隨著2017年《網(wǎng)絡安全法》的發(fā)布、施行，越來越多的企業(yè)領導開始關注自身企業(yè)的網(wǎng)絡安全建設情況，而《信息安全技術 網(wǎng)絡安全等級保護基本要求》V2.0的臨近發(fā)布，更加明確了企業(yè)網(wǎng)絡安全建設的方向。小威在近期與客戶進行技術交流時，客戶經(jīng)常提及“風險評估”和“等保測評”，而有些客戶往往將兩者進行混淆。今天小威給大家總結下風險評估與等保測評的異同之處。
一、 風險評估和等保測評概述
風險評估：
2007年國家標準化管理委員會發(fā)布GB/T 20984-2007 《信息安全技術 信息安全風險評估規(guī)范》標準，該標準是作為信息安全風險評估的主要依據(jù)，在2011年國家標準化管理委員會在原標準的基礎上，又發(fā)布了第二版的用戶信息技術信息安全風險評估的標準，即ISO/IEC 27005:2011。GB/T 20984-2007和ISO/IEC 27005:2011推薦的信息安全風險評估的方法都可作為信息安全風險評估的方法。
風險評估包括風險識別、風險分析、風險評價這三個過程。其主要的作業(yè)活動包括①建立相關準則，②確定風險評估的范圍和邊界，③風險分析，④風險評價，⑤風險處理。具體詳見下圖：

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設,魯山企業(yè)網(wǎng)站建設,魯山品牌網(wǎng)站建設,網(wǎng)站定制,魯山網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,魯山網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

圖 1 風險評估作業(yè)活動
等保測評
GB/T 28449-2012《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》是等級保護測評主要參考的依據(jù)，該標準是從等級保護測評的過程及其各項任務的角度描述測評的過程，包括測評準備、方案編制、現(xiàn)場評測、報告編制，具體內容包括確定測評范圍、識別測評資產(chǎn)對象、識別不符合項、風險分析及評價、提出整改意見。

圖 2 等保測評作業(yè)活動
從上述描述中，可以看出風險評估和等保測評在某些方面是存在共同點，但也有很多差異化。
二、 風險評估和等保測評差異分析
兩者實施的方法和準則不同
風險評估在實施前要建立風險評估方法、風險評價準則、影響評價準則和風險接受準則，而等保測評不需要建立測評方法和準則，因為GB/T 28449-2012中已經(jīng)進行了詳細的規(guī)范，不需要再定義。并且等保測評中的風險分析及評價結果僅作為測評結論的輸入項，與最終的整改意見無關。
兩者的范圍和邊界定義不同
兩者在確定實施方位和邊界的方法、依據(jù)都不一樣，首先風險評估的評估范圍和邊界方面考慮的因素比較多，相對復雜。而等保測評中在定義邊界部分相對簡單，只是根據(jù)系統(tǒng)的情況判斷被測評系統(tǒng)的網(wǎng)絡邊界即可。

圖 3 范圍和邊界定義
兩者面對的對象不同
在GB/T 22239-2008中資產(chǎn)對象包括物理環(huán)境、主機環(huán)境、網(wǎng)絡環(huán)境、應用環(huán)境、數(shù)據(jù)安全、安全管理這六個部分，在即將發(fā)布的等級保護V2.0的基本要求中包括物理環(huán)境、通信網(wǎng)絡、計算環(huán)境、管理中心、安全管理這五個部分。在GB/T 28449-2012的“7.2.1測評對象確認”章節(jié)詳細描述了等保測評的對象包括機房、業(yè)務軟件、主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、安全設備、管理類文檔等。而風險評估中資產(chǎn)的對象包括信息資產(chǎn)、硬件資產(chǎn)、軟件資產(chǎn)、服務資產(chǎn)、人員資產(chǎn)等。由此可見，兩者在對象上有明顯的差異。

