最近看到群里有人問等保單位是否必須做風(fēng)險(xiǎn)評(píng)估?做風(fēng)險(xiǎn)評(píng)估是不是要有資質(zhì)，甚至很多人都不知道風(fēng)險(xiǎn)評(píng)估是干什么的。

　　首先，等保并不要求風(fēng)險(xiǎn)評(píng)估，在《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》中，風(fēng)險(xiǎn)評(píng)估只出現(xiàn)三次。

　　第十四條【鼓勵(lì)創(chuàng)新】國家鼓勵(lì)利用新技術(shù)、新應(yīng)用開展網(wǎng)絡(luò)安全等級(jí)保護(hù)管理和技術(shù)防護(hù)，采取主動(dòng)防御、可信計(jì)算、人工智能等技術(shù)，創(chuàng)新網(wǎng)絡(luò)安全技術(shù)保護(hù)措施，提升網(wǎng)絡(luò)安全防范能力和水平。

　　國家對(duì)網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的推廣，組織開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，防范網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的安全風(fēng)險(xiǎn)。

　　第四十條【測評(píng)審查和風(fēng)險(xiǎn)評(píng)估】涉密網(wǎng)絡(luò)應(yīng)當(dāng)由國家保密行政管理部門設(shè)立或者授權(quán)的保密測評(píng)機(jī)構(gòu)進(jìn)行檢測評(píng)估，并經(jīng)設(shè)區(qū)的市級(jí)以上保密行政管理部門審查合格，方可投入使用。

　　涉密網(wǎng)絡(luò)運(yùn)營者在涉密網(wǎng)絡(luò)投入使用后，應(yīng)定期開展安全保密檢查和風(fēng)險(xiǎn)自評(píng)估，并接受保密行政管理部門組織的安全保密風(fēng)險(xiǎn)評(píng)估。絕密級(jí)網(wǎng)絡(luò)每年至少進(jìn)行一次，機(jī)密級(jí)和秘密級(jí)網(wǎng)絡(luò)每兩年至少進(jìn)行一次。公安機(jī)關(guān)、國家安全機(jī)關(guān)涉密網(wǎng)絡(luò)投入使用的管理，依照國家保密行政管理部門會(huì)同公安機(jī)關(guān)、國家安全機(jī)關(guān)制定的有關(guān)規(guī)定執(zhí)行。

　　其次，在《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》里只對(duì)云服務(wù)商的三級(jí)和四級(jí)系統(tǒng)的云平臺(tái)要求中各提到了兩次。

　　要求應(yīng)將供應(yīng)商的重要變更及時(shí)傳達(dá)到云服務(wù)客戶,并評(píng)估變更帶來的安全風(fēng)險(xiǎn),采取 措施對(duì)風(fēng)險(xiǎn)進(jìn)行控制。

　　b) 測評(píng)對(duì)象:供應(yīng)商重要變更記錄、安全風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)預(yù)案。

　　c) 測評(píng)實(shí)施:應(yīng)核查供應(yīng)商的重要變更是否及時(shí)傳達(dá)到云服務(wù)客戶,是否對(duì)每次供應(yīng)商的重要變 更都進(jìn)行風(fēng)險(xiǎn)評(píng)估并采取控制措施

　　再次，在《信息系統(tǒng)安全等級(jí)保護(hù)備案表》的表二中的08項(xiàng)系統(tǒng)采用服務(wù)情況中要求填寫風(fēng)險(xiǎn)評(píng)估情況，是選用本行業(yè)(單位)、國內(nèi)其他服務(wù)商、還是國外服務(wù)商，僅僅是詢問是否有無而已。

