最近看到群里有人問等保單位是否必須做風險評估?做風險評估是不是要有資質(zhì)，甚至很多人都不知道風險評估是干什么的。

　　首先，等保并不要求風險評估，在《網(wǎng)絡安全等級保護條例》中，風險評估只出現(xiàn)三次。

　　第十四條【鼓勵創(chuàng)新】國家鼓勵利用新技術、新應用開展網(wǎng)絡安全等級保護管理和技術防護，采取主動防御、可信計算、人工智能等技術，創(chuàng)新網(wǎng)絡安全技術保護措施，提升網(wǎng)絡安全防范能力和水平。

　　國家對網(wǎng)絡新技術、新應用的推廣，組織開展網(wǎng)絡安全風險評估，防范網(wǎng)絡新技術、新應用的安全風險。

　　第四十條【測評審查和風險評估】涉密網(wǎng)絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估，并經(jīng)設區(qū)的市級以上保密行政管理部門審查合格，方可投入使用。

　　涉密網(wǎng)絡運營者在涉密網(wǎng)絡投入使用后，應定期開展安全保密檢查和風險自評估，并接受保密行政管理部門組織的安全保密風險評估。絕密級網(wǎng)絡每年至少進行一次，機密級和秘密級網(wǎng)絡每兩年至少進行一次。公安機關、國家安全機關涉密網(wǎng)絡投入使用的管理，依照國家保密行政管理部門會同公安機關、國家安全機關制定的有關規(guī)定執(zhí)行。

　　其次，在《信息安全技術 網(wǎng)絡安全等級保護測評要求》里只對云服務商的三級和四級系統(tǒng)的云平臺要求中各提到了兩次。

　　要求應將供應商的重要變更及時傳達到云服務客戶,并評估變更帶來的安全風險,采取 措施對風險進行控制。

　　b) 測評對象:供應商重要變更記錄、安全風險評估報告和風險預案。

　　c) 測評實施:應核查供應商的重要變更是否及時傳達到云服務客戶,是否對每次供應商的重要變 更都進行風險評估并采取控制措施

　　再次，在《信息系統(tǒng)安全等級保護備案表》的表二中的08項系統(tǒng)采用服務情況中要求填寫風險評估情況，是選用本行業(yè)(單位)、國內(nèi)其他服務商、還是國外服務商，僅僅是詢問是否有無而已。

　　所以，等保體系里除云服務商外并沒有對風險評估提出明確要求，而涉密網(wǎng)絡并不屬于等保范疇。對于除云服務商外風險評估在等保中不是必須做的，做風險評估在等保中也沒有要求必須具備什么資質(zhì)。一般金融、海關、銀行、保險單位要求的多一些，風險評估有各個行業(yè)的標準，也有地方的標準，風險評估的資質(zhì)證書至少有兩種。從網(wǎng)絡安全等級保護網(wǎng)上昨天公布的數(shù)據(jù)看，等級測評機構全國一共205家。中國網(wǎng)絡安全審查技術與認證中心公布的有風險評估資質(zhì)的公司有868家，分一、二、三級。當然還有其他機構頒布的風險評估資質(zhì)。

　　那么什么是風險評估呢?

　　依據(jù)國家標準《信息安全技術 信息安全風險評估規(guī)范》(GB/T 20984-2007，新版還沒有正式出臺，2007版還在使用)的定義，信息安全風險評估是“對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。”信息安全風險評估的主要任務是評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，進而為應如何進一步強化安全控制措施提供依據(jù)及建議。這里有4個概念：資產(chǎn)、威脅、脆弱性和安全控制措施。1)資產(chǎn)：信息安全風險評估中所說的資產(chǎn)是任何對組織(如公司、政府機構等各類組織機構)有價值的信息資源，可以包括電子文檔、紙質(zhì)文檔材料、軟件、硬件、人員、服務性資產(chǎn)等。里面還有“人員”?對，人員也是信息安全風險評估的對象。2)威脅：信息安全風險評估中的威脅概念指可能對資產(chǎn)或組織造成損害的潛在原因及活動，包括黑客入侵和攻擊、病毒木馬等各類惡意程序、軟硬件故障、人為誤操作、自然災害(如地震、火災、爆炸等)、盜竊、網(wǎng)絡監(jiān)聽、供電故障、未授權訪問等，如下圖所示。

　　3)脆弱性：可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)?？梢园ㄏ到y(tǒng)漏洞、軟件Bug、專業(yè)人員缺乏、不良操作習慣、不合理的安全配置、不安全的物理環(huán)境、缺少審計、缺乏安全意識、軟件后門等。4)安全控制措施：是指組織所采取的降低安全風險的慣例，程序或機制。包括現(xiàn)有的安全控制措施、計劃采取的安全控制措施。風險評估是如何開展的。下面這張圖表述了風險評估的基本流程。

　　其中最關鍵的4個過程就是資產(chǎn)識別、威脅識別、脆弱性識別和風險分析：1)資產(chǎn)識別：首先是依據(jù)業(yè)務流程列出信息資產(chǎn)清單，包括：數(shù)據(jù)與文檔、書面文件、軟件、硬件、人員、服務等;然后對資產(chǎn)重要性進行量化，量化時應考慮的角度包括：資產(chǎn)損失可能對業(yè)務活動造成的影響、將信息資產(chǎn)恢復到正常狀態(tài)所付出的代價、在公眾形象和名譽上的損失、資產(chǎn)采購價值、對保密性/完整性/可用性的影響等多個方面。具體量化的的數(shù)值可以是1~5，也可以是1~100等，具體依賴于后面要講到的風險計算方法。2)威脅識別：是指對組織需要保護的每一項信息資產(chǎn)面臨的威脅進行分析，應具體考慮每一項特定資產(chǎn)所處的環(huán)境條件以及以前遭受威脅損害的情況，應該指出的是，一項資產(chǎn)可能會有多個威脅。3)脆弱性識別：是指全面評估信息資產(chǎn)由于由于缺乏充分的安全控制，自身存在的可能被威脅所利用的薄弱點。脆弱性識別將針對每一項信息資產(chǎn)，找出每一種威脅所能利用的薄弱點(脆弱性)、分析每一個脆弱性被特定威脅所利用的可能性、并分析每一個脆弱性一旦被特定威脅利用，對該資產(chǎn)造成的損失嚴重程度。4)風險計算：即采用一種選定的計算方法對信息資產(chǎn)的風險進行量化計算。風險值的量化計算方法可以由評估者自主選定，國家標準中并沒有規(guī)定必須采用哪種方法，常見的風險計算方法包括矩陣法和相乘法，簡單的講矩陣法就是根據(jù)資產(chǎn)的多個維度的屬性在一個2維或多維矩陣中選擇對應的風險值，而相乘法就是基于一個特定的函數(shù)，以資產(chǎn)的不同屬性為變量計算風險值，“相乘”是函數(shù)關系的一般化表述，最簡單的函數(shù)即多個變量的直接代數(shù)相乘。最后，依據(jù)風險分析的結果得到各個資產(chǎn)的風險值，根據(jù)風險值的高低和種類以及提出合理的安全控制措施，具體包括接受現(xiàn)有風險、基于各種方法轉移風險(如商業(yè)保險等)、采取措施降低或消除風險(如安全漏洞加固等)。但應該指出的是：風險控制措施的選擇是一種費用與風險的平衡，即風險要降低的越低，需要投入越高的費用(或資源)，信息安全風險不可能完全消除，要做的是投入可接受的資源將風險降低到合理的程度。

　　等保測評：等級保護測評是指測評機構依據(jù)國家網(wǎng)絡安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對未涉及國家秘密的信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。等級保護測評是標準符合性評判活動，即依據(jù)網(wǎng)絡安全等級保護的國家標準或行業(yè)標準，按照特定方法對網(wǎng)絡的安全防護能力進行科學公正的綜合評判過程。

　　等保測評要求對安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全建設管理、安全運維管理等方面的安全風險進行判定。

　　等保有一套完整的閉環(huán)體系，等保測評機構需要取得測評資質(zhì)，才能開展測評業(yè)務。近些年來對等保測評機構要求也逐漸提高，從2018年開始在測評服務中要求加入了部分滲透性測試，而且每年都有淘汰的、限期整改的測評機構，以及除名的測評師。

　　等保測評已經(jīng)上升到法律層面，依照《中華人民共和國網(wǎng)絡安全法》，三級系統(tǒng)每年不開展一次測評就已經(jīng)涉嫌違法，風險評估則沒有。等級測評和風險評估二者共性就是查找網(wǎng)絡安全風險。但是風險評估并不能代替等保測評。

　　聲明：本文來自溫度網(wǎng)絡安全微信公眾號，版權歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表本站立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系刪除。