测评流程规范脑图思维导图
测评流程的准备阶段,方案编制与现场测评详解
树图思维导图提供 测评流程规范脑图 在线思维导图免费制作,点击“编辑”按钮,可对 测评流程规范脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:286bfcc7773fa8752d1cfff989e10fbe
思维导图大纲
测评流程规范思维导图模板大纲
对接阶段
项目对接
确认项目我们实施电话或微信通知部长
时间:须提前一周通知部长
销售将系统信息提交给部长
系统基本信息
几个系统几级
对接人与联系方式
项目地址
期望入场时间、期望交付时间
提交DMS系统入场申请
正式启动前须提供DMS系统项目或者邮件、电话到武老师处审批
项目经理从DMS系统点击”公安登记信息“模块,录入公安系统,获取基本情况表(与准备阶段最后一项匹配)
见附件 1
分配项目经理
部长通过DMS系统分配项目经理
销售经理建立群聊
至少销售、部长、项目经理三方,其他项目组成员
群名:XX单位等保测评项目交流群
部长与项目经理在群内实现信息共享
系统基本信息
几个系统几级
对接人与联系方式
项目地址
群昵称
天帷-项目角色-姓名
项目角色:质量监督、项目经理(中级、部长)、对接协调、测评师、渗透工程师
项目经理需确认群内包括销售老师、武建双、刘洋、王雅莉、本部部长、项目组员、渗透老师
内部沟通确定后邀请客户进入群
销售经理介绍项目经理
XX您好,本次等保测评服务项目由我司XXX老师 担任项目经理,武建双老师为项目质量监督人,XX老师负责项目实施对接协调,后续项目实施还需要多麻烦您协调和支持,也希望我们天帷测评项目组各位老师严格按照标准要求、高质高效的完成本次等保测评项目,感谢各位老师的大力支持!
项目经理自我介绍
①XX您好,我是贵单位本次等保测评项目的项目经理(对接协调人)XXX,手机号XXXXXXXXX(微信同手机号),下面发的文件是等保项测评项目流程以及双方工作职责,一个项目周期参考标准周期是45天左右,目前我们处于项目准备阶段,本阶段主要工作是制定初步计划以及开展调研工作请您审阅一下,便于了解项目的实施周期和内容,要是有需要我支持的,请随时和我联系,感谢您的支持与配合。
准备阶段
与客户确定项目实施计划,确定调研方式与时间
客户对45天项目实施周期无异议
XX您好,我们正常的项目实施周期是45天,项目共计四个阶段,分为测评准备阶段(预计耗时5天),方案编制阶段(预计耗时5天),现场测评阶段(预计耗时20天)及报告编制阶段(预计耗时15天),您看按照这几个时间阶段及周期撰写项目实施计划可以吗。
客户对45天项目实施周期有异议,则根据客户反馈的时间周期重新制定计划
根据客户预计结项时间制定计划发送项目周期表
见附件2
发送客户项目计划书
XX您好,经过与您的沟通了解,我们初步编制了一份项目计划书,项目主要是分为四个活动,测评准备、方案编制、现场测评、报告编制,文档中包含我们各个活动的时间安排以及内容,请您看下这个计划安排是否合适,有问题麻烦您随时和我说,我这边再根据您的建议及时修订,谢谢。
项目经理上传计划书,并在DMS系统项目实施计划,授权对应业主,推送等保助理小程序
XX您好,我是天帷信安XXX,负责贵单位XXX信息系统的等保测评。最近我们公司开发了一个微信小程序:等保助理;我们可以通过等保助理查看当前等保测评项目的进度、项目计划完成的时间等一系列的信息,有助于我们更好的了解等保测评的流程以及项目当前状况。但是需要您微信绑定的手机号码与系统录入号码是一致的,然后添加“等保助理”小程序,感谢您的支持与配合。
开展调研工作
调研准备
调研时间
线上调研最好开一个5到10分钟的线上会议或电话,阐述清楚配合人员的意义
不要让当事人干活,当当事人指挥和动嘴 1、启动会体现工作量,从技术和管理两方面描述 2、介绍整个实施流程,定级-备案-测评-整改-交付, ①体现工作周期,并不是今天测评明天就能交付报告; ②引出现场测评现场整改的概念,促进整改进度; 注意:必须客户人员操作整改 3、跟客户确认分数 4、一定要和客户确认清楚报告交付时间,要具体的时间
调研范围
需要配合测评人员与内容
见附件3
您好,XX总/XX主任,请问项目是首次测评还是复测呢,若是首次测评的话麻烦您填写下这个表格,若是复测的话您可以把上次的测评材料发我下,我们来了解下系统情况制定测评方案以及测评计划。
调研工作
资产调研表全部填写定稿
拓扑图
数据备份情况等
服务厂商
提供加固建议
