢測(cè)。安全設(shè)備包括防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)閘、防病毒、桌面管理、審計(jì)、加密機(jī)、身份鑒別等；查看安全設(shè)備的部署情況。查看安全設(shè)備的配置策略；查看安全的日志記錄；通過(guò)漏洞掃描系統(tǒng)對(duì)安全進(jìn)行掃描。通過(guò)滲透性測(cè)試檢安全配置的有效性。路由器檢查操作系統(tǒng)是否存在安全漏洞；配置方面，檢測(cè)端口開(kāi)放、管理員口令設(shè)置與管理、口令文件安全存儲(chǔ)形式、訪問(wèn)控制表；是否能對(duì)配置文件進(jìn)行備份和導(dǎo)出；關(guān)鍵位置路由器是否有冗余配置。物理環(huán)境包括UPS、變電設(shè)備、空調(diào)、門(mén)禁等。交換機(jī)檢查安全漏洞和補(bǔ)丁的升級(jí)情況，各VLAN間的訪問(wèn)控制策略；口令設(shè)置和管理，口令文件的安全存儲(chǔ)形式；配置文件的備份。風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)評(píng)估流程包括系統(tǒng)調(diào)研、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別（包括現(xiàn)有控制措施確認(rèn)）、風(fēng)險(xiǎn)綜合分析以及風(fēng)險(xiǎn)控制計(jì)劃六個(gè)階段。系統(tǒng)調(diào)研是熟悉和了解組織和系統(tǒng)的基本情況,對(duì)組織IT戰(zhàn)略，業(yè)務(wù)目標(biāo)、業(yè)務(wù)類(lèi)型和業(yè)務(wù)流程以及所依賴(lài)的信息系統(tǒng)基礎(chǔ)架構(gòu)的基木狀況和安全需求等進(jìn)行調(diào)研和診斷。資產(chǎn)識(shí)別是對(duì)系統(tǒng)中涉及的重要資產(chǎn)進(jìn)行識(shí)別，并對(duì)其等級(jí)進(jìn)行評(píng)估，形成資產(chǎn)識(shí)別表。資產(chǎn)歡迎共閱信息至少包括：資產(chǎn)名稱(chēng)、資產(chǎn)類(lèi)別、資產(chǎn)價(jià)值、資產(chǎn)用途、主機(jī)名、IP地址、硬件型號(hào)、操作系統(tǒng)類(lèi)型及版本、數(shù)據(jù)庫(kù)類(lèi)型及版本、應(yīng)用系統(tǒng)類(lèi)型及版本等。威脅識(shí)別是對(duì)系統(tǒng)中涉及的重要資產(chǎn)可能遇到的威脅進(jìn)行識(shí)別，并對(duì)其等級(jí)進(jìn)行評(píng)估，形成威脅識(shí)別表。識(shí)別的過(guò)程主要包括威脅源分析、歷史安全事件分析、實(shí)時(shí)入侵事件分析幾個(gè)方面。脆弱性識(shí)別是對(duì)系統(tǒng)中涉及的重要資產(chǎn)可能被對(duì)應(yīng)威脅利用的脆弱性進(jìn)行識(shí)別，并對(duì)其等級(jí)進(jìn)行評(píng)估，形成脆弱性識(shí)別表。脆弱性識(shí)別又具體分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理六個(gè)方面的內(nèi)容。風(fēng)險(xiǎn)綜合分析是根據(jù)對(duì)系統(tǒng)資產(chǎn)識(shí)別，威脅分析，脆弱性評(píng)估的情況及收集的數(shù)據(jù)，定性和定量地評(píng)估系統(tǒng)安全現(xiàn)狀及風(fēng)險(xiǎn)狀況，評(píng)價(jià)現(xiàn)有保障措施的運(yùn)行效能及對(duì)風(fēng)險(xiǎn)的抵御程度。結(jié)合系統(tǒng)的IT戰(zhàn)略和業(yè)務(wù)連續(xù)性目標(biāo)，確定系統(tǒng)不可接受風(fēng)險(xiǎn)范圍。風(fēng)險(xiǎn)控制計(jì)劃是針對(duì)風(fēng)險(xiǎn)評(píng)估中識(shí)別的安全風(fēng)險(xiǎn)，特別是不可接受風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制和處理計(jì)劃，選擇有效的風(fēng)險(xiǎn)控制措施將殘余風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。風(fēng)險(xiǎn)評(píng)估是按照IS027001建立信息安全管理體系的基礎(chǔ)，是PDCA循環(huán)的策劃階段的主要工作內(nèi)容，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)從ISO17799中選擇控制目標(biāo)與控制方式。風(fēng)險(xiǎn)評(píng)估是建立ISMS的基礎(chǔ)，處于27001的第一個(gè)環(huán)節(jié)計(jì)劃階段（P）,也為風(fēng)險(xiǎn)管理提供依據(jù)；等級(jí)保護(hù)理論上和27001沒(méi)有直接關(guān)系，但是目前等保的管理安全部分借鑒了27001的控制域部分要求，二者是可以相融合的P階段：建立ISMS（PLAN）?定義ISMS的范圍?定義ISMS策略? 定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑? 識(shí)別風(fēng)險(xiǎn)? 評(píng)估風(fēng)險(xiǎn)? 