风险评估和等保测评差异分析

◇ 两者实施的方法和准则不同

风险评估在实施前要建立风险评估方法、风险评价准则、影响评价准则和风险接受准则，而等保测评不需要建立测评方法和准则，因为GB/T 28449-2012中已经进行了详细的规范，不需要再定义。并且等保测评中的风险分析及评价结果仅作为测评结论的输入项，与最终的整改意见无关。

◇ 两者的范围和边界定义不同

两者在确定实施方位和边界的方法、依据都不一样，首先风险评估的评估范围和边界方面考虑的因素比较多，相对复杂。而等保测评中在定义边界部分相对简单，只是根据系统的情况判断被测评系统的网络边界即可。

◇ 两者面对的对象不同

在GB/T 22239-2008中资产对象包括物理环境、主机环境、网络环境、应用环境、数据安全、安全管理这六个部分，在即将发布的等级保护V2.0的基本要求中包括物理环境、通信网络、计算环境、管理中心、安全管理这五个部分。在GB/T 28449-2012的“7.2.1测评对象确认”章节详细描述了等保测评的对象包括机房、业务软件、主机操作系统、数据库系统、网络设备、安全设备、管理类文档等。而风险评估中资产的对象包括信息资产、硬件资产、软件资产、服务资产、人员资产等。由此可见，两者在对象上有明显的差异。

◇ 两者风险分析和评价方法不同

风险分析和评价方法很多，包括定性的，定量的。在等保测评的风险分析及评价中主要是依据《等级测评报告模板（试行）》（公信安【2009】1487号）文的要求进行对测评中发现的不符合项进行风险分析及评价。主体是以定性的方式进行评价，并以列表形式给出等级测评发现安全问题以及风险分析和评价情况。

依据等级保护的相关规范和标准,采用风险分析的方法分析信息系统等级测评结果中存在的安全问题(等级测评结果中部分符合项或不符合项的汇总结果)可能对信息系统安全造成的影响。

分析过程包括：

1) 判断安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。

2) 判断安全问题被威胁利用后,对信息系统安全(业务信息安全和系统服务安全)造成的影响程度,影响程度取值范围为高、中和低。

3) 综合1)和2)的结果对信息系统面临的安全风险进行赋值,风险值的取值范围为高、中和低。

4) 结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

风险评估则未明确要求是采用定性的方式，还是定量的方式，在GB/T 20984-2007中也介绍了很多风险评价的方法，最终是建议组织或风险评估团队根据实际情况使用定性或定量的方式，或两者结合的方式。

◇ 两者对结论要求不同

在风险评估中无论是GB/T 20984-2007还是ISO/IEC 27005:2011都对评估结论没有要求，风险评估更侧重于结果。而等保测评对于测评结论是有明确要求的，通过使用“符合”、“基本符合”、“不符合”来表述对测评结果是否符合或满足等级保护基本要求。

◇ 两者对结论的处理方式不同

风险评估中风险处理有四种选择，即风险减缓、风险规避、风险保持、风险转移。当企业对任何风险采取四种选择中的任一选择后,必须在风险处理计划中实施。而等保测评则不同，等保测评需要根据测评的结果提出整改建议，并且是针对测评中不符合项提出的整改实施方案建议,采纳与否由组织自己决定,也不需要制定整改计划。但企业必须整改,使得信息系统无不符合项,全面满足等级保护基本要求，否则根据《中华人员共和国网络安全法》要求，会对企业不整改的行为进行相应处罚。