一、項目啟動
1．雙方召開項目啟動會議，確定各自接口負責人。
==工作輸出
1．《業務安全評估相關成員列表》（包括雙方人員）
2．《報告藍圖》
==備註
1．務必請指定業務實施負責人作為項目接口和協調人；列出人員的電話號碼和電子郵件帳號以備聯絡。
二、確定工作範圍
1．請局方按契約範圍提供《資產表》，也即掃描評估範圍。
2．請局方指定需進行人工評估的資產，確定人工評估範圍。
3．請局方給所有資產賦值（雙方確認資產賦值）
4．請局方指定安全管理問卷調查（訪談）人員，管理、員工、安全主管各一人。
==工作輸出
1．《會議備忘》（要求籤字確認）
2．《資產表》（包括人工評估標記和資產值）
==備註
1．資產數量正負不超過15%；給資產編排序號，以方便事後檢查。
2．給人工評估資產做標記，以方便事後檢查。
3．資產值是評估報告的重要數據。
三、制定整體實施計畫
1．按照工作範圍制定整個項目的總體計畫，包括現場準備、掃描評估、人工評估、問卷調查、加固實施等各階段。
2．與接口負責人共同確定針對各相關資產進行管理評估，入侵檢測系統實施掃描評估、人工評估的日期和時間段。
==工作輸出
1．《總體項目進度甘特圖》
2．《評估階段工作計畫表》
==備註
1．掃描評估、人工評估、問卷調查在可能的情況下可以同期進行；《工作計畫表》交項目經理參考，以便配合。
2．確定日期以便於制定工作計畫；確定時間段（白天、晚間、夜間甚至鐘點）對加固階段詳細計畫的確定更重要。
四、管理評估階段
1．提供現有的安全管理規範和管理制度。
2．提供對應業務的系統信息，包括拓撲圖、業務功能說明、業務流程說明（如能提供系統設計方案更佳）。
3．對應業務的管理、員工、安全主管進行訪談。
4．對現有安全管理制度的實行情況進行審計。
5．對評估中需要的其他策略文檔進行收集。
==工作輸出
1．《資料接收單》
2．《安全訪談記錄單》
==備註
1．對提供的電子或紙質文檔進行嚴格的保密和內部使用控制，資料接收時需要填寫《資料接收單》並簽字。
2．訪談記錄單內容需要與被訪談人進行確認及簽字。
3．對於發現的重要情況，均須與對應配合人員進行確認，重大內容需要雙方簽字。
五、技術評估階段
1．提出掃描申請
2．每日制定第二天的日工作計畫，包括掃描評估、人工評估、問卷調查等詳細計畫。
3．進行掃描評估（每次掃描完成後，應有掃描確認，需用戶方簽字）。
4．進行人工評估（每次人工評估完成後，應有人工評估確認，需用戶方簽字）。
6．雙方協商布置在網路關鍵節點上布置入侵檢測系統（一般放置3天）。
7．在整個項目技術部分基本結束時，雙方協商進行滲透測試。
8．每日進行記錄和總結。
9．逢周末進行周工作總結。
==工作輸出
1．《掃描申請報告》/《原始弱點報告》
2．《日工作計畫》
3．《工作確認單》
4．評估數據
5．《入侵檢測系統布置申請報告》《入侵檢測系統日誌分析報告》
6．《滲透測試申請報告》/《滲透測試報告》
7．《日工作記錄》
8．《周工作總結》
==備註
1．簽字確認。
2．清晰明確的日工作計畫才能使當日工作有條不紊。
3．工作確認單是你工作完成的憑證。
4．收集好評估數據，並妥善保存。
5．簽字，注意連線埠鏡像原則上必須由客戶進行配置。
6．簽字，並重新確認實施時間與實施範圍，有可能的情況下，需要甲方全程陪同。
7．每日總結並檢查當日工作是否完成，如未完成，要考慮後期計畫的調整。
六、數據整理
1．工作整理。
2．撰寫評估報告。
3．撰寫加固方案和安全建議。
==工作輸出
1．《評估階段工作總結》
2．《網路安全風險評估報告》
3．《網路安全建議報告》
七、項目驗收
1．提交項目成果。
2．報告解讀
3．培訓