風(fēng)險評估和等保測評的差異化分析-創(chuàng)新互聯(lián)

隨著2017年《網(wǎng)絡(luò)安全法》的發(fā)布、施行，越來越多的企業(yè)領(lǐng)導(dǎo)開始關(guān)注自身企業(yè)的網(wǎng)絡(luò)安全建設(shè)情況，而《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》V2.0的臨近發(fā)布，更加明確了企業(yè)網(wǎng)絡(luò)安全建設(shè)的方向。小威在近期與客戶進行技術(shù)交流時，客戶經(jīng)常提及“風(fēng)險評估”和“等保測評”，而有些客戶往往將兩者進行混淆。今天小威給大家總結(jié)下風(fēng)險評估與等保測評的異同之處。
一、 風(fēng)險評估和等保測評概述
風(fēng)險評估：
2007年國家標(biāo)準(zhǔn)化管理委員會發(fā)布GB/T 20984-2007 《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是作為信息安全風(fēng)險評估的主要依據(jù)，在2011年國家標(biāo)準(zhǔn)化管理委員會在原標(biāo)準(zhǔn)的基礎(chǔ)上，又發(fā)布了第二版的用戶信息技術(shù)信息安全風(fēng)險評估的標(biāo)準(zhǔn)，即ISO/IEC 27005:2011。GB/T 20984-2007和ISO/IEC 27005:2011推薦的信息安全風(fēng)險評估的方法都可作為信息安全風(fēng)險評估的方法。
風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價這三個過程。其主要的作業(yè)活動包括①建立相關(guān)準(zhǔn)則，②確定風(fēng)險評估的范圍和邊界，③風(fēng)險分析，④風(fēng)險評價，⑤風(fēng)險處理。具體詳見下圖：

成都創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的孝義網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

圖 1 風(fēng)險評估作業(yè)活動
等保測評
GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》是等級保護測評主要參考的依據(jù)，該標(biāo)準(zhǔn)是從等級保護測評的過程及其各項任務(wù)的角度描述測評的過程，包括測評準(zhǔn)備、方案編制、現(xiàn)場評測、報告編制，具體內(nèi)容包括確定測評范圍、識別測評資產(chǎn)對象、識別不符合項、風(fēng)險分析及評價、提出整改意見。

圖 2 等保測評作業(yè)活動
從上述描述中，可以看出風(fēng)險評估和等保測評在某些方面是存在共同點，但也有很多差異化。
二、 風(fēng)險評估和等保測評差異分析
兩者實施的方法和準(zhǔn)則不同
風(fēng)險評估在實施前要建立風(fēng)險評估方法、風(fēng)險評價準(zhǔn)則、影響評價準(zhǔn)則和風(fēng)險接受準(zhǔn)則，而等保測評不需要建立測評方法和準(zhǔn)則，因為GB/T 28449-2012中已經(jīng)進行了詳細的規(guī)范，不需要再定義。并且等保測評中的風(fēng)險分析及評價結(jié)果僅作為測評結(jié)論的輸入項，與最終的整改意見無關(guān)。
兩者的范圍和邊界定義不同
兩者在確定實施方位和邊界的方法、依據(jù)都不一樣，首先風(fēng)險評估的評估范圍和邊界方面考慮的因素比較多，相對復(fù)雜。而等保測評中在定義邊界部分相對簡單，只是根據(jù)系統(tǒng)的情況判斷被測評系統(tǒng)的網(wǎng)絡(luò)邊界即可。

圖 3 范圍和邊界定義
兩者面對的對象不同
在GB/T 22239-2008中資產(chǎn)對象包括物理環(huán)境、主機環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、數(shù)據(jù)安全、安全管理這六個部分，在即將發(fā)布的等級保護V2.0的基本要求中包括物理環(huán)境、通信網(wǎng)絡(luò)、計算環(huán)境、管理中心、安全管理這五個部分。在GB/T 28449-2012的“7.2.1測評對象確認”章節(jié)詳細描述了等保測評的對象包括機房、業(yè)務(wù)軟件、主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、管理類文檔等。而風(fēng)險評估中資產(chǎn)的對象包括信息資產(chǎn)、硬件資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)、人員資產(chǎn)等。由此可見，兩者在對象上有明顯的差異。

圖 4風(fēng)險評估和等保測評的資產(chǎn)對象
從上圖可以看出，風(fēng)險評估中的資產(chǎn)明顯比等保測評的范圍要廣。在一些具體的項目上，風(fēng)險評估項目中識別的資產(chǎn)高達500多。
兩者風(fēng)險分析和評價方法不同
風(fēng)險分析和評價方法很多，包括定性的，定量的。在等保測評的風(fēng)險分析及評價中主要是依據(jù)《等級測評報告模板（試行）》（公信安【2009】1487號）文的要求進行對測評中發(fā)現(xiàn)的不符合項進行風(fēng)險分析及評價。主體是以定性的方式進行評價，并以列表形式給出等級測評發(fā)現(xiàn)安全問題以及風(fēng)險分析和評價情況。具體如下圖：