XX您好,经过我们初步的调研评估之后,信息系统内的网络设备、安全设备、服务器、数据库及应用软件可能存在部分高、中、低风险问题。下面是我整理的一份系统加固建议,为了加快项目进度、推动项目顺利实施,麻烦您协调相关技术人员进行系统自查及加固,加固建议若有不清楚的地方请随时和我这边沟通,我们全力支持配合您。
见附件4
确保资产均能登录设备,且各类型配合人员,并拉入群
云平台安全功能调研
见附件5
云平台的报告以及复测情况(首页至主要安全问题及整改建议结束)
见附件6
入场材料表单准备,把已确定的相关信息填写上,注意不要拿空表给客户签字盖章
签署材料
漏扫渗透授权表、保密协议、现场测试授权书
可以只要签字,暂不盖章,正式测评前必须有客户签字或盖章授权
参与人员
对接协调人和助理
需要哪些方配合
调研表上传DMS系统
系统里准备阶段的任务
无误后启动公安系统基本情况表录入工作
方案编制
编写测评方案
①测评对象确定(识别资产对象及测评对象)
②测评指标确定(确定除通用测评要求外,是否涉及云计算、工控、物联网等扩展测评要求)
③工具测试方法确定(确定漏扫渗透的接入点及漏扫渗透的工具)
对接协调审核指导方案,并记录在方案评审表中;评审意见要具有针对性
方案线上发送客户审核确认
XX您好,经过我们前期对系统的调研,这是我们编制的一份测评方案,请您审阅。测评方案内容主要包括贵单位系统资产、测评对象选取、测评指标以及测评实施计划等内容,请您查收、审阅,有需要修改的地方,请您随时和我联系,谢谢。
确认后上传DMS系统
项目经理确认渗透人员
现场测评(基本情况表下来后方可入场测评)
项目对接人提前2天与客户再次确认测评地点、时间
XX您好,我们项目组计划于本周X(2022年XX月XX日)上午九点前往贵单位进场测评,计划有3位测评师前往,预计现场测评3天,到达贵单位后先开一个项目启动会,启动会主要和您介绍一下等保项目流程、内容和实施计划等。启动会结束后,直接开展测评工作,请您知悉。为了项目实施的顺利进行,现需要您协调下列事宜: 1、协调一个带投影仪的会议室,做项目启动会使用。 2、协调贵单位信息安全负责领导以及与信息系统相关的人员(如机房负责人、系统建设运维负责人等)参加项目启动会。 3、需要准备好系统相关设备(包括交换机、防火墙、服务器等)的最高管理员权限账号及密码,并协调相关技术人员协助我们现场测评。 4.我们现场测评有授权书、保密协议、风险告知等几份材料,需要贵单位签字盖章,请您提前协商,需要盖章的材料电子版已发送给您,请您审阅,要是有疑问的地方请随时和我联系,谢谢,感谢您的支持与配合!
启动会
不要让当事人干活,当当事人指挥和动嘴 1、启动会体现工作量,从技术和管理两方面描述 2、介绍整个实施流程,定级-备案-测评-整改-交付, ①体现工作周期,并不是今天测评明天就能交付报告; ②引出现场测评现场整改的概念,促进整改进度; 注意:必须客户人员操作整改 3、跟客户确认分数 4、一定要和客户确认清楚报告交付时间,要具体的时间
测评
XX及各位老师好,给您们汇报下今天的工作内容和明日的工作安排。 测评工作进度: 1) 远程进行服务器、数据库的测评,并将整改建议及加固手册发送技术人员,并撰写服务器、数据库、中间件结果记录; 2) 完成安全通信网络、安全区域边界、安全管理中心的测评,并撰写结果记录; 3) 完成应用软件的测评,并将存在问题发给开发人员; 4) 完成服务器的漏洞扫描,漏扫无高危漏洞; 5)完成服务器及数据库的整改验证,修改结果记录。 明日工作安排: 1)完成管理制度的测评,需相关人员协助; 2)申请渗透测试,沟通渗透测试时间 ; 3)与技术人员确认部分应用软件问题; 当前测评存在高风险问题: 1)应用系统未对登录口令加密,需采用MD5加盐或RSA算法对口令进行加密 2)应用系统日志存储空间不足,不足以存储6个月日志,建议申请服务器或扩大资源。
小结会
初次结果记录确认,尽量现场确认
XXX主任您好,经过我们项目组的现场测评,项目现场测评工作正式结束,系统的结果记录我这边也已汇总整理完毕,现在发您这边审核确认,目前系统的分数较低,主要是机房和技术层面得分较低,后续我这边也会发送完整的整改报告给到您。
确认后上传DMS系统
风险分析与整改建议,谁测谁写,协调对接项目负责
整改建议发送客户与结果记录方式保持一致
XX您好,本次等保项目涉及的系统的整改报告已加密私发给您,目前各系统得分情况如下:XXX系统69.6;XXX系统68.2;XXX系统66.9。整改报告中的高风险问题是需要进行整改的,中、低风险问题可以根据单位的实际情况选择性整改,请您协调相关技术人员进行整改,整改过程中有需要支持的请与我联系(合肥天帷尹瑞瑞18256025696),整改后无高风险问题且分数大于70分,您那边确认后就可以开始报告编制,请您知悉,感谢您的支持与配合!
