等保测评和风险评估

最近看到有人问等保单位是否必须做风险评估?做风险评估是不是要有资质，甚至很多人都不知道风险评估是干什么的。

首先，等保并不要求风险评估，在《网络安全等级保护条例》中，风险评估只出现三次。

第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护，采取主动防御、可信计算、人工智能等技术，创新网络安全技术保护措施，提升网络安全防范能力和水平。

国家对网络新技术、新应用的推广，组织开展网络安全风险评估，防范网络新技术、新应用的安全风险。

第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估，并经设区的市级以上保密行政管理部门审查合格，方可投入使用。

涉密网络运营者在涉密网络投入使用后，应定期开展安全保密检查和风险自评估，并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次，机密级和秘密级网络每两年至少进行一次。公安机关、国家安全机关涉密网络投入使用的管理，依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。

其次，在《信息安全技术 网络安全等级保护测评要求》里只对云服务商的三级和四级系统的云平台要求中各提到了两次。

要求应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。

再次，在《信息系统安全等级保护备案表》的表二中的08项系统采用服务情况中要求填写风险评估情况，是选用本行业(单位)、国内其他服务商、还是国外服务商，仅仅是询问是否有无而已。

所以，等保体系里除云服务商外并没有对风险评估提出明确要求，而涉密网络并不属于等保范畴。对于除云服务商外风险评估在等保中不是必须做的，做风险评估在等保中也没有要求必须具备什么资质。一般金融、海关、银行、保险单位要求的多一些，风险评估有各个行业的标准，也有地方的标准，风险评估的资质证书至少有两种。从网络安全等级保护网上昨天公布的数据看，等级测评机构全国一共205家。中国网络安全审查技术与认证中心公布的有风险评估资质的公司有868家，分一、二、三级。当然还有其他机构颁布的风险评估资质。

那么什么是风险评估呢?

依据国家标准《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007，新版还没有正式出台，2007版还在使用)的定义，信息安全风险评估是“对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。”信息安全风险评估的主要任务是评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合资产价值来判断安全事件一旦发生对组织造成的影响，进而为应如何进一步强化安全控制措施提供依据及建议。