GB/T28449-2018：网络安全等级保护测评中安全问题风险评估与等级划分

在《信息安全技术-网络安全等级保护测评过程指南》（GB/T28449—2018）中，第6.2节详细阐述了安全问题风险评估的重要性和实施方法。该章节遵循信息安全标准规范，通过风险分析来评估可能对信息系统及其相关单位、社会乃至国家安全产生的危害。首先，针对等级测评的结果，对存在的所有安全问题进行全面分析，包括关联的资产和威胁，以确定其可能造成最大安全危害（损失）。这个评估过程着重考虑因素如业务重要性、系统组件的重要性、问题严重程度以及安全事件影响范围等因素。 具体来说，评估会创建一个信息系统安全问题风险分析表，如表6-2所示。该表列出了问题编号、涉及的安全层面、问题描述、关联资产和威胁，以及根据危害分析得出的风险等级。例如，如果一个问题与多个资产相关联，需要分别记录；对于同一问题关联不同威胁的情况，也要分开记录，以便全面理解风险来源。 风险等级被划分为“高”、“中”和“低”，这基于对潜在风险的严重程度的判断。通过这种方法，测评人员能够明确了解哪些问题是首要关注的，并制定相应的安全策略和措施来降低这些风险。 测评准备活动是整个风险评估过程中的关键环节，它包括明确工作流程、确定主要任务、产出必要的文档等。测评准备阶段的工作旨在确保测评的顺利进行和结果的准确性。例如，准备工作流程可能包括确定测评目标、收集资产信息、识别威胁和脆弱性、制定测试计划等步骤。输出的文档可能包括风险评估报告、资产清单和应对策略等。 这个章节提供了关于如何在等保测评中系统地进行安全问题风险评估的方法论，强调了风险识别、评估和管理在整个等级保护框架中的核心地位，确保信息系统的安全防护达到预期的标准。通过遵循这一指南，组织可以更好地保护自身的信息资产，抵御来自内外部的威胁，提升整体的信息安全保障能力。