圖 5 等保測評安全問題及風(fēng)險分析評價（示例）
依據(jù)等級保護的相關(guān)規(guī)范和標(biāo)準(zhǔn),采用風(fēng)險分析的方法分析信息系統(tǒng)等級測評結(jié)果中存在的安全問題(等級測評結(jié)果中部分符合項或不符合項的匯總結(jié)果)可能對信息系統(tǒng)安全造成的影響。
分析過程包括
1)判斷安全問題被威脅利用的可能性,可能性的取值范圍為高、中和低;
2)判斷安全問題被威脅利用后,對信息系統(tǒng)安全(業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全)造成的影響程度,影響程度取值范圍為高、中和低。
3)綜合1)和2)的結(jié)果對信息系統(tǒng)面臨的安全風(fēng)險進行賦值,風(fēng)險值的取值范圍為高、中和低。
4)結(jié)合信息系統(tǒng)的安全保護等級對風(fēng)險分析結(jié)果進行評價,即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險
風(fēng)險評估則未明確要求是采用定性的方式，還是定量的方式，在GB/T 20984-2007中也介紹了很多風(fēng)險評價的方法，最終是建議組織或風(fēng)險評估團隊根據(jù)實際情況使用定性或定量的方式，或兩者結(jié)合的方式。
兩者對結(jié)論要求不同
在風(fēng)險評估中無論是GB/T 20984-2007還是ISO/IEC 27005:2011都對評估結(jié)論沒有要求，風(fēng)險評估更側(cè)重于結(jié)果。而等保測評對于測評結(jié)論是有明確要求的，通過使用“符合”、“基本符合”、“不符合”來表述對測評結(jié)果是否符合或滿足等級保護基本要求。
兩者對結(jié)論的處理方式不同
風(fēng)險評估中風(fēng)險處理有四種選擇,即風(fēng)險減緩、風(fēng)險規(guī)避、風(fēng)險保持、風(fēng)險轉(zhuǎn)移。當(dāng)企業(yè)對任何風(fēng)險采取四種選擇中的任一選擇后,必須在風(fēng)險處理計劃中實施。而等保測評則不同，等保測評需要根據(jù)測評的結(jié)果提出整改建議，并且是針對測評中不符合項提出的整改實施方案建議,采納與否由組織自己決定,也不需要制定整改計劃。但企業(yè)必須整改,使得信息系統(tǒng)無不符合項,全面滿足等級保護基本要求，否則根據(jù)《網(wǎng)絡(luò)安全法》要求，會對企業(yè)不整改的行為進行相應(yīng)處罰。
報告編寫
現(xiàn)場實施完成,收集完成所有的資料后,就要編寫相關(guān)的報告,等保測評的報告有官方發(fā)布的模板，而風(fēng)險評估的報告無模板或固定內(nèi)容要求。
三、 實施建議
從上述描述中分析，可以看出二者本質(zhì)上區(qū)別很大，所以實施中可相互借鑒，但不建議整合實施。風(fēng)險評估和等保測評是兩類不同的活動，需要分開完成。建議先實施信息系統(tǒng)等保測評,然后實施風(fēng)險評估,進行信息系統(tǒng)的安全風(fēng)險評估時,可以借用實施等保測評中發(fā)現(xiàn)的安全問題。
威努特作為率先提出工業(yè)網(wǎng)絡(luò)安全“白環(huán)境”理念的安全廠商，迄今已服務(wù)電力、石油石化、軌道交通、智能制造、燃氣、水務(wù)、軍工、煙草、煤炭、化工、高校及科研機構(gòu)等領(lǐng)域的五百余家客戶。在工業(yè)控制系統(tǒng)的安全建設(shè)和安全風(fēng)險評估方面有著豐富的經(jīng)驗，2018年更是獲得了ISCCC信息安全服務(wù)風(fēng)險評估二級資質(zhì)，這也是對威努特在風(fēng)險評估實施方面取得成績的一種肯定。2019年，威努特將以2018年取得的成績作為起點，憑借自身專業(yè)的技術(shù)服務(wù)團隊為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)添磚加瓦。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前題目：風(fēng)險評估和等保測評的差異化分析-創(chuàng)新互聯(lián)
文章出自：http://muchs.cn/article18/ddhcdp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、移動網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、商城網(wǎng)站、手機網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)