5.6.2  渗透测试

（1）活动目标 模拟真实的黑客攻击来测试信息系统安全性，及时发现信息系统安全问题，并提示项目组进行问题修复。

（2）参与角色 渗透测试团队、信息安全经理、信息安全督导员。

（3）活动输入 待测试的信息系统。

（4）活动描述 本活动主要包括以下子活动内容：

1）准备渗透测试。根据信息系统安全管理需要，对网上银行等重要信息系统或通过互联网向客户提供业务服务的信息系统进行渗透测试。在实施测试之前，应与具备资质的第三方公司签署渗透测试服务协议，由其派出专业团队来开展渗透测试。

2）开展渗透测试。渗透测试团队利用漏洞扫描工具或设备对信息系统进行自动探测的测试，排查可能导致黑客攻击的安全漏洞。应在信息系统业务量较低的空闲时间进行渗透测试，并根据渗透测试目标限制测试范围和强度。应提前通知相关业务部门和运行部门，做好应急预案，确保渗透测试不影响业务系统的正常运行。

3）问题修复和确认。由信息安全经理牵头，信息安全督导员配合，组织对渗透测试发现的漏洞进行修复，并将修复后的信息系统再次提交测试，直到确认修复所有漏洞。

（5）活动输出 测试发现的漏洞、经过修复漏洞的信息系统。