摘?要：信息系統安全等級測評是等保工作的重要環節，等保測評工作的成果直接影響到等級保護制度的落實及開展。目前等保測評機構在測評項目的開展過程中，會遇到各種各樣的因素影響測評項目的實施。為了有效地開展等級保護測評工作，需要在項目實施過程中對其所可能遇到的風險進行管理。本文主要運用風險管理方法，對測評活動中的主要風險進行分析，通過分析在不同階段面臨的風險值，來評價各測評項目階段主要需要應對的風險內容，并在此基礎上面提出了相應的應對措施。

關鍵詞：等級保護；測評；風險管理；

The risk management of Information security level protection assessment

Hu Hao

?

(China Unicom System Integration Limited Corporation, Beijing 100032)

?

Abstract：Assessment is an important part of Information system security level protection, the result directly affect the level protection system and developing the implementation. At present the evaluation institutions would meet various factors which affect assessment project implementation. In order to effectively develop level protection, the possible risk in project implementation process should be ?managed. This paper mainly with the application of risk management methods of assessment activities, the main risk analysis in different stages, by analyzing the risks of value, to evaluate the test project phase is needs to deal with risk content, and based on this, it puts forward the corresponding countermeasures.

Key words：Information security level protection ,Assessment, Risk management

?

信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。信息安全等級保護測評是等級保護工作的重要環節，信息系統備案單位通過開展等級測評，可以查找自身系統安全隱患和薄弱環節，明確系統與相應等級標準要求的差距和不足，有針對性地進行安全建設整改^[2]。

等級測評工作對于測評機構來說，測評風險是一個非常重要的概念。參考美國風險管理專家C·Arther Williams，Jr Rocjard M Heoms作出的風險定義，即“給定情況下的可能結果的差異性”。也就是說，測評風險就是測評機構通過控制自身測評活動所產生的測評結果差異性^[3]。

而測評結果的差異性將直接影響到信息系統的安全性及等保測評工作的有效性上面，隨著等級保護工作的開展，行業主管部門及被測評單位對于測評結果的準確程度及測評過程中的風險控制要求越來越嚴格。為了持續性的開展等保測評業務，測評項目工作中的風險控制將成為測評機構所面臨的重要任務。

根據風險管理的定義：風險是指可能對目標的實現產生影響的事件發生的不確定性。對企業來說，風險是某種不利因素產生并造成實際損失，致使企業目標無法實現或降低實現目標的效率的可能性。風險管理就是采取一定的措施對風險進行檢測評價，使風險降到可以接受的程度，并將其控制在某一可以接受的水平上。風險管理是一個系統過程，包括風險的識別、衡量和控制等環節；風險管理的目標在于控制和減少損失，提高有關單位或個人的經濟利益或社會效果；風險管理是一種管理方法^[6]。

本文主要運用風險管理方法，對測評活動中的主要風險進行分析，并提出相應的應對措施

等保測評工作存在風險，而測評風險是可以識別的，只有識別出測評風險，才能對風險加以控制和防范。下文對在測評過程中，容易出現的主要風險進行分析。

等級測評是對客戶的信息系統進行標準符合性評判，系統信息的采集、評價尤為重要，測評結果的有效性、符合性與一致性直接關系測評機構的服務質量與信譽，關系到測評機構的生存和發展。

在等級測評過程中首先要進行的是信息收集工作，在信息收集的過程中，經常會存在信息收集不完整、信息描述不準確等問題，而不準確的信息將會對測評方案編制工作中測評指標及測評對象的選擇帶來偏差。而在作業指導書的編制過程及現場測評中，不同工程師對標準要求的理解也會影響到測評工作的有效性和準確性。在報告編制過程中測評師對測評結果的分析是否合理，對于測評結論的有效性也有較大影響。

等級測評工作的結論對于國家等級保護體系及信息安全管理有著相當重要的作用。同時，等級測評的報告對于被測評單位的信息安全管理工作也有著比較重要的影響。因此，等級保護測評報告的公正性是非常重要的，關系到測評機構的信譽。

在測評過程中，測評工程師、測評機構通常會受到市場競爭壓力、測評機構自身業務發展壓力、被測評機構合同及財務壓力等多方面的影響，從而導致測評結論的公正性問題。

等級測評工作，要求測評機構深入了解被測評系統的管理、技術及業務方面的信息。而這些信息大部分涉及到企業或機構的商業、工作秘密。如果測評工作中，測評機構泄漏了檢測單位的系統狀態信息，如網絡拓撲、IP地址、業務流程、安全機制、安全隱患和有關文檔信息，將會對檢測單位的信息系統帶來極大的安全問題。因此，保密性風險的控制，是測評工作能夠順利開展的前提條件。

在測評過程中，資料收集、現場測評記錄、編制報告等活動都會使用到被測評單位系統相關信息，在信息的使用和交換過程中多存在著信息泄漏的風險。

測評人員在客戶現場實施測評，是等級測評中的主要活動，被測評單位生產現場環境復雜，信息系統在網運行。一旦在現場測評的過程中，發生信息安全問題，將會對被測評方的信息系統帶來比較嚴重的損害，有可能會造成系統中斷、數據丟失等。嚴重的可能帶來經濟方面的損失。因此，現場測評的安全風險規避是測評機構應當重視和研究的重要問題。