风险评估的两种方式

4.1.4　风险评估的两种方式

信息安全风险评估是提高我国信息安全保障水平的一项重要举措，应当贯穿于网络与信息系统建设运行的全过程。根据评估发起者的不同，风险评估可分为自评估、检查评估两种方式。自评估是信息安全风险评估的主要形式，是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估，以发现信息系统现有弱点。实施安全管理为目的的检查评估是指信息系统上级管理部门或信息安全职能部门组织的信息安全风险评估。检查评估是通过行政手段加强信息安全的重要措施。

风险评估应以自评估为主，检查评估在自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取得的效果。自评估和检查评估应相互结合、互为补充。自评估和检查评估都可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。

美国等发达国家，自评估工作已经运行多年，逐步形成了标准和规范，大体进入了制度化阶段。在此基础上，他们开始强调联邦一级的认证认可，即检查评估。我国开展信息安全风险评估工作，滞后于发达国家。因此，现阶段应该把自评估工作尽快开展、规范起来，打好风险评估工作的基础。

1.自评估

自评估是风险评估的基础。要落实“谁主管谁负责，谁运营谁负责”的原则，信息系统资产的拥有者、主管者、运行者首先应通过自评估的方式对自己负责，这样才能随时掌握安全状况，不断调整安全措施，有效进行安全控制。

自评估是信息系统拥有者依靠自身力量，依据国家风险评估的管理规范和技术标准，对自有的信息系统进行风险评估的活动。信息系统的风险，不仅仅来自信息系统技术平台的共性，还来自于特定的应用服务。由于具体单位的信息系统各具特性，这些个性化的过程和要求往往是敏感的，没有长期接触该单位所属行业和部门的人难以在短期内熟悉和掌握。而且只有拥有者对威胁及其后果的体会最深切。目前的信息技术企业，通过技术平台的脆弱性分析，难以真正掌握和了解具体行业或部门的资产、威胁和风险。这些企业不但需要深入研究信息技术平台的共性化风险，还需要推动不同行业部门的个性化风险的专门研究，否则风险评估将会出现关注面的缺失。

自评估方式的优缺点非常明显，主要包括以下两点。

（1）优点

●有利于保密。

●有利于发挥行业和部门内的人员的业务特长。

●有利于降低风险评估的费用。

●有利于提高本单位的风险评估能力与信息安全知识。

（2）缺点

●如果没有统一的规范和要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位。

●自评估中，也可能会存在某些不利的干预，从而影响风险评估结果的客观性，降低评估结果的置信度。

●某些时候，即使自评估的结果比较客观，也必须与管理层进行沟通。

为了扬长避短，在自评估中可以采用如下改进办法：

●发挥专家的指导作用或委托专业评估组织参与部分工作。

●委托具有相应资质的第三方机构提供技术支持。

●由国家建立的测评认证机构或安全企业实施评估活动。它既有自评估的特点（由单位自身发起，且本单位对风险评估过程的影响可以很大），也有第三方评估的特点（由独立于本单位的另外一方实施评估）。

委托第三方机构组织或参与自评估活动的好处在于：

●在委托评估中，接受委托的评估机构一般拥有风险评估的专业人才。

●风险评估的经验比较丰富。

●对信息技术风险的共性了解的比较深入。

●评估过程较为规范，评估结果的客观性比较好，置信度比较高。

但在委托第三方机构组织或参与自评估活动时也要考虑以下三个问题：

●评估费用可能会较高。

●可能会难以深入了解行业应用服务中的安全风险。

●由于风险评估中必然会接触到被评估单位的敏感情况，且评估结果本身也属于敏感信息，因此委托评估中容易发生评估风险。

2.检查评估

检查评估是由信息安全主管部门或业务主管部门发起的一种评估活动，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。信息安全检查是通过行政手段加强信息安全的重要措施，形式有安全保密检查、生产安全检查、专项检查等。被查单位应配合评估工作的开展。

检查评估的实施可以多样化，既可以依据国家法规或标准的要求，实施完整的风险评估过程，也可以在对自评估的实施过程、风险计算方法、评估结果等重要环节的科学合理性进行分析的基础上，对关键环节或重点内容实施抽样评估。

检查评估应覆盖但不限于以下内容：

①自评估方法的检查；

②自评估过程记录检查；

③自评估结果跟踪检查；

④现有安全措施的检查；

⑤系统输入输出控制的检查；

⑥软硬件维护制度及实施状况的检查；

⑦突发事件应对措施的检查；

⑧数据完整性保护措施的检查；

⑨审计追踪的检查。

检查评估一般由主管机关发起，通常都是定期的、抽样进行的评估模式，旨在检查关键领域，或关键点的信息安全风险是否在可接受的范围内。鉴于检查评估的性质，在检查评估实施之前，一般应确定适用于整个评估工作的评估要求或规范，以适用于所有被评估单位。

被检查单位自身不能对评估过程进行干预，检查评估是由被评估方的主管机关实施的，所以其评估结果最具权威性。

但是，检查评估也有如下限制：

●间隔时间较长，如一年一次，有时还是抽样进行。

●不能贯穿一个部门信息系统生命周期的全过程，很难对信息系统的整体风险状况做出完整的评价。

检查评估也可以委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责。由于检查评估代表了主管机关，涉及评估对象也往往较多，因此，要对实施检查评估机构的资质进行严格管理。