隨著2017年《網(wǎng)絡(luò)安全法》的發(fā)布、施行，越來越多的企業(yè)領(lǐng)導(dǎo)開始關(guān)注自身企業(yè)的網(wǎng)絡(luò)安全建設(shè)情況，而《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》V2.0的臨近發(fā)布，更加明確了企業(yè)網(wǎng)絡(luò)安全建設(shè)的方向。小威在近期與客戶進(jìn)行技術(shù)交流時(shí)，客戶經(jīng)常提及“風(fēng)險(xiǎn)評(píng)估”和“等保測(cè)評(píng)”，而有些客戶往往將兩者進(jìn)行混淆。今天小威給大家總結(jié)下風(fēng)險(xiǎn)評(píng)估與等保測(cè)評(píng)的異同之處。
一、 風(fēng)險(xiǎn)評(píng)估和等保測(cè)評(píng)概述
風(fēng)險(xiǎn)評(píng)估：
2007年國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布GB/T 20984-2007 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是作為信息安全風(fēng)險(xiǎn)評(píng)估的主要依據(jù)，在2011年國家標(biāo)準(zhǔn)化管理委員會(huì)在原標(biāo)準(zhǔn)的基礎(chǔ)上，又發(fā)布了第二版的用戶信息技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)，即ISO/IEC 27005:2011。GB/T 20984-2007和ISO/IEC 27005:2011推薦的信息安全風(fēng)險(xiǎn)評(píng)估的方法都可作為信息安全風(fēng)險(xiǎn)評(píng)估的方法。
風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)這三個(gè)過程。其主要的作業(yè)活動(dòng)包括①建立相關(guān)準(zhǔn)則，②確定風(fēng)險(xiǎn)評(píng)估的范圍和邊界，③風(fēng)險(xiǎn)分析，④風(fēng)險(xiǎn)評(píng)價(jià)，⑤風(fēng)險(xiǎn)處理。具體詳見下圖：

成都創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的孝義網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

圖 1 風(fēng)險(xiǎn)評(píng)估作業(yè)活動(dòng)
等保測(cè)評(píng)
GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》是等級(jí)保護(hù)測(cè)評(píng)主要參考的依據(jù)，該標(biāo)準(zhǔn)是從等級(jí)保護(hù)測(cè)評(píng)的過程及其各項(xiàng)任務(wù)的角度描述測(cè)評(píng)的過程，包括測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)評(píng)測(cè)、報(bào)告編制，具體內(nèi)容包括確定測(cè)評(píng)范圍、識(shí)別測(cè)評(píng)資產(chǎn)對(duì)象、識(shí)別不符合項(xiàng)、風(fēng)險(xiǎn)分析及評(píng)價(jià)、提出整改意見。

圖 2 等保測(cè)評(píng)作業(yè)活動(dòng)
從上述描述中，可以看出風(fēng)險(xiǎn)評(píng)估和等保測(cè)評(píng)在某些方面是存在共同點(diǎn)，但也有很多差異化。
二、 風(fēng)險(xiǎn)評(píng)估和等保測(cè)評(píng)差異分析
兩者實(shí)施的方法和準(zhǔn)則不同
風(fēng)險(xiǎn)評(píng)估在實(shí)施前要建立風(fēng)險(xiǎn)評(píng)估方法、風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則、影響評(píng)價(jià)準(zhǔn)則和風(fēng)險(xiǎn)接受準(zhǔn)則，而等保測(cè)評(píng)不需要建立測(cè)評(píng)方法和準(zhǔn)則，因?yàn)镚B/T 28449-2012中已經(jīng)進(jìn)行了詳細(xì)的規(guī)范，不需要再定義。并且等保測(cè)評(píng)中的風(fēng)險(xiǎn)分析及評(píng)價(jià)結(jié)果僅作為測(cè)評(píng)結(jié)論的輸入項(xiàng)，與最終的整改意見無關(guān)。
兩者的范圍和邊界定義不同
兩者在確定實(shí)施方位和邊界的方法、依據(jù)都不一樣，首先風(fēng)險(xiǎn)評(píng)估的評(píng)估范圍和邊界方面考慮的因素比較多，相對(duì)復(fù)雜。而等保測(cè)評(píng)中在定義邊界部分相對(duì)簡(jiǎn)單，只是根據(jù)系統(tǒng)的情況判斷被測(cè)評(píng)系統(tǒng)的網(wǎng)絡(luò)邊界即可。