　　所以，等保體系里除云服務(wù)商外并沒有對(duì)風(fēng)險(xiǎn)評(píng)估提出明確要求，而涉密網(wǎng)絡(luò)并不屬于等保范疇。對(duì)于除云服務(wù)商外風(fēng)險(xiǎn)評(píng)估在等保中不是必須做的，做風(fēng)險(xiǎn)評(píng)估在等保中也沒有要求必須具備什么資質(zhì)。一般金融、海關(guān)、銀行、保險(xiǎn)單位要求的多一些，風(fēng)險(xiǎn)評(píng)估有各個(gè)行業(yè)的標(biāo)準(zhǔn)，也有地方的標(biāo)準(zhǔn)，風(fēng)險(xiǎn)評(píng)估的資質(zhì)證書至少有兩種。從網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)上昨天公布的數(shù)據(jù)看，等級(jí)測評(píng)機(jī)構(gòu)全國一共205家。中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心公布的有風(fēng)險(xiǎn)評(píng)估資質(zhì)的公司有868家，分一、二、三級(jí)。當(dāng)然還有其他機(jī)構(gòu)頒布的風(fēng)險(xiǎn)評(píng)估資質(zhì)。

　　那么什么是風(fēng)險(xiǎn)評(píng)估呢?

　　依據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007，新版還沒有正式出臺(tái)，2007版還在使用)的定義，信息安全風(fēng)險(xiǎn)評(píng)估是“對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程?！毙畔踩L(fēng)險(xiǎn)評(píng)估的主要任務(wù)是評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響，進(jìn)而為應(yīng)如何進(jìn)一步強(qiáng)化安全控制措施提供依據(jù)及建議。這里有4個(gè)概念：資產(chǎn)、威脅、脆弱性和安全控制措施。1)資產(chǎn)：信息安全風(fēng)險(xiǎn)評(píng)估中所說的資產(chǎn)是任何對(duì)組織(如公司、政府機(jī)構(gòu)等各類組織機(jī)構(gòu))有價(jià)值的信息資源，可以包括電子文檔、紙質(zhì)文檔材料、軟件、硬件、人員、服務(wù)性資產(chǎn)等。里面還有“人員”?對(duì)，人員也是信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)象。2)威脅：信息安全風(fēng)險(xiǎn)評(píng)估中的威脅概念指可能對(duì)資產(chǎn)或組織造成損害的潛在原因及活動(dòng)，包括黑客入侵和攻擊、病毒木馬等各類惡意程序、軟硬件故障、人為誤操作、自然災(zāi)害(如地震、火災(zāi)、爆炸等)、盜竊、網(wǎng)絡(luò)監(jiān)聽、供電故障、未授權(quán)訪問等

　　3)脆弱性：可能被威脅利用對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié)?？梢园ㄏ到y(tǒng)漏洞、軟件Bug、專業(yè)人員缺乏、不良操作習(xí)慣、不合理的安全配置、不安全的物理環(huán)境、缺少審計(jì)、缺乏安全意識(shí)、軟件后門等。4)安全控制措施：是指組織所采取的降低安全風(fēng)險(xiǎn)的慣例，程序或機(jī)制。包括現(xiàn)有的安全控制措施、計(jì)劃采取的安全控制措施。風(fēng)險(xiǎn)評(píng)估是如何開展的。下面這張圖表述了風(fēng)險(xiǎn)評(píng)估的基本流程。

