關(guān)鍵信息基礎(chǔ)設(shè)施用戶單位風險評估服務(wù)

來源：    發(fā)布日期：2017.08.18   點擊量：

    自2017年6月1日網(wǎng)絡(luò)安全法正式施行至今，針對網(wǎng)絡(luò)安全法相關(guān)的解讀層出不窮，并由此衍生了一些工作事項，其中針對關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱“CII”）的評估就是一項廣大企業(yè)關(guān)注的內(nèi)容，安言咨詢特別針對CII風險評估的要求進行了梳理，具體如下：

CII的提出背景

    2016年11月7日全國人民代表大會常務(wù)委員會正式發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)絡(luò)安全法”），2017年6月1日起施行。網(wǎng)絡(luò)安全法中首次提出了關(guān)CII的概念，網(wǎng)絡(luò)安全法的第二節(jié)針對CII的運行安全提出了相關(guān)要求。

CII的定義

    網(wǎng)絡(luò)安全法第三十一條明確定義了可能屬于CII的相關(guān)行業(yè)和領(lǐng)域，同時還明確了CII遭到破壞、喪失功能或數(shù)據(jù)泄漏可能產(chǎn)生的影響。

原文條款如下：

    國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。

針對CII的風險評估

    網(wǎng)絡(luò)安全法第三十八條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。

    依據(jù)第三十八條的要求，在網(wǎng)絡(luò)安全法第三十一條中所列的相關(guān)行業(yè)企業(yè)應自行開展風險評估或委托外部服務(wù)機構(gòu)進行風險評估。

專業(yè)建議

    安言咨詢建議用戶可參照ISO31000標準開展針對CII的風險評估，具體流程如下：

    CII用戶單位應當根據(jù)網(wǎng)絡(luò)安全法要求每年對網(wǎng)絡(luò)的安全性和可能存在的風險開展評估，具體可參考以下步驟實施：

環(huán)境構(gòu)建

    在開展風險評估之前，需要預先定義風險評估的對象（CII）以及CII涉及的具體范圍，明確企業(yè)內(nèi)部針對CII的風險級別劃分標準，并確定風險接受準則。

    風險接受準則是評價風險重要程度的依據(jù)，體現(xiàn)了組織的風險承受度，反映了組織的價值觀、目標和資源。并且直接或間接反映了法律和法規(guī)要求或其他需要企業(yè)遵循的要求。

風險識別

    風險識別是通過識別風險評估對象面臨的風險源、影響范圍、事件及其原因和潛在的后果等，生成一個全面的風險列表，該風險列表可以在企業(yè)內(nèi)外部環(huán)境沒有發(fā)生重大變化下持續(xù)用于CII的風險評估。

風險分析

    通過系統(tǒng)地運用相關(guān)信息來確認風險的來源，并對風險進行計算。風險分析要考慮導致風險的原因和風險源、風險事件的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的因素、不同風險及其風險源的相互關(guān)系以及風險的其他特性，還要考慮現(xiàn)有的管理措施及其效果和效率。

風險評價

    風險評價是將計算后風險與已確定的風險準則對比，來決定風險嚴重性的過程。與組織確定的風險準則進行對照，以決定風險的水平并確定控制風險的優(yōu)先順序。經(jīng)過風險評價，確定該風險是可承受還是需進行處理。

風險處置

    風險處置方法包括：風險消減、風險回避、風險轉(zhuǎn)移、風險接受和不適用。企業(yè)根據(jù)風險的影響程度和業(yè)務(wù)的實際情況，對確定需要處置的風險所采取一系列控制措施，相關(guān)的控制措施可以是技術(shù)方面的，也可以是管理方面的，在完成風險處置措施制定后最終應形成一份《CII風險處置計劃》，以便后續(xù)跟進和驗證。

相關(guān)客戶案例：