​

随着安全内涵的不断扩充和发展，风险评估作为安全管理的重点，内容以及方法都与时俱进的得到了发展和丰富，本文将介绍新形势下风险评估的特点和实践心得，以供参考。

一、新形势下安全风险评估特点

首先是内外部形势和要求的变化，导致风险评估有了以下几方面的拓展。

1.1安全风险评估依据的拓展

首先是风险评估标准的拓展，一是传统的评估标准有了更新和升标，如GB/T20984 信息安全风险评估方法，GB/T31722/ISO/IEC27005 信息安全风险管理等。二是监管的检查通知和治理行动，会有自查自评的要求，如公安部门网络安全监督检查自查要求，APP治理行动以及发布的《关于开展APP违法违规收集使用个人信息专项治理的公告》《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》等一系列文件。三是新出台的法律法规也对评估工作和评估内容做了要求，如《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《互联网信息服务算法推荐管理规定》《网络安全审查办法》《汽车数据安全管理若干规定（试行）》等。四是安全事件也会拓展评估依据，如安全新闻、事件、通报、罚款等所提及的漏洞和违规项等。

1.2 安全风险评估对象的拓展

安全评估的对象，除了主机、网络、系统等传统资产，也加入的其他维度的对象。如产品维度方面，有APP的隐私合规评估；业务活动维度方面，有数据安全评估，个人信息保护影响评估等；而在组织或单位层面，会有合规评估，体系评估，管理评估。

1.3 安全风险评估理念的拓展

传统的安全风险评估专注于信息安全三要素，即保密性、完整性、可用性。而随着评估对象的拓展，评估的理念和角度也有丰富。如从数据生命周期角度，注重数据的收集、存储、使用、传输、共享、销毁等环节风险；从个人信息处理角度，注重个人权益影响的PIA或个人信息保护影响评估；从科技伦理，如针对算法的价值观导向，自动化决策，以及对用户权益影响，遵从公平公正原则的评估。

1.4 安全风险评估需求的拓展

以往安全评估主要是安全部门发起和主导，但现在越来越多评估需求由非安全部门发起。一是来自内部其他部门来源的评估需求，二是合作方要求的安全评估，如数据共享、供应链安全等评估；三是针对特定风险的评估，如某些安全事件的内部复盘；四是合规评估需求占比显著提升，特别是在数据处理和个人信息保护方面。

二、风险评估组织和实践

针对新的评估需求，在实践中探索的主要终点包括评估工作组织和风险管理决策。针对风险评估组织流程，笔者认为主要分为四个阶段。一是分析评估任务，明确评估目的，评估对象，评估依据等；二是准备评估资源，确定评估人员，评估工具，评估时间（周期）；三是评估实施，主要考虑灵活流程过程，对评估处置和阶段对象的灵活调整；四是风险管理，包括风险评价，风险决策等。

2.1 分析评估任务

在评估的开始，要了解风险评估需求，是由那类部门单位提出的需求，他们重点关注的是哪类风险，从而确定风险评估对象的范围和特点。针对评估对象和关注风险，来选取合适风险评估依据。

2.2 评估资源的准备

首先是评估团队组建，团队和人员选取要契合风险评估任务，强化风险责任概念。评估实施人员主要是信息安全人员（技术域），法务人员，产品人员等。此外评估配合人员也十分重要，应当选取熟悉评估对象的人员，以及会对风险负责和决策的人员。

其次评估工具准备方面，可以针对评估需求选取自动化的评估工具或产品、定制化的评估工具（表格）。在成熟的领域和评估中，可以更多的利用自动化工具或者成熟方案。而在新兴领域中，准备评估工具，制定评估方案也是评估工作的重要组成部分，如合规评估中需要先把法规解读成评估要求和评估项。

最后是评估时间的确定。时间也是评估的重要资源之一，会影响到评估周期，检测、访谈、反馈、整改的频率。在有限时间内尽量发现重点风险，是普遍遵从的原则。

2.3 评估工作实施

在确定任务，完成资源方案准备后，就是评估的实施阶段。实施过程管理可以参考项目管理，不再赘述。此外，可以根据评估类型和周期适当调整评估阶段，如内部评估中风险整改可以随时发现随时改进，不必依赖评估阶段的结束。

2.4 ）风险管理

最终评估结论会用于风险管理，主要包括安全风险评价和安全风险决策。安全风险评价除了依照风险评估依据评价外，还可以参考已发生的安全事件（内外部皆可）。安全风险决策方面，主要是由评估实施人员提出建议，由评估对象负责人来进行决策，无法达成统一意见时考虑上升决策。

三、风险评估闭环及决策

评估工作是为风险管理服务的，而安全管理的本质也是对风险的管理，所以走好最后一公里，必须要考虑风险评估的闭环和管理决策。

3.1 风险评估闭环

针对简单的评估结果应用，可以采取有什么改什么、缺什么补什么的方式，补充技术措施、管理制度、安全流程等。而针对复杂环境下决策，可以遵从适度保护的原则，衡量资源依赖程度，参考中长期技术路线来决策。

此外，还应该对风险进行持续监测，包括对风险整改结果的追踪，对风险原因的深度发掘，从而促进安全水平的改进。最后，要考虑新的评估方法流程的优化及固化，找到灵活化与流程化的平衡点，避免评估工作过于依赖特定人员水平，加入自动化与半自动化评估方法的结合，提升评估资源利用率。

3.2 动态外部环境影响风险处置决策

在风险决策时，应该充分考虑外部环境的变化，在安全形势和监管要求愈发严格的今天，有的因素会直接影响决策结果。

外部环境主要考虑以下三个方面，一是新法新规的修订与制定，特别是网络安全法、数据安全法、个人信息保护法三大基础法律发布实施后，持续会制定部门规章、行业规定和落地标准，需要持续追踪；二是监管通报和检查要求的更新，特别是网络安全事件、APP违法违规通报中新提到的问题和每年检查通知中新加入的要求；三是外部事件推动决策调整，外部实际发生的安全事件和损失是非常宝贵也非常有说服力的重要参考，对管理层进行风险决策有重要意义。