（7）召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作，是一个项目的启动阶段，在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。

　　（8）风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训，以便项目能顺利实施。

　　2.2数据收集阶段

　　主要包括收集资料、现场技术评估、现场管理评估三项任务。

　　（1）收集资料。数据收集阶段最开始的步骤肯定是收集资料，简而言之，收集资料就是采取一切可行的方法，尽可能详细地获得和项目相关的一些信息，例如客户的行为习惯、客户业务相关的文档，甚至信息安全系统、信息化流程等信息都要尽量详细化。

　　（2）现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。

　　（3）现场管理评估。现场管理评估是最后一个步骤，但是却非常重要，它不仅关系着此次项目运行成功与否，还关系到以后项目效率的改进，现场评估需要对项目进展的流程进行综合分析，找出不足之处，寻出与优秀的项目管理之间的差距，归纳总结，从而完善管理程序。

　　2.3数据分析阶段

　　收集数据阶段已经收集了很多的数据存量，想要发现数据的内在规律，从而发现有用的东西，就必须对数据进行详细分析，只有仔细分析数据，才能够发现项目的风险所在，从而确定风险的大小，找出其资产、弱点、风险。

　　2.4报告撰写阶段

　　对收集到的数据进行了详细分析，得到初步的结论以后，就到了报告撰写阶段，即在数据分析的基础上，制作一份报告，论述项目的风险问题。

　　（1）撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来，让管理层清楚地了解当前信息系统存在的风险。

　　（2）撰写整改报告。整改报告则是根据风险评估的结果，提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。

　　2.5项目验收阶段

　　在完成了以上的步骤以后，理论上就可以对项目进行验收了，项目验收即对前期风险评估成果的检验，一般包括三项内容，即报告的评审、组织会议讨论验收事宜以及内部项目总结。

　　（1）报告评审报告评审就是对风险评估报告及整改报告进行评审。

　　（2）召开项目验收会即对项目的成果进行汇报。

　　（3）内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾，还是一个经验总结的过程，回顾过去，把握现在，争取在以后的项目中不再犯同样的错误。

　　3信息安全风险评估项目的重点领域管理

　　信息安全问题影响深远，其风险评估应根据项目的特点及具体过程，且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。

　　3.1项目沟通管理

　　为了达到项目目标，项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持；其次，为了获得客户的支持与配合，提高项目满意度，项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望，首先应该识别干系人，识别他们的需求与期望，制定沟通计划，在项目实施过程中管理干系人的需求与期望。

　　（1）识别干系人。很显然，与项目的相关程度不同，不同的人对项目信息安全风险具有不同的影响，作为客户方与项目实施方，其公司企业的信息安全风险是不一样的，一般而言客户方具有最大的影响力，公司方则次之，干系人对项目的态度也是影响项目信息安全风险的重要因素，态度一般分为无关、支持和反对三个。

　　（2）了解干系人的需求与期望。应该在充分了解项目背景的基础上，运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书，甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的，一般而言会分成很多的情况，比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求，然后通过换位思考、沟通交流等手段，进一步确认干系人的需求与期望。