《資訊保安技術 資訊保安風險評估方法》(GB/T 20984—2022)將於2022年11月1日正式實施。作為我國資訊保安領域的基礎性標準,該標準自第一版釋出以來,有效指導了我國資訊保安風險評估工作的開展。企業在各種條件下經常遇到風險評估的要求,那麼風險評估為什麼重要?對企業又有什麼意義?
風險評估的意義
HQSEC
資訊保安風險評估是一個識別、控制、降低或消除可能影響資訊系統的安全風險的過程。
企業可以透過梳理自身的IT資產,來識別和評估資訊資產的重要性、安全威脅的可能性、安全脆弱性嚴重程度、以及安全控制措施的有效性等要素。透過風險評估工作,對重要資訊系統所面臨的資訊保安風險進行識別和定性評估,根據評估結果,企業可以更有針對性的進行風險管控,對企業網路安全薄弱點進行安全建設和加固,更有效的提升企業網路安全防護能力。
因此企業進行風險評估是非常有意義的:
1)企業可以清晰的瞭解自身網路安全狀況,進行查漏補缺降低風險;
2)在瞭解企業安全狀況後,可以更高效的進行企業安全整體規劃與建設,提升安全防護能力;
3)定期進行風險評估可以滿足企業安全合規的需求,有利於業務發展;
4)提升企業內部人員安全意識,沒有發生嚴重安全事件並不代表企業網路安全沒有問題。
風險評估的相關政策
HQSEC
《資訊保安技術 資訊保安風險評估方法》
(GB/T 20984—2022)
• 明確風險評估工作要求
標準明確了當下國家對資訊保安風險評估工作的要求,提出了資訊保安風險評估的基本概念、風險要素關係、風險分析原理、風險評估實施流程和評估方法,以及風險評估在資訊系統生命週期不同階段的實施要點和工作形式,適用於指導各類組織開展資訊保安風險評估工作。
• 標準實施意義
標準形成的資訊保安風險評估方法,為國家網路安全主管部門、各重要行業網路安全保障單位、第三方網路安全檢查評估機構提供開展網路安全檢查評估工作的技術標準和依據。
《中華人民共和國網路安全法》
• 加強對網路安全風險的分析評估
第十七條國家推進網路安全社會化服務體系建設,鼓勵有關企業、機構開展網路安全認證、檢測和風險評估等安全服務。
第五十三條國家網信部門協調有關部門建立健全網路安全風險評估和應急工作機制,制定網路安全事件應急預案,並定期組織演練。
《中華人民共和國資料安全法》
• 重要資料需定期開展風險評估
第三十條重要資料的處理者應當按照規定對其資料處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。
風險評估報告應當包括處理的重要資料的種類、數量,開展資料處理活動的情況,面臨的資料安全風險及其應對措施等。
《關鍵資訊基礎設施安全保護條例》
• 關鍵基礎設施每年至少一次風險評估
第十七條 運營者應當自行或者委託網路安全服務機構對關鍵資訊基礎設施每年至少進行一次網路安全檢測和風險評估,對發現的安全問題及時整改,並按照保護工作部門要求報送情況。
《通訊網路安全防護管理辦法》
• 通訊網路定期進行風險評估
第十二條通訊網路執行單位應當按照以下規定組織對通訊網路單元進行安全風險評估,及時消除重大網路安全隱患:
(一)三級及三級以上通訊網路單元應當每年進行一次安全風險評估;
(二)二級通訊網路單元應當每兩年進行一次安全風險評估。
國家重大活動舉辦前,通訊網路單元應當按照電信管理機構的要求進行安全風險評估。
通訊網路執行單位應當在安全風險評估結束後三十日內,將安全風險評估結果、隱患處理情況或者處理計劃報送通訊網路單元的備案機構。
《公立醫院內部控制管理辦法》
• 醫院需開展風險評估工作
第十五條 本辦法所稱風險評估,是指醫院全面、系統和客觀地識別、分析本單位經濟活動及相關業務活動存在的風險,確定相應的風險承受度及風險應對策略的過程。
第十六條 風險評估至少每年進行一次;外部環境、業務活動、經濟活動或管理要求等發生重大變化的,應當及時對經濟活動及相關業務活動的風險進行重新評估。
第十七條 醫院內部審計部門或確定的牽頭部門應當自行或聘請具有相應資質的第三方機構開展風險評估工作,風險評估結果應當形成書面報告,作為完善內部控制的依據。
第十八條 醫院應當根據本單位設定的內部控制目標和建設規劃,有針對性地選擇風險評估物件。風險評估物件可以是整個單位或某個部門(科室),也可以是某項業務、某個專案或具體事項。
在企業網路安全合規中,網路安全相關法規均對企業風險評估有要求,例如等級保護工作需要對企業系統安全進行風險評估。除此之外,各行業資訊保安相關法規也對企業風險評估具體實施物件、週期、上報機關有明確要求。
如何做風險評估
HQSEC
華清信安Mod AQPG資訊保安風險評估服務依據國家相關技術標準規範,由華清信安的安全專家對企業需要進行風險評估系統的日常執行、安全威脅、資料管理、安全配置等多維度情況進行全面的風險評估,出具風險評估報告,協助企業修復漏洞進行安全建設整改,排除安全隱患。
華清信安風險評估服務流程
