400-067-1560
《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022)将于2022年11月1日正式实施。作为我国信息安全领域的基础性标准,该标准自第一版发布以来,有效指导了我国信息安全风险评估工作的开展。企业在各种条件下经常遇到风险评估的要求,那么风险评估为什么重要?对企业又有什么意义?
风险评估的意义
信息安全风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。
企业可以通过梳理自身的IT资产,来识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性严重程度、以及安全控制措施的有效性等要素。通过风险评估工作,对重要信息系统所面临的信息安全风险进行识别和定性评估,根据评估结果,企业可以更有针对性的进行风险管控,对企业网络安全薄弱点进行安全建设和加固,更有效的提升企业网络安全防护能力。
因此企业进行风险评估是非常有意义的:
1)企业可以清晰的了解自身网络安全状况,进行查漏补缺降低风险;
2)在了解企业安全状况后,可以更高效的进行企业安全整体规划与建设,提升安全防护能力;
3)定期进行风险评估可以满足企业安全合规的需求,有利于业务发展;
4)提升企业内部人员安全意识,没有发生严重安全事件并不代表企业网络安全没有问题。
风险评估的相关政策
《信息安全技术 信息安全风险评估方法》
(GB/T 20984—2022)
• 明确风险评估工作要求
标准明确了当下国家对信息安全风险评估工作的要求,提出了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式,适用于指导各类组织开展信息安全风险评估工作。
• 标准实施意义
标准形成的信息安全风险评估方法,为国家网络安全主管部门、各重要行业网络安全保障单位、第三方网络安全检查评估机构提供开展网络安全检查评估工作的技术标准和依据。
《中华人民共和国网络安全法》
• 加强对网络安全风险的分析评估
第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
《中华人民共和国数据安全法》
• 重要数据需定期开展风险评估
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
《关键信息基础设施安全保护条例》
• 关键基础设施每年至少一次风险评估
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
《通信网络安全防护管理办法》
• 通信网络定期进行风险评估
第十二条 通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患:
(一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;
(二)二级通信网络单元应当每两年进行一次安全风险评估。
国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估。
通信网络运行单位应当在安全风险评估结束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。
《公立医院内部控制管理办法》
• 医院需开展风险评估工作
第十五条 本办法所称风险评估,是指医院全面、系统和客观地识别、分析本单位经济活动及相关业务活动存在的风险,确定相应的风险承受度及风险应对策略的过程。
第十六条 风险评估至少每年进行一次;外部环境、业务活动、经济活动或管理要求等发生重大变化的,应当及时对经济活动及相关业务活动的风险进行重新评估。
第十七条 医院内部审计部门或确定的牵头部门应当自行或聘请具有相应资质的第三方机构开展风险评估工作,风险评估结果应当形成书面报告,作为完善内部控制的依据。
第十八条 医院应当根据本单位设定的内部控制目标和建设规划,有针对性地选择风险评估对象。风险评估对象可以是整个单位或某个部门(科室),也可以是某项业务、某个项目或具体事项。
在企业网络安全合规中,网络安全相关法规均对企业风险评估有要求,例如等级保护工作需要对企业系统安全进行风险评估。除此之外,各行业信息安全相关法规也对企业风险评估具体实施对象、周期、上报机关有明确要求。
如何做风险评估
华清信安Mod AQPG信息安全风险评估服务依据国家相关技术标准规范,由华清信安的安全专家对企业需要进行风险评估系统的日常运行、安全威胁、数据管理、安全配置等多维度情况进行全面的风险评估,出具风险评估报告,协助企业修复漏洞进行安全建设整改,排除安全隐患。
华清信安风险评估服务流程
400-067-1560
公司地址: 北京市朝阳区东大桥8号院SOHO尚都北塔B座10层、20层 (北京总部)
联系电话:400-067-1560
Email:contact@hqsec.com离职员工背景调查(邮箱):hq-hr@hqsec.com
