等保测评认证网络安全风险评估怎么做

《信息安全技术 信息安全风险评估方法》（GB/T 20984—2022）将于2022年11月1日正式实施。作为我国信息安全领域的基础性标准，该标准自发布以来，有效指导了我国信息安全风险评估工作的开展。企业在各种条件下经常遇到风险评估的要求，那么风险评估为什么重要？对企业又有什么意义？

信息安全风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。

企业可以通过梳理自身的IT资产，来识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性严重程度、以及安全控制措施的有效性等要素。通过风险评估工作，对重要信息系统所面临的信息安全风险进行识别和定性评估，根据评估结果，企业可以更有针对性的进行风险管控，对企业网络安全薄弱点进行安全建设和加固，更有效的提升企业网络安全防护能力。

因此企业进行风险评估是非常有意义的：

1）企业可以清晰的了解自身网络安全状况，进行查漏补缺降低风险；

2）在了解企业安全状况后，可以更高效的进行企业安全整体规划与建设，提升安全防护能力；

3）定期进行风险评估可以满足企业安全合规的需求，有利于业务发展；

4）提升企业内部人员安全意识，没有发生严重安全事件并不代表企业网络安全没有问题。

风险评估的相关政策

（GB/T 20984—2022）

明确风险评估工作要求

标准明确了当下国家对信息安全风险评估工作的要求，提出了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式，适用于指导各类组织开展信息安全风险评估工作。

标准实施意义

标准形成的信息安全风险评估方法，为国家网络安全主管部门、各重要行业网络安全保障单位、第三方网络安全检查评估机构提供开展网络安全检查评估工作的技术标准和依据。

加强对网络安全风险的分析评估

十七条 国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

重要数据需定期开展风险评估

三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

关键基础设施每年至少一次风险评估

十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

通信网络定期进行风险评估

十二条 通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：

（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；

（二）二级通信网络单元应当每两年进行一次安全风险评估。

重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。

通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。