圖 4風險評估和等保測評的資產(chǎn)對象
從上圖可以看出，風險評估中的資產(chǎn)明顯比等保測評的范圍要廣。在一些具體的項目上，風險評估項目中識別的資產(chǎn)高達500多。
兩者風險分析和評價方法不同
風險分析和評價方法很多，包括定性的，定量的。在等保測評的風險分析及評價中主要是依據(jù)《等級測評報告模板（試行）》（公信安【2009】1487號）文的要求進行對測評中發(fā)現(xiàn)的不符合項進行風險分析及評價。主體是以定性的方式進行評價，并以列表形式給出等級測評發(fā)現(xiàn)安全問題以及風險分析和評價情況。具體如下圖：

圖 5 等保測評安全問題及風險分析評價（示例）
依據(jù)等級保護的相關規(guī)范和標準,采用風險分析的方法分析信息系統(tǒng)等級測評結果中存在的安全問題(等級測評結果中部分符合項或不符合項的匯總結果)可能對信息系統(tǒng)安全造成的影響。
分析過程包括
1)判斷安全問題被威脅利用的可能性,可能性的取值范圍為高、中和低;
2)判斷安全問題被威脅利用后,對信息系統(tǒng)安全(業(yè)務信息安全和系統(tǒng)服務安全)造成的影響程度,影響程度取值范圍為高、中和低。
3)綜合1)和2)的結果對信息系統(tǒng)面臨的安全風險進行賦值,風險值的取值范圍為高、中和低。
4)結合信息系統(tǒng)的安全保護等級對風險分析結果進行評價,即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險
風險評估則未明確要求是采用定性的方式，還是定量的方式，在GB/T 20984-2007中也介紹了很多風險評價的方法，最終是建議組織或風險評估團隊根據(jù)實際情況使用定性或定量的方式，或兩者結合的方式。
兩者對結論要求不同
在風險評估中無論是GB/T 20984-2007還是ISO/IEC 27005:2011都對評估結論沒有要求，風險評估更側重于結果。而等保測評對于測評結論是有明確要求的，通過使用“符合”、“基本符合”、“不符合”來表述對測評結果是否符合或滿足等級保護基本要求。
兩者對結論的處理方式不同
風險評估中風險處理有四種選擇,即風險減緩、風險規(guī)避、風險保持、風險轉移。當企業(yè)對任何風險采取四種選擇中的任一選擇后,必須在風險處理計劃中實施。而等保測評則不同，等保測評需要根據(jù)測評的結果提出整改建議，并且是針對測評中不符合項提出的整改實施方案建議,采納與否由組織自己決定,也不需要制定整改計劃。但企業(yè)必須整改,使得信息系統(tǒng)無不符合項,全面滿足等級保護基本要求，否則根據(jù)《網(wǎng)絡安全法》要求，會對企業(yè)不整改的行為進行相應處罰。
報告編寫
現(xiàn)場實施完成,收集完成所有的資料后,就要編寫相關的報告,等保測評的報告有官方發(fā)布的模板，而風險評估的報告無模板或固定內容要求。
三、 實施建議
從上述描述中分析，可以看出二者本質上區(qū)別很大，所以實施中可相互借鑒，但不建議整合實施。風險評估和等保測評是兩類不同的活動，需要分開完成。建議先實施信息系統(tǒng)等保測評,然后實施風險評估,進行信息系統(tǒng)的安全風險評估時,可以借用實施等保測評中發(fā)現(xiàn)的安全問題。
威努特作為率先提出工業(yè)網(wǎng)絡安全“白環(huán)境”理念的安全廠商，迄今已服務電力、石油石化、軌道交通、智能制造、燃氣、水務、軍工、煙草、煤炭、化工、高校及科研機構等領域的五百余家客戶。在工業(yè)控制系統(tǒng)的安全建設和安全風險評估方面有著豐富的經(jīng)驗，2018年更是獲得了ISCCC信息安全服務風險評估二級資質，這也是對威努特在風險評估實施方面取得成績的一種肯定。2019年，威努特將以2018年取得的成績作為起點，憑借自身專業(yè)的技術服務團隊為工業(yè)控制系統(tǒng)的網(wǎng)絡安全建設添磚加瓦。