圖 3 范圍和邊界定義
兩者面對(duì)的對(duì)象不同
在GB/T 22239-2008中資產(chǎn)對(duì)象包括物理環(huán)境、主機(jī)環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、數(shù)據(jù)安全、安全管理這六個(gè)部分，在即將發(fā)布的等級(jí)保護(hù)V2.0的基本要求中包括物理環(huán)境、通信網(wǎng)絡(luò)、計(jì)算環(huán)境、管理中心、安全管理這五個(gè)部分。在GB/T 28449-2012的“7.2.1測(cè)評(píng)對(duì)象確認(rèn)”章節(jié)詳細(xì)描述了等保測(cè)評(píng)的對(duì)象包括機(jī)房、業(yè)務(wù)軟件、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、管理類文檔等。而風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的對(duì)象包括信息資產(chǎn)、硬件資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)、人員資產(chǎn)等。由此可見，兩者在對(duì)象上有明顯的差異。

圖 4風(fēng)險(xiǎn)評(píng)估和等保測(cè)評(píng)的資產(chǎn)對(duì)象
從上圖可以看出，風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)明顯比等保測(cè)評(píng)的范圍要廣。在一些具體的項(xiàng)目上，風(fēng)險(xiǎn)評(píng)估項(xiàng)目中識(shí)別的資產(chǎn)高達(dá)500多。
兩者風(fēng)險(xiǎn)分析和評(píng)價(jià)方法不同
風(fēng)險(xiǎn)分析和評(píng)價(jià)方法很多，包括定性的，定量的。在等保測(cè)評(píng)的風(fēng)險(xiǎn)分析及評(píng)價(jià)中主要是依據(jù)《等級(jí)測(cè)評(píng)報(bào)告模板（試行）》（公信安【2009】1487號(hào)）文的要求進(jìn)行對(duì)測(cè)評(píng)中發(fā)現(xiàn)的不符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析及評(píng)價(jià)。主體是以定性的方式進(jìn)行評(píng)價(jià)，并以列表形式給出等級(jí)測(cè)評(píng)發(fā)現(xiàn)安全問題以及風(fēng)險(xiǎn)分析和評(píng)價(jià)情況。具體如下圖：

