风险评估流程总结

   风险评估重在对客户存在的风险进行评估，发现隐患和危险之处。风险评估的流程究竟如何，听在下一一道来。

（1）风险评估准备工作。这个准备工作很重要，主要是评估方与被评估方之间的准备。评估方需要安排人员，安排时间，安排工作内容，安排住宿，提前预定飞机票或者火车票，预定酒店。而被评估方则需要准备一些评估资料，安排被评估对象，安全策略，规章制度，安全拓扑图，网络设备等。

（2）风险评估动员大会。该大会相当于誓师大会，让评估方于被评估方有第一次亲密接触，当然被评估方的头头必须要来，讲讲话，重视本次评估，动员大家积极配合和支持本次安全评估。评估方介绍一下本次评估的范围，评估意义，讲讲趋势什么的。评估会议结束时，应当确定双方协调员，也就是双方代表，评估方应该是由项目经理担任，被评估方应该是安全负责人或者指定的其他协调人员。双方确定评估对象，评估具体的工作安排。

（3）进入评估具体实施流程。

    人员访谈和资产调查以及对网络设备、终端的安全检查和机房现场的勘察。所有的这些主要是为了发现物理环境、网络拓扑、终端、业务系统等中存在的安全问题或者安全隐患。

    网络和业务系统的***和扫描。扫描一般是专业的安全评估扫描工具，扫描工具会给出风险评估报告；***主要是通过网络对业务系统，尤其是网站进行测试，找到这些系统中问题。在这些***中，需要对数据库进行检查，但大多由于业务系统复杂而进行较为简单的测试。深入的测试怕带来破坏性后果，严格意义上来讲一些安全***已经在系统正式投入运行前进行。

（4）评估总结大会。当然也有的是先写报告，然后再开总结大会。在写报告前，需要跟客户进行沟通和确认。其实在评估过程中应当每天进行总结，次日跟客户进行沟通，但在实际工作中很难做到。

    安全评估工作中的其它一些体会：

（1）衣着要得体，出去以后就代表公司。

（2）与客户任何人打交道需要通过评估方的经理（头头）点头，由他出面解决在评估过程中遇到的问题或者需要解决的事情。

（3）在跟客户人员交往或者评估过程中，尽可能少的透露信息，不要妄加评论。保持一些神秘感。

（4）按照要求做事。

（5）来回行程上有一定的空余。很多时候飞机会晚点，保险一点火车最好。比较准时，我遇到的一次飞机晚点5个小时，遇到这种情况只能认了！记住国航的飞机最差。

   好了想起的就这些了！安全评估中注重整体理论知识的运用，从访谈人员的话语中找到存在的问题，从安全拓扑中发现系统存在的问题，***在评估中重要，但不是主流。