渗透测试不仅仅是进行漏洞扫描，而是会使用多步骤、多向量的攻击方案来发现漏洞，然后利用漏洞深入企业的基础架构。在制定了渗透测试提供商候选清单后，企业发布的RFP（需求建议书）包括哪些核心部分？青藤云安全小编为你梳理了相关内容。

在确定了渗透测试的目标、范围、要求和界限后，需要制定一份渗透测试提供商的候选清单。由于提供商的规模不一，所以在确定提供商列表后，建议企业发布一份RFP（需求建议书）。之后可以按照需求建议书对提供商的优缺点进行统一对比。RFP应该包括四个核心部分：

（1）组织机构的详细信息、相关背景信息、进行测试的动因以及渗透测试的范围和目标

（2）相关需求和边界

（3）确定提供商在回应RFP时需要回答的特定问题

（4）标准的RFP采购信息和问题，包括RFP答复的格式、联系方式、商业详细信息、客户参考信息和答复截止日期

第一部分应包括有关组织机构和渗透测试动因的简短背景信息。在组织机构可接受的范围内，尽可能地与外部共享更多信息。

第二部分应包括测试目标和测试范围的描述。确定目标和范围后，应确定测试界限。接下来需要提出一系列特定需求，例如远程测试与实地测试以及允许的测试时间（例如，下午6点至凌晨6点之间）。清楚地记录沟通方法。另外，有必要非常明确地说明可能会限制测试人员进行测试的要求（例如，当要求指定用于执行测试的工具集或主机时）。确定测试的预期完成日期也很重要，测试人员应在该日期之前提交最终报告和建议。如果测试包括重新测试，请明确说明需要几次测试以及何时决定进行这些测试以及测试的授权标准。

第三部分应包含旨在评估提供商能力的问题，并根据这些问题对供应商进行对比。其中有关于员工、测试方法、测试管理和报告的问题是必不可少的。

建议问题如下：

■您将把这项工作分配给谁？被分配的测试人员的技能、经验和资质怎样？每个测试人员的平均经验年数是多少？请提供简历作为补充。

■对于标准渗透测试，可以花几分钟时间在线搜索以查看提供商的员工是否是信息安全社区的活跃成员。

■如果提供商在此阶段没有说明会将测试工作分配给谁，请确保在签署任何协议之前，请提供商提供一份最终的员工名单，并可以选择任何替代人选。

■您如何审核工作人员呢？您使用国外资源吗？

■您通常会在多大程度上进行手动测试，而不是自动化测试？

■描述您的经历，并提供涉及类似目标的业务示例。

■描述您在类似规模的组织和IT环境中的经验。

■描述测试报告和结果的撰写方式。

■此外，渗透测试应该是补救工作的开始。我们看到客户将渗透测试视为一次性事件或仅与合规有关的事件。若提供商能够提供有关问题优先级的指南以及任何指南，则应优先选择这些提供商。

■您将如何进行测试管理？在测试过程中，您将如何向客户传达状态更新和发现？

■您是否签署保密协议？您如何安全地存储客户数据以防止未经授权的泄露？原始数据和报告的保留期是多长？谁有权从提供商和客户那里查看结果？数据如何销毁，怎么验证已经销毁？

■提供两个或三个范围和目标相似的客户的业务参考。

■这项工作的估计费用是多少？

最后部分是将RFP连同组织的标准采购文件一起发送给潜在提供商，数量不要太多，但足以让RFP响应分析不会遇到太多困难。

购买渗透测试服务的企业客户通常会选择三到五个供应商作为其入围名单。如果测试的主要提供商不能在规定的时间范围内进行测试或获得不同的观点，根据测试类型而定，他们可能会采用其他提供商的服务。以上就是青藤云安全小编为你整理的渗透测试提供商选型指南的需求建议书的核心部分，后续，我们还将会发布更多渗透测试相关内容。