　　其中最關(guān)鍵的4個(gè)過程就是資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和風(fēng)險(xiǎn)分析：1)資產(chǎn)識(shí)別：首先是依據(jù)業(yè)務(wù)流程列出信息資產(chǎn)清單，包括：數(shù)據(jù)與文檔、書面文件、軟件、硬件、人員、服務(wù)等;然后對(duì)資產(chǎn)重要性進(jìn)行量化，量化時(shí)應(yīng)考慮的角度包括：資產(chǎn)損失可能對(duì)業(yè)務(wù)活動(dòng)造成的影響、將信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)、在公眾形象和名譽(yù)上的損失、資產(chǎn)采購價(jià)值、對(duì)保密性/完整性/可用性的影響等多個(gè)方面。具體量化的的數(shù)值可以是1~5，也可以是1~100等，具體依賴于后面要講到的風(fēng)險(xiǎn)計(jì)算方法。2)威脅識(shí)別：是指對(duì)組織需要保護(hù)的每一項(xiàng)信息資產(chǎn)面臨的威脅進(jìn)行分析，應(yīng)具體考慮每一項(xiàng)特定資產(chǎn)所處的環(huán)境條件以及以前遭受威脅損害的情況，應(yīng)該指出的是，一項(xiàng)資產(chǎn)可能會(huì)有多個(gè)威脅。3)脆弱性識(shí)別：是指全面評(píng)估信息資產(chǎn)由于由于缺乏充分的安全控制，自身存在的可能被威脅所利用的薄弱點(diǎn)。脆弱性識(shí)別將針對(duì)每一項(xiàng)信息資產(chǎn)，找出每一種威脅所能利用的薄弱點(diǎn)(脆弱性)、分析每一個(gè)脆弱性被特定威脅所利用的可能性、并分析每一個(gè)脆弱性一旦被特定威脅利用，對(duì)該資產(chǎn)造成的損失嚴(yán)重程度。4)風(fēng)險(xiǎn)計(jì)算：即采用一種選定的計(jì)算方法對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行量化計(jì)算。風(fēng)險(xiǎn)值的量化計(jì)算方法可以由評(píng)估者自主選定，國家標(biāo)準(zhǔn)中并沒有規(guī)定必須采用哪種方法，常見的風(fēng)險(xiǎn)計(jì)算方法包括矩陣法和相乘法，簡單的講矩陣法就是根據(jù)資產(chǎn)的多個(gè)維度的屬性在一個(gè)2維或多維矩陣中選擇對(duì)應(yīng)的風(fēng)險(xiǎn)值，而相乘法就是基于一個(gè)特定的函數(shù)，以資產(chǎn)的不同屬性為變量計(jì)算風(fēng)險(xiǎn)值，“相乘”是函數(shù)關(guān)系的一般化表述，最簡單的函數(shù)即多個(gè)變量的直接代數(shù)相乘。最后，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果得到各個(gè)資產(chǎn)的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的高低和種類以及提出合理的安全控制措施，具體包括接受現(xiàn)有風(fēng)險(xiǎn)、基于各種方法轉(zhuǎn)移風(fēng)險(xiǎn)(如商業(yè)保險(xiǎn)等)、采取措施降低或消除風(fēng)險(xiǎn)(如安全漏洞加固等)。但應(yīng)該指出的是：風(fēng)險(xiǎn)控制措施的選擇是一種費(fèi)用與風(fēng)險(xiǎn)的平衡，即風(fēng)險(xiǎn)要降低的越低，需要投入越高的費(fèi)用(或資源)，信息安全風(fēng)險(xiǎn)不可能完全消除，要做的是投入可接受的資源將風(fēng)險(xiǎn)降低到合理的程度。

　　等保測評(píng)：等級(jí)保護(hù)測評(píng)是指測評(píng)機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)未涉及國家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活動(dòng)。等級(jí)保護(hù)測評(píng)是標(biāo)準(zhǔn)符合性評(píng)判活動(dòng)，即依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，按照特定方法對(duì)網(wǎng)絡(luò)的安全防護(hù)能力進(jìn)行科學(xué)公正的綜合評(píng)判過程。

　　等保測評(píng)要求對(duì)安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全建設(shè)管理、安全運(yùn)維管理等方面的安全風(fēng)險(xiǎn)進(jìn)行判定。

　　等保有一套完整的閉環(huán)體系，等保測評(píng)機(jī)構(gòu)需要取得測評(píng)資質(zhì)，才能開展測評(píng)業(yè)務(wù)。近些年來對(duì)等保測評(píng)機(jī)構(gòu)要求也逐漸提高，從2018年開始在測評(píng)服務(wù)中要求加入了部分滲透性測試，而且每年都有淘汰的、限期整改的測評(píng)機(jī)構(gòu)，以及除名的測評(píng)師。

　　等保測評(píng)已經(jīng)上升到法律層面，依照《中華人民共和國網(wǎng)絡(luò)安全法》，三級(jí)系統(tǒng)每年不開展一次測評(píng)就已經(jīng)涉嫌違法，風(fēng)險(xiǎn)評(píng)估則沒有。等級(jí)測評(píng)和風(fēng)險(xiǎn)評(píng)估二者共性就是查找網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是風(fēng)險(xiǎn)評(píng)估并不能代替等保測評(píng)。

　　聲明：本文來自溫度網(wǎng)絡(luò)安全微信公眾號(hào)，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表本站立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系刪除。