现场无法确认的2天后进行线上确认
XXX主任您好,经过我们项目组的现场测评,项目现场测评工作正式结束,系统的结果记录我这边也已汇总整理完毕,现在发您这边审核确认,目前系统的分数较低,主要是机房和技术层面得分较低,后续我这边也会发送完整的整改报告给到您。
提供结果记录确认表
复测
复测方式依据实际情况
线下
线上(需留存证据截图)
复测除整改的内容复测,其他需要复测内容整改(比如实时更新的规则库等)
XX您好,经过测评、初步整改后,目前系统的分数在72分左右,但仍存在几点高危问题影响报告的交付,向您汇报一下:1、系统网络边界处未采取防病毒措施;2、入侵防御规则库未更新的问题;3、漏洞扫描、渗透测试存在高危的问题。目前这些问题由我、XXX以及电信XXX跟进,问题1及问题3XXX 已与深信服方进行续保的相关事宜,并进行相关问题的修正;问题2XXX这边也在走采购防病毒功能授权的流程,待这些问题解决,我们会再进行验证,请您知悉。
复测后结果记录更新与确认(线上,纸质后续与验收材料一起寄出)
报告编制
审核结果记录(必须)
组员审核一遍
项目经理必须总体全部审
编写报告
确认份数
XXX您好,在您的大力支持和配合下,经过整改、验证后,目前系统分数为75分左右,具备报告编制的条件,文档是剩余问题汇总以及结果记录,麻烦您查收、确认一下,要是没有问题,就可以进行报告编制了,报告编制的周期为15天左右,因为测评报告是一本很厚的书而且为了保证质量还要经过公司的四轮审核,当然您这边要是着急要报告,我们也会加班加点的进行编制。
确认报告客户信息
项目经理进行分工
整体测评必须由项目经理编写
项目协调人负责报告质量
部长审核
质量控制部审核
报告交付
打印前与客户确认
确认分数
确认份数
需在分发范围内描述清楚
确认报告客户信息
XX您好,目前贵单位系统的测评报告已具备打印交付条件,在这之前需要跟您再次确认以下三点信息: 1、分数:目前报告的分数在75分。 2、份数:一般您单位、网安、我单位各保留一份共计三份测评报告。如您有份数要求,烦请提前告知。(提前说明一般份数情况以避免客户要求份数过多) 3、单位信息:下图中您单位的信息,是根据系统备案表进行填写的,如有错误或与您单位信息不符,烦请指正。 以上三点信息需要您核对,确定后我们会进行报告打印交付。
打印前与销售确认
确认份数
确认客户以及网安递交方式
报告打印
报告盖章与签字
报告提交商务结项
合肥、黄山、安庆、宿州四处采用电子档文件结项
报告与验收材料寄出
尊敬的被测单位领导: 您好!请您在收到X份测评报告和相关材料后,请您将以下材料签字\盖章(部门公章即可)后寄回。 1.《项目验收报告》(一式两份,请您在左下角“甲方“位置盖章后寄回一份) 2.《信息安全等级保护测评服务情况评价表》(请您在下方“意见和建议”处盖章) 3.《结果记录》(请您在文档的第二页结果记录确认“委托单位签章/签字”处盖章和骑缝章) 4.《文件签收确认函》(请您在“签收人“处盖章或签字) 温馨提示:除X份测评报告和1份验收报告贵单位留存外,其他材料(验收报告、信息安全等级保护测评服务情况评价表、结果记录和文件签收确认函)请盖章签字后寄回。 收件人:尹瑞瑞 电话:182-5602-5696 地址:安徽省合肥市高新区望江西路900号中安创谷科技园一期A1楼29层 合肥天帷信息安全技术有限公司 您的满意是我们服务的宗旨!谢谢!。
见附件6
项目归档
验收材料整理
①根据合同内容确认所有服务是否均已完成
②根据服务内容制定验收材料
③与销售老师及商务老师协商验收方式,组织验收
验收材料签收
整合更新项目过程材料
申请入柜
需在报告交付15天内完成归档及项目入柜工作。
入柜确认
共性问题
DMS系统任务实时更新
项目计划实时更新
跟进记录的每周更新
沪公网安备 31011502019485号
上海工商