第三方安全评估业务-第三方安全评估-多面魔方技术服务公司

网络安全风险评估的必要性

       网络与信息安全形势近年发生了巨大变化，以云计算、大数据、物联网、工业互联网、移动互联网为代表的新技术得到了快速应用，科技变革给人们的生活带来诸多便捷的同时，也带来了更多的信息安全隐患和安全挑战。纵观近几年国内外网络与信息安全态势，可以发现网络安全事件发生频率整体呈上升趋势，安全态势变得越来越复杂。LS病毒、挖矿病毒、可延续多年的 APT 攻击、暗网传播的大量 0day 漏洞以及个人信息泄露等安全问题让各大组织面临着挑战，也严重威胁到国家的网络空间安全。

      同时，《中华人民共和国网络安全法》（简称《网络安全法》）于 2016 年 11 月 7 日发布，第三方安全评估，自 2017 年 6 月 1 日起施行。《网络安全法》提出鼓励、开展、建立运营单位的网络与信息安全评估活动、建立健全风险评估体系等系列要求。 2019 年 5月 10 日，第三方安全评估有哪些，GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》正式颁布，第三方安全评估业务，自 2019 年 12 月 1 日起施行。加上已于 2015 年 5 月 15 日发布，第三方安全评估作用， 2016 年 1 月 1 日实施的 GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》，自此， 近年来陆续发布的具有***性和前瞻性的国家法律和标准，为各类识别网络安全风险的评估活动提出了进行风险评估工作的要求。

网络安全风险评估的依据是什么

风险评估工作主要遵循以下评估依据，并作为评估工作实施的指导文件，部分评估内容将参考或借鉴指导文件内容。

1) 《中华人民共和国网络安全法》

2) 《国家网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》（国信办[2006]5 号）

3) 《信息安全技术 信息安全风险评估规范》 （GB/T 20984-2007）

4) 《信息安全技术 信息安全风险评估实施指南》 （GB/T 31509-2015）

5) 《信息安全技术 信息安全事件分类分级指南》 （GB/Z 20986-2007）

6) 《计算机场地通用规范》 （GB/T 2887-2011）

7) 《信息技术 安全技术 信息安全控制实践指南》 （GB/T 22081-2016）

8) 《信息技术 安全技术 信息安全风险管理》 （GB/T 31722-2015）

9) 《信息安全技术 数据库管理系统安全技术要求》 （GB/T 20273-2019）

10) 《信息安全技术 网络基础安全技术要求》 （GB/T 20270-2006）

11) 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2006）

12) 《信息安全技术 网络安全等级保护测评要求》 （GB/T 28448-2019）

13) 《信息技术 安全技术 信息安全管理体系要求》 （ISO/IEC 27001:2013）

14) 《信息技术 安全技术 信息安全风险管理》 （ISO/IEC 27005:2018）

15) 《信息技术安全评估准则》 （ISO/IEC 15408）

网络安全风险评估流程图

      风险评估工作主要依据GB/T 20984-2015《信息安全技术信息安全风险评估规范》进行，总体的工作流程可以分成资产评估阶段、威胁评估阶段、脆弱性评估阶段、风险综合分析阶段和风险处置计划阶段。对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等。

     风险评估的实施流程，如下图所示：