圖 5 等保測(cè)評(píng)安全問題及風(fēng)險(xiǎn)分析評(píng)價(jià)（示例）
依據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn),采用風(fēng)險(xiǎn)分析的方法分析信息系統(tǒng)等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題(等級(jí)測(cè)評(píng)結(jié)果中部分符合項(xiàng)或不符合項(xiàng)的匯總結(jié)果)可能對(duì)信息系統(tǒng)安全造成的影響。
分析過程包括
1)判斷安全問題被威脅利用的可能性,可能性的取值范圍為高、中和低;
2)判斷安全問題被威脅利用后,對(duì)信息系統(tǒng)安全(業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全)造成的影響程度,影響程度取值范圍為高、中和低。
3)綜合1)和2)的結(jié)果對(duì)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行賦值,風(fēng)險(xiǎn)值的取值范圍為高、中和低。
4)結(jié)合信息系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià),即對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)
風(fēng)險(xiǎn)評(píng)估則未明確要求是采用定性的方式，還是定量的方式，在GB/T 20984-2007中也介紹了很多風(fēng)險(xiǎn)評(píng)價(jià)的方法，最終是建議組織或風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)根據(jù)實(shí)際情況使用定性或定量的方式，或兩者結(jié)合的方式。
兩者對(duì)結(jié)論要求不同
在風(fēng)險(xiǎn)評(píng)估中無論是GB/T 20984-2007還是ISO/IEC 27005:2011都對(duì)評(píng)估結(jié)論沒有要求，風(fēng)險(xiǎn)評(píng)估更側(cè)重于結(jié)果。而等保測(cè)評(píng)對(duì)于測(cè)評(píng)結(jié)論是有明確要求的，通過使用“符合”、“基本符合”、“不符合”來表述對(duì)測(cè)評(píng)結(jié)果是否符合或滿足等級(jí)保護(hù)基本要求。
兩者對(duì)結(jié)論的處理方式不同
風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)處理有四種選擇,即風(fēng)險(xiǎn)減緩、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)保持、風(fēng)險(xiǎn)轉(zhuǎn)移。當(dāng)企業(yè)對(duì)任何風(fēng)險(xiǎn)采取四種選擇中的任一選擇后,必須在風(fēng)險(xiǎn)處理計(jì)劃中實(shí)施。而等保測(cè)評(píng)則不同，等保測(cè)評(píng)需要根據(jù)測(cè)評(píng)的結(jié)果提出整改建議，并且是針對(duì)測(cè)評(píng)中不符合項(xiàng)提出的整改實(shí)施方案建議,采納與否由組織自己決定,也不需要制定整改計(jì)劃。但企業(yè)必須整改,使得信息系統(tǒng)無不符合項(xiàng),全面滿足等級(jí)保護(hù)基本要求，否則根據(jù)《網(wǎng)絡(luò)安全法》要求，會(huì)對(duì)企業(yè)不整改的行為進(jìn)行相應(yīng)處罰。
報(bào)告編寫
現(xiàn)場(chǎng)實(shí)施完成,收集完成所有的資料后,就要編寫相關(guān)的報(bào)告,等保測(cè)評(píng)的報(bào)告有官方發(fā)布的模板，而風(fēng)險(xiǎn)評(píng)估的報(bào)告無模板或固定內(nèi)容要求。
三、 實(shí)施建議
從上述描述中分析，可以看出二者本質(zhì)上區(qū)別很大，所以實(shí)施中可相互借鑒，但不建議整合實(shí)施。風(fēng)險(xiǎn)評(píng)估和等保測(cè)評(píng)是兩類不同的活動(dòng)，需要分開完成。建議先實(shí)施信息系統(tǒng)等保測(cè)評(píng),然后實(shí)施風(fēng)險(xiǎn)評(píng)估,進(jìn)行信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估時(shí),可以借用實(shí)施等保測(cè)評(píng)中發(fā)現(xiàn)的安全問題。
威努特作為率先提出工業(yè)網(wǎng)絡(luò)安全“白環(huán)境”理念的安全廠商，迄今已服務(wù)電力、石油石化、軌道交通、智能制造、燃?xì)狻⑺畡?wù)、軍工、煙草、煤炭、化工、高校及科研機(jī)構(gòu)等領(lǐng)域的五百余家客戶。在工業(yè)控制系統(tǒng)的安全建設(shè)和安全風(fēng)險(xiǎn)評(píng)估方面有著豐富的經(jīng)驗(yàn)，2018年更是獲得了ISCCC信息安全服務(wù)風(fēng)險(xiǎn)評(píng)估二級(jí)資質(zhì)，這也是對(duì)威努特在風(fēng)險(xiǎn)評(píng)估實(shí)施方面取得成績(jī)的一種肯定。2019年，威努特將以2018年取得的成績(jī)作為起點(diǎn)，憑借自身專業(yè)的技術(shù)服務(wù)團(tuán)隊(duì)為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)添磚加瓦。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前題目：風(fēng)險(xiǎn)評(píng)估和等保測(cè)評(píng)的差異化分析-創(chuàng)新互聯(lián)
文章出自：http://vcdvsql.cn/article18/ddhcdp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、移動(dòng)網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、商城網(wǎng)站、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)