关键信息基础设施用户单位风险评估解读.pdf

关键信息基础设施用户单位风险评估需求解读 自2017 年6 月1 日网络安全法正式施行至今，针对网络安全法相关的解读层出不穷， 并由此衍生了一些工作事项，其中针对关键信息基础设施（以下简称“CII”）的评估就是一 项广大企业关注的内容，安言咨询特别针对CII 风险评估的要求进行了梳理，具体如下： CII 的提出背景 2016 年 11 月7 日全国人民代表大会常务委员会正式发布《中华人民共和国网络安全 法》（以下简称“网络安全法”），2017 年6 月1 日起施行。网络安全法中首次提出了关CII 的概念，网络安全法的第二节针对CII 的运行安全提出了相关要求。 CII 的定义 网络安全法第三十一条明确定义了可能属于 CII 的相关行业和领域，同时还明确了 CII 遭到破坏、丧失功能或数据泄漏可能产生的影响。 原文条款如下 ： 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行 业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计 民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 针对CII 的风险评估 网络安全法第三十八条明确要求关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估 情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 依据第三十八条的要求，在网络安全法第三十一条中所列的相关行业企业应自行开展风 险评估或委托外部服务机构进行风险评估。 专业建议 安言咨询建议用户可参照ISO31000 标准开展针对CII 的风险评估，具体流程如下： CII 用户单位应当根据网络安全法要求每年对网络的安全性和可能存在的风险开展评估， 具体可参考以下步骤实施：  环境构建 在开展风险评估之前，需要预先定义风险评估的对象（CII ）以及CII 涉及的具体范围， 明确企业内部针对CII 的风险级别划分标准，并确定风险接受准则。 风险接受准则是评价风险重要程度的依据，体现了组织的风险承受度，反映了组织的价 值观、目标和资源。并且直接或间接反映了法律和法规要求或其他需要企业遵循的要求。  风险识别 风险识别是通过识别风险评估对象面临的风险源、影响范围、事件及其原因和潜在的后 果等，生成一个全面的风险列表，该风险列表可以在企业内外部环境没有发生重大变化下持 续用于CII 的风险评估。  风险分析 通过系统地运用相关信息来确认风险的来源，并对风险进行计算。风险分析要考虑导致 风险的原因和风险源、风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性 的因素、不同风险及其风险源的相互关系以及风险的其他特性，还要考虑现有的管理措施及 其效果和效率。  风险评价 风险评价是将计算后风险与已确定的风险准则对比，来决定风险严重性的过程。与组织 确定的风险准则进行对照，以决定风险的水平并确定控制风险的优先顺序。经过风险评价， 确定该风险是可承受还是需进行处理。  风险处置 风险处置方法包括：风险消减、风险回避、风险转移、风险接受和不适用。企业根据风 险的影响程度和业务的实际情况，对确定需要处置的风险所采取一系列控制措施，相关的控 制措施可以是技术方面的，也可以是管理方面的，在完成风险处置措施制定后最终应形成一 份《CII 风险处置计划》，以便后续跟进和验证。