安全等级保护测评项目中的风险管理.docVIP

安全等级保护测评项目中的风险管理 胡皓 （，）The risk management of Information security level protection assessment Hu Hao (China Unicom System Integration Limited Corporation, Beijing 100032) Abstract：Assessment is an important part of Information system security level protection, the result directly affect the level protection system and developing the implementation. At present the evaluation institutions would meet various factors which affect assessment project implementation. In order to effectively develop level protection, the possible risk in project implementation process should be managed. This paper mainly with the application of risk management methods of assessment activities, the main risk analysis in different stages, by analyzing the risks of value, to evaluate the test project phase is needs to deal with risk content, and based on this, it puts forward the corresponding countermeasures. Key words：Information security level protection ,Assessment, Risk management 引言 等级测评工作对于测评机构来说，测评风险是一个非常重要的概念。参考美国风险管理专家C·Arther Williams，Jr Rocjard M Heoms作出的风险定义，即“给定情况下的可能结果的差异性”。也就是说，测评风险就是测评机构通过控制自身测评活动所产生的测评结果差异性[3]。 而测评结果的差异性将直接影响到信息系统的安全性及等保测评工作的有效性上面，随着等级保护工作的开展，行业主管部门及被测评单位对于测评结果的准确程度及测评过程中的风险控制要求越来越严格。为了持续性的开展等保测评业务，测评项目工作中的风险控制将成为测评机构所面临的重要任务。 根据风险管理的定义：风险是指可能对目标的实现产生影响的事件发生的不确定性。对企业来说，风险是某种不利因素产生并造成实际损失，致使企业目标无法实现或降低实现目标的效率的可能性。风险管理就是采取一定的措施对风险进行检测评价，使风险降到可以接受的程度，并将其控制在某一可以接受的水平上。风险管理是一个系统过程，包括风险的识别、衡量和控制等环节；风险管理的目标在于控制和减少损失，提高有关单位或个人的经济利益或社会效果；风险管理是一种管理方法[6]。 本文主要运用风险管理方法，对测评活动中的主要风险进行分析，并提出相应的应对措施 测评项目风险识别 等保测评工作存在风险，而测评风险是可以识别的，只有识别出测评风险，才能对风险加以控制和防范。下文对在测评过程中，容易出现的主要风险进行分析。 1.1 有效性风险 等级测评是对客户的信息系统进行标准符合性评判，系统信息的采集、评价尤为重要，测评结果的有效性、符合性与一致性直接关系测评机构的服务质量与信誉，关系到测评机构的生存和发展。 在等级测评过程中首先要进行的是信息收集工作，在信息收集的过程中，经常会存在信息收集不完整、信息描述不准确等问题，而不准确的信息将会对测评方案编制工作中测评指标及测评对象的选择带来偏差。而在作业指导书的编制过程及现场测评中，不同工程师对标准要求的理解也会影响到测评工作的有效性和准确性。在报告编制过程中测评师对测评结果的分析是否合理，对于测评结论的有效性也有较大影响。 1.2公正性风险 等级测评工作的结论对于国家等级保护体系及信息安全管理有着相当重要的作用。同时，等级测评的报告对于被测评单位的信息安全管理工作也有着比较重要的影响。因此，等级保护测评报告的公正性是非常重要的，关系到测评机构的信誉。