一、什么是信息安全风险评估
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防护对策和整改措施,防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。
信息安全风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、步骤
1、风险辨识
对系统进行评估之前,首先需要对于每一个业务中的单元、各种相关的活动、以及业务流程里面的重要环节都进行反复的排查与辨识,排查这些项目都具有哪些风险,从而在整体上对于系统存在的风险情况进行初步估计与判断。
2、风险分析
对于有风险辨识度的项目或是流程,需进行仔细的分析,判断其风险特征,并使用明确的定义对其进行描述,使其更加精准,特别是对于明确风险的发生条件及程度高低应尽可能使用数字或是档位来进行定义,从而更直观的认知到这些风险的发生可能性以及可能造成的后果。
3、风险评价
最后一步是进行风险的最终评价,也是进行正式的风险评估环节,对企业方案、运营目标的最终影响程度、风险的可能性与价格以及可能的后果都进行明确的量化评估,从而使得用户可以更为明确地了解到是否应该继续采用该方案,其自身是否足以承担相关风险。
三、意义
能够及时发现信息安全工作中存在的主要问题和矛盾。企业的系统要注重日常的检查,才能及时分析确定系统风险及风险大小,进而采取合适的措施去减少、转移,有效避免风险或将风险控制在可以容忍的范围内,将中心数据进行更好的保护。
能够加强信息安全保障体系建设和管理。信息安全建设离不开风险评估,只有正确的全面的了解风险后,才能在怎么控制风险这个问题上做出正确合理的判断。另外,信息安全建设要从实际出发,具体问题具体分析。
四、风险评估和等保测评的差别
1、目的不同:风险评估以PDCA循环持续推进风险管理为目的(对症下药),是识别和评估潜在风险,以便制定相应的风险应对策略。
等级测评是确保信息系统符合国家安全标准,保障信息的安全,是否符合等级保护基本要求为目的(照方抓药)。
2、标准不同:风险评估依据GB/T20984、BS7799、ISO27001、ISO17799、ISO27002。等保测评依据GB/T22239。
3、对象不同:风险评估中的资产明显比等保测评的范围要广。在一些具体的项目上,风险评估项目中识别的资产高达500多项。
4、实施方法和标准不同:二者都有着实施的管理办法。但风险评估在实施前要建立风险评估方法、风险评价准则、影响评价准则和风险接受准则,通常采用定性和定量相结合的方法,如风险矩阵分析、故障树分析等更考验工程师的技术能力和底层软件逻辑能力。
而等保测评则依据国家相关法律法规和标准,采用统一的评估方法,不需要建立测评方法和准则。
5、范围不同:风险评估关注的是组织面临的所有风险,包括内部风险和外部风险;而等级保护测评则专注于信息系统的安全防护能力,不涉及其他方面的风险。
6、结果应用不同:风险评估的结果可以帮助组织制定风险管理计划、优化资源分配等;而等级保护测评的结果则是组织是否符合国家安全标准的依据,可能会影响组织的合规性和声誉。
总的来说,两者都是为了提升系统的安全性,但又有很多不同的地方。等级保护是标准或体系,风险评估是一种更具有针对性的手段。
