|
|
|
|
|
|
來源: 發布日期:2017.08.18 點擊量:
自2017年6月1日網絡安全法正式施行至今,針對網絡安全法相關的解讀層出不窮,并由此衍生了一些工作事項,其中針對關鍵信息基礎設施(以下簡稱“CII”)的評估就是一項廣大企業關注的內容,安言咨詢特別針對CII風險評估的要求進行了梳理,具體如下:
CII的提出背景
2016年11月7日全國人民代表大會常務委員會正式發布《中華人民共和國網絡安全法》(以下簡稱“網絡安全法”),2017年6月1日起施行。網絡安全法中首次提出了關CII的概念,網絡安全法的第二節針對CII的運行安全提出了相關要求。
CII的定義
網絡安全法第三十一條明確定義了可能屬于CII的相關行業和領域,同時還明確了CII遭到破壞、喪失功能或數據泄漏可能產生的影響。
原文條款如下:
國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
針對CII的風險評估
網絡安全法第三十八條明確要求關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
依據第三十八條的要求,在網絡安全法第三十一條中所列的相關行業企業應自行開展風險評估或委托外部服務機構進行風險評估。
專業建議
安言咨詢建議用戶可參照ISO31000標準開展針對CII的風險評估,具體流程如下:
CII用戶單位應當根據網絡安全法要求每年對網絡的安全性和可能存在的風險開展評估,具體可參考以下步驟實施:
環境構建
在開展風險評估之前,需要預先定義風險評估的對象(CII)以及CII涉及的具體范圍,明確企業內部針對CII的風險級別劃分標準,并確定風險接受準則。
風險接受準則是評價風險重要程度的依據,體現了組織的風險承受度,反映了組織的價值觀、目標和資源。并且直接或間接反映了法律和法規要求或其他需要企業遵循的要求。
風險識別
風險識別是通過識別風險評估對象面臨的風險源、影響范圍、事件及其原因和潛在的后果等,生成一個全面的風險列表,該風險列表可以在企業內外部環境沒有發生重大變化下持續用于CII的風險評估。
風險分析
通過系統地運用相關信息來確認風險的來源,并對風險進行計算。風險分析要考慮導致風險的原因和風險源、風險事件的正面和負面的后果及其發生的可能性、影響后果和可能性的因素、不同風險及其風險源的相互關系以及風險的其他特性,還要考慮現有的管理措施及其效果和效率。
風險評價
風險評價是將計算后風險與已確定的風險準則對比,來決定風險嚴重性的過程。與組織確定的風險準則進行對照,以決定風險的水平并確定控制風險的優先順序。經過風險評價,確定該風險是可承受還是需進行處理。
風險處置
風險處置方法包括:風險消減、風險回避、風險轉移、風險接受和不適用。企業根據風險的影響程度和業務的實際情況,對確定需要處置的風險所采取一系列控制措施,相關的控制措施可以是技術方面的,也可以是管理方面的,在完成風險處置措施制定后最終應形成一份《CII風險處置計劃》,以便后續跟進和驗證。
相關客戶案例: