風險評估和等保測評的差異化分析-創(chuàng)新互聯(lián)

隨著2017年《網絡安全法》的發(fā)布、施行，越來越多的企業(yè)領導開始關注自身企業(yè)的網絡安全建設情況，而《信息安全技術 網絡安全等級保護基本要求》V2.0的臨近發(fā)布，更加明確了企業(yè)網絡安全建設的方向。小威在近期與客戶進行技術交流時，客戶經常提及“風險評估”和“等保測評”，而有些客戶往往將兩者進行混淆。今天小威給大家總結下風險評估與等保測評的異同之處。
一、 風險評估和等保測評概述
風險評估：
2007年國家標準化管理委員會發(fā)布GB/T 20984-2007 《信息安全技術 信息安全風險評估規(guī)范》標準，該標準是作為信息安全風險評估的主要依據(jù)，在2011年國家標準化管理委員會在原標準的基礎上，又發(fā)布了第二版的用戶信息技術信息安全風險評估的標準，即ISO/IEC 27005:2011。GB/T 20984-2007和ISO/IEC 27005:2011推薦的信息安全風險評估的方法都可作為信息安全風險評估的方法。
風險評估包括風險識別、風險分析、風險評價這三個過程。其主要的作業(yè)活動包括①建立相關準則，②確定風險評估的范圍和邊界，③風險分析，④風險評價，⑤風險處理。具體詳見下圖：

成都創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都網站設計、做網站、企業(yè)官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯(lián)網時代的孝義網站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

圖 1 風險評估作業(yè)活動
等保測評
GB/T 28449-2012《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》是等級保護測評主要參考的依據(jù)，該標準是從等級保護測評的過程及其各項任務的角度描述測評的過程，包括測評準備、方案編制、現(xiàn)場評測、報告編制，具體內容包括確定測評范圍、識別測評資產對象、識別不符合項、風險分析及評價、提出整改意見。

圖 2 等保測評作業(yè)活動
從上述描述中，可以看出風險評估和等保測評在某些方面是存在共同點，但也有很多差異化。
二、 風險評估和等保測評差異分析
兩者實施的方法和準則不同
風險評估在實施前要建立風險評估方法、風險評價準則、影響評價準則和風險接受準則，而等保測評不需要建立測評方法和準則，因為GB/T 28449-2012中已經進行了詳細的規(guī)范，不需要再定義。并且等保測評中的風險分析及評價結果僅作為測評結論的輸入項，與最終的整改意見無關。
兩者的范圍和邊界定義不同
兩者在確定實施方位和邊界的方法、依據(jù)都不一樣，首先風險評估的評估范圍和邊界方面考慮的因素比較多，相對復雜。而等保測評中在定義邊界部分相對簡單，只是根據(jù)系統(tǒng)的情況判斷被測評系統(tǒng)的網絡邊界即可。

圖 3 范圍和邊界定義
兩者面對的對象不同
在GB/T 22239-2008中資產對象包括物理環(huán)境、主機環(huán)境、網絡環(huán)境、應用環(huán)境、數(shù)據(jù)安全、安全管理這六個部分，在即將發(fā)布的等級保護V2.0的基本要求中包括物理環(huán)境、通信網絡、計算環(huán)境、管理中心、安全管理這五個部分。在GB/T 28449-2012的“7.2.1測評對象確認”章節(jié)詳細描述了等保測評的對象包括機房、業(yè)務軟件、主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網絡設備、安全設備、管理類文檔等。而風險評估中資產的對象包括信息資產、硬件資產、軟件資產、服務資產、人員資產等。由此可見，兩者在對象上有明顯的差異。

圖 4風險評估和等保測評的資產對象
從上圖可以看出，風險評估中的資產明顯比等保測評的范圍要廣。在一些具體的項目上，風險評估項目中識別的資產高達500多。
兩者風險分析和評價方法不同
風險分析和評價方法很多，包括定性的，定量的。在等保測評的風險分析及評價中主要是依據(jù)《等級測評報告模板（試行）》（公信安【2009】1487號）文的要求進行對測評中發(fā)現(xiàn)的不符合項進行風險分析及評價。主體是以定性的方式進行評價，并以列表形式給出等級測評發(fā)現(xiàn)安全問題以及風險分析和評價情況。具體如下圖：

圖 5 等保測評安全問題及風險分析評價（示例）
依據(jù)等級保護的相關規(guī)范和標準,采用風險分析的方法分析信息系統(tǒng)等級測評結果中存在的安全問題(等級測評結果中部分符合項或不符合項的匯總結果)可能對信息系統(tǒng)安全造成的影響。
分析過程包括
1)判斷安全問題被威脅利用的可能性,可能性的取值范圍為高、中和低;
2)判斷安全問題被威脅利用后,對信息系統(tǒng)安全(業(yè)務信息安全和系統(tǒng)服務安全)造成的影響程度,影響程度取值范圍為高、中和低。
3)綜合1)和2)的結果對信息系統(tǒng)面臨的安全風險進行賦值,風險值的取值范圍為高、中和低。
4)結合信息系統(tǒng)的安全保護等級對風險分析結果進行評價,即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險
風險評估則未明確要求是采用定性的方式，還是定量的方式，在GB/T 20984-2007中也介紹了很多風險評價的方法，最終是建議組織或風險評估團隊根據(jù)實際情況使用定性或定量的方式，或兩者結合的方式。
兩者對結論要求不同
在風險評估中無論是GB/T 20984-2007還是ISO/IEC 27005:2011都對評估結論沒有要求，風險評估更側重于結果。而等保測評對于測評結論是有明確要求的，通過使用“符合”、“基本符合”、“不符合”來表述對測評結果是否符合或滿足等級保護基本要求。
兩者對結論的處理方式不同
風險評估中風險處理有四種選擇,即風險減緩、風險規(guī)避、風險保持、風險轉移。當企業(yè)對任何風險采取四種選擇中的任一選擇后,必須在風險處理計劃中實施。而等保測評則不同，等保測評需要根據(jù)測評的結果提出整改建議，并且是針對測評中不符合項提出的整改實施方案建議,采納與否由組織自己決定,也不需要制定整改計劃。但企業(yè)必須整改,使得信息系統(tǒng)無不符合項,全面滿足等級保護基本要求，否則根據(jù)《網絡安全法》要求，會對企業(yè)不整改的行為進行相應處罰。
報告編寫
現(xiàn)場實施完成,收集完成所有的資料后,就要編寫相關的報告,等保測評的報告有官方發(fā)布的模板，而風險評估的報告無模板或固定內容要求。
三、 實施建議
從上述描述中分析，可以看出二者本質上區(qū)別很大，所以實施中可相互借鑒，但不建議整合實施。風險評估和等保測評是兩類不同的活動，需要分開完成。建議先實施信息系統(tǒng)等保測評,然后實施風險評估,進行信息系統(tǒng)的安全風險評估時,可以借用實施等保測評中發(fā)現(xiàn)的安全問題。
威努特作為率先提出工業(yè)網絡安全“白環(huán)境”理念的安全廠商，迄今已服務電力、石油石化、軌道交通、智能制造、燃氣、水務、軍工、煙草、煤炭、化工、高校及科研機構等領域的五百余家客戶。在工業(yè)控制系統(tǒng)的安全建設和安全風險評估方面有著豐富的經驗，2018年更是獲得了ISCCC信息安全服務風險評估二級資質，這也是對威努特在風險評估實施方面取得成績的一種肯定。2019年，威努特將以2018年取得的成績作為起點，憑借自身專業(yè)的技術服務團隊為工業(yè)控制系統(tǒng)的網絡安全建設添磚加瓦。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前題目：風險評估和等保測評的差異化分析-創(chuàng)新互聯(lián)
文章出自：http://bm7419.com/article18/ddhcdp.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供標簽優(yōu)化、移動網站建設、營銷型網站建設、網站建設、商城網站、手機網站建設

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)