等级测评与风险评估的联系与区别

admin 2022年6月17日18:53:01评论45 views字数 1011阅读3分22秒阅读模式

等级测评与风险评估

等级测评与风险评估的联系与区别
等级测评与风险评估的联系与区别

等级测评与风险评估已成为我国网络安全保障的重要抓手。国家出台相关法律法规、政策文件、标准规范,保障网络安全测评工作的有效开展。本文介绍了等级测评和风险评估之间的联系与区别,并给出相应的实施建议,可为网络运营者开展网络安全测评工作提供参考依据,有效保障网络系统的安全性。


等级测评与风险评估从不同角度评判网络系统的安全状况,在实际操作过程中,两者存在相通之处又各有侧重点,党政机关、企事业单位等网络运营者应履行网络安全保护义务,选择适当的测评方法,识别网络系统面临的风险,保障业务系统安全稳定运行。


01

联系与区别

等级测评和风险评估在测评对象、测评内容、测评方法和测评流程方面存在相似之处:一是测评对象都是信息和信息载体;二是测评内容都涵盖管理和技术两个方面;三是测评方法均可采用现场访谈、文档查阅、工具测试、人工核查等;四是测评流程均可划分为测评准备、方案编制、现场实施和报告编制阶段。


等级测评是对测评对象符合性进行判定的过程,强调最低保障要求,风险评估是对测评对象面临安全风险的识别与分析过程,侧重发现安全隐患。等级测评可以作为风险评估的基础,按照测评对象的重要程度,评价保护措施的有效性,识别信息和信息载体面临的风险。风险评估可作为等级测评的补充,对资产的价值、脆弱性、面临威胁进行识别,通过数据分析评价资产存在的安全风险。等级测评与风险评估不是非此即彼的对立模式,可以相互影响、相互作用。


02

实施建议

合规不代表风险可控,风险可控不代表合规。等级测评和风险评估基于不同的侧重点,在信息和信息载体风险管控方面发挥重要作用。现行等级测评和风险评估相互借鉴方式方法,在合规和风险管控方面未形成统一整体。党政机关、企事业单位等网络运营者应贯彻落实《中华人民共和国网络安全法》相关要求,以等级测评为主线,确保信息和信息载体符合基线要求,以风险评估为着力点,识别网络安全隐患,确保风险可控。



结语

等级测评和风险评估可在相互补充、有机结合的基础上,形成统一、完善的安全测评体系,从而协助党政机关、企事业单位等网络运营者掌握和了解网络安全现状,确保信息资源和防护措施的有效利用,提高网络系统的安全管理、建设和运维能力,推动网络安全保障体系的建设与发展。


来源:《网络安全和信息化》杂志

作者:陕西省网络与信息安全测评中心   马卓元 杨向东 李丹


(本文不涉密)

原文始发于微信公众号(网络安全和信息化):等级测评与风险评估的联系与区别

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日18:53:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   等级测评与风险评估的联系与区别https://cn-sec.com/archives/1123448.html

发表评论

匿名网友 填写信息