摘 要：信息系统安全等级测评是等保工作的重要环节，等保测评工作的成果直接影响到等级保护制度的落实及开展。目前等保测评机构在测评项目的开展过程中，会遇到各种各样的因素影响测评项目的实施。为了有效地开展等级保护测评工作，需要在项目实施过程中对其所可能遇到的风险进行管理。本文主要运用风险管理方法，对测评活动中的主要风险进行分析，通过分析在不同阶段面临的风险值，来评价各测评项目阶段主要需要应对的风险内容，并在此基础上面提出了相应的应对措施。

关键词：等级保护；测评；风险管理；

The risk management of Information security level protection assessment

Hu Hao

 

(China Unicom System Integration Limited Corporation, Beijing 100032)

 

Abstract：Assessment is an important part of Information system security level protection, the result directly affect the level protection system and developing the implementation. At present the evaluation institutions would meet various factors which affect assessment project implementation. In order to effectively develop level protection, the possible risk in project implementation process should be  managed. This paper mainly with the application of risk management methods of assessment activities, the main risk analysis in different stages, by analyzing the risks of value, to evaluate the test project phase is needs to deal with risk content, and based on this, it puts forward the corresponding countermeasures.

Key words：Information security level protection ,Assessment, Risk management

 

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。信息安全等级保护测评是等级保护工作的重要环节，信息系统备案单位通过开展等级测评，可以查找自身系统安全隐患和薄弱环节，明确系统与相应等级标准要求的差距和不足，有针对性地进行安全建设整改^[2]。

等级测评工作对于测评机构来说，测评风险是一个非常重要的概念。参考美国风险管理专家C·Arther Williams，Jr Rocjard M Heoms作出的风险定义，即“给定情况下的可能结果的差异性”。也就是说，测评风险就是测评机构通过控制自身测评活动所产生的测评结果差异性^[3]。

而测评结果的差异性将直接影响到信息系统的安全性及等保测评工作的有效性上面，随着等级保护工作的开展，行业主管部门及被测评单位对于测评结果的准确程度及测评过程中的风险控制要求越来越严格。为了持续性的开展等保测评业务，测评项目工作中的风险控制将成为测评机构所面临的重要任务。

根据风险管理的定义：风险是指可能对目标的实现产生影响的事件发生的不确定性。对企业来说，风险是某种不利因素产生并造成实际损失，致使企业目标无法实现或降低实现目标的效率的可能性。风险管理就是采取一定的措施对风险进行检测评价，使风险降到可以接受的程度，并将其控制在某一可以接受的水平上。风险管理是一个系统过程，包括风险的识别、衡量和控制等环节；风险管理的目标在于控制和减少损失，提高有关单位或个人的经济利益或社会效果；风险管理是一种管理方法^[6]。

本文主要运用风险管理方法，对测评活动中的主要风险进行分析，并提出相应的应对措施

等保测评工作存在风险，而测评风险是可以识别的，只有识别出测评风险，才能对风险加以控制和防范。下文对在测评过程中，容易出现的主要风险进行分析。

等级测评是对客户的信息系统进行标准符合性评判，系统信息的采集、评价尤为重要，测评结果的有效性、符合性与一致性直接关系测评机构的服务质量与信誉，关系到测评机构的生存和发展。

在等级测评过程中首先要进行的是信息收集工作，在信息收集的过程中，经常会存在信息收集不完整、信息描述不准确等问题，而不准确的信息将会对测评方案编制工作中测评指标及测评对象的选择带来偏差。而在作业指导书的编制过程及现场测评中，不同工程师对标准要求的理解也会影响到测评工作的有效性和准确性。在报告编制过程中测评师对测评结果的分析是否合理，对于测评结论的有效性也有较大影响。

等级测评工作的结论对于国家等级保护体系及信息安全管理有着相当重要的作用。同时，等级测评的报告对于被测评单位的信息安全管理工作也有着比较重要的影响。因此，等级保护测评报告的公正性是非常重要的，关系到测评机构的信誉。

在测评过程中，测评工程师、测评机构通常会受到市场竞争压力、测评机构自身业务发展压力、被测评机构合同及财务压力等多方面的影响，从而导致测评结论的公正性问题。

等级测评工作，要求测评机构深入了解被测评系统的管理、技术及业务方面的信息。而这些信息大部分涉及到企业或机构的商业、工作秘密。如果测评工作中，测评机构泄漏了检测单位的系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息，将会对检测单位的信息系统带来极大的安全问题。因此，保密性风险的控制，是测评工作能够顺利开展的前提条件。

在测评过程中，资料收集、现场测评记录、编制报告等活动都会使用到被测评单位系统相关信息，在信息的使用和交换过程中多存在着信息泄漏的风险。

测评人员在客户现场实施测评，是等级测评中的主要活动，被测评单位生产现场环境复杂，信息系统在网运行。一旦在现场测评的过程中，发生信息安全问题，将会对被测评方的信息系统带来比较严重的损害，有可能会造成系统中断、数据丢失等。严重的可能带来经济方面的损失。因此，现场测评的安全风险规避是测评机构应当重视和研究的重要问题。