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施? 選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制? 準(zhǔn)備適用性聲明（SoA）? 取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMS信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目工序與流程一、 項(xiàng)目啟動(dòng)1雙方召開(kāi)項(xiàng)目啟動(dòng)會(huì)議，確定各自接口負(fù)責(zé)人。==工作輸出1《業(yè)務(wù)安全評(píng)估相關(guān)成員列表》（包括雙方人員）《報(bào)告藍(lán)圖》==備注1務(wù)必請(qǐng)指定業(yè)務(wù)實(shí)施負(fù)責(zé)人作為項(xiàng)目接口和協(xié)調(diào)人；列出人員的電話(huà)號(hào)碼和電子郵件帳號(hào)以備聯(lián)絡(luò)。二、 確定工作范圍1請(qǐng)局方按合同范圍提供《資產(chǎn)表》，也即掃描評(píng)估范圍。請(qǐng)局方指定需進(jìn)行人工評(píng)估的資產(chǎn)，確定人工評(píng)估范圍。請(qǐng)局方給所有資產(chǎn)賦值（雙方確認(rèn)資產(chǎn)賦值）請(qǐng)局方指定安全管理問(wèn)卷調(diào)查（訪談）人員，管理、員工、安全主管各一人。==工作輸出1《會(huì)議備忘》（要求簽字確認(rèn)）歡迎共閱《資產(chǎn)表》（包括人工評(píng)估標(biāo)記和資產(chǎn)值）==備注1資產(chǎn)數(shù)量正負(fù)不超過(guò)15%；給資產(chǎn)編排序號(hào)，以方便事后檢查。給人工評(píng)估資產(chǎn)做標(biāo)記，以方便事后檢查。資產(chǎn)值是評(píng)估報(bào)告的重要數(shù)據(jù)。三、 制定整體實(shí)施計(jì)劃按照工作范圍制定整個(gè)項(xiàng)目的總體計(jì)劃，包括現(xiàn)場(chǎng)準(zhǔn)備、掃描評(píng)估、人工評(píng)估、問(wèn)卷調(diào)查、加固實(shí)施等各階段。與接口負(fù)責(zé)人共同確定針對(duì)各相關(guān)資產(chǎn)進(jìn)行管理評(píng)估，入侵檢測(cè)系統(tǒng)實(shí)施掃描評(píng)估、人工評(píng)估的日期和時(shí)間段。==工作輸出《總體項(xiàng)目進(jìn)度甘特圖》2?《評(píng)估階段工作計(jì)劃表》==備注掃描評(píng)估、人工評(píng)估、問(wèn)卷調(diào)查在可能的情況下可以同期進(jìn)行；《工作計(jì)劃表》交項(xiàng)目經(jīng)理參考，以便配合。確定日期以便于制定工作計(jì)劃；確定時(shí)間段（白天、晚間、夜間甚至鐘點(diǎn)）對(duì)加固階段詳細(xì)計(jì)劃的確定更重要。四、 管理評(píng)估階段提供現(xiàn)有的安全管理規(guī)范和管理制度。提供對(duì)應(yīng)業(yè)務(wù)的系統(tǒng)信息，包括拓?fù)鋱D、業(yè)務(wù)功能說(shuō)明、業(yè)務(wù)流程說(shuō)明（如能提供系統(tǒng)設(shè)計(jì)方案更佳）。對(duì)應(yīng)業(yè)務(wù)的管理、員工、安全主管進(jìn)行訪談。對(duì)現(xiàn)有安全管理制度的實(shí)行情況進(jìn)行審計(jì)。5?對(duì)評(píng)估中需要的其他策略文檔進(jìn)行收集。==工作輸出1?《資料接收單》《安全訪談?dòng)涗泦巍?=備注1?對(duì)提供的電子或紙質(zhì)文檔進(jìn)行嚴(yán)格的保密和內(nèi)部使用控制，資料接收時(shí)需要填寫(xiě)《資料接收單》并簽字。訪談?dòng)涗泦蝺?nèi)容需要與被訪談人進(jìn)行確認(rèn)及簽字。對(duì)于發(fā)現(xiàn)的重要情況，均須與對(duì)應(yīng)配合人員進(jìn)行確認(rèn)，重大內(nèi)容需要雙方簽字。五、 技術(shù)評(píng)估階段提出掃描申請(qǐng)每日制定第二天的日工作計(jì)劃，包括掃描評(píng)估、人工評(píng)估、問(wèn)卷調(diào)查等詳細(xì)計(jì)劃。進(jìn)行掃描評(píng)估（每次掃描完成后，應(yīng)有掃描確認(rèn)，需用戶(hù)方簽字）。進(jìn)行人工評(píng)估（每次人工評(píng)估完成后，應(yīng)有人工評(píng)估確認(rèn)，需用戶(hù)方簽字）。雙方協(xié)商布置在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上布置入侵檢測(cè)系統(tǒng)（一般放置3天）。在整個(gè)項(xiàng)目技術(shù)部分基本結(jié)束時(shí)，雙方協(xié)商進(jìn)行滲透測(cè)試。&每日進(jìn)行記錄和總結(jié)。9.逢周末進(jìn)行周工作總結(jié)。==工作輸出1.《掃描申請(qǐng)報(bào)告》/《原始弱點(diǎn)報(bào)告》歡迎共閱2.《日工作計(jì)劃》3?《工作確認(rèn)單》評(píng)估數(shù)據(jù)《入侵檢測(cè)系統(tǒng)布置申請(qǐng)報(bào)告》《入侵檢測(cè)系統(tǒng)日志分析報(bào)告》《滲透