信息安全风险评估和等保测评有啥区别

2019-11-05 15:55:42 万方科技 209

  信息安全风险评估和等保测评都是《网络安全法》中提及网络运营者建设网络安全过程需要用到的网络安全建设现状的一种评估手段。那么在现实中应用,我们该如何把这两种信息安全评估方式用到合适的地方呢?这两者有啥区别呢?

  信息安全风险评估是一种根据需要评估的信息系统,依据一定的信息安全风险评估模型,根据评估的目标制定相关的测评标准,这是便于了解信息系统在这些标准下,能够起到怎样的防御能力,还存在哪些网络安全风险,以及需要采取怎样的风险应急预案的安全评估方式。一般都用于信息系统招标要求、企业内容信息系统上线前测评以及相关上级管理部门要求企业提供相关的网络安全保障能力证明(网络安全现状报告)的应用场景。

  而等级保护测评是针对公安部已经制定的相关等保测评标准来开展的,测评标准、测评项、以及测评结果该如何打分,都已经有相关测评技术标准和管理标准,是统一标准,不是依据被测评单位测评目标而改变的。有测评标准统一,这更方便了公安部门了解社会各界的备案的信息系统网络安全建设情况。对于以后网络安全事件的调查,以及责任归属有一定参考意义。

  等级保护是一项基础性的网络安全建设,很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。

  《网络安全法》规定:网络系统运营使用单位在初步确定网络系统安全保护等级后,对于第二级(含)以上网络系统,在安全保护等级确定后30日内,由其运营使用单位或者主管部门到所在地设区的地市级以上公安机关办理备案手续。

  而《网络安全法》规定,关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

  总得来说,信息安全风险评估的测评标准是不确定,会依据测评目标而改变,而等保测评的测评标准和目标是很明确的,有技术测评标准。风险评估可以进行自测评,但是等保测评一定需要具体当地公安部门认可的第三方测评机构才可以开展。