在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。同时，在测评过程中，会使用一些技术测评工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通信造成一定影响甚至伤害。

风险评价是在风险识别的基础上，对测评过程中可能出现的任何事件所带来的后果的分析，以确定该事件发生的概率以及与可能影响测评有效性的潜在的相关后果。测评风险评价可采用风险值法来进行风险评价。风险评价的表达式为：“风险值”R=“风险可能性”Pד风险影响”F， 其中：风险可能性P—它是风险发生可能性大小，是一种主观判断^[4]。

判定步骤可以分为三步。首先，确定风险发生可能性：某风险因素可能引起的风险发生可能性，以高、中、低来标定，分别赋值10、5、1；其次，确定风险影响程度：假定某风险因素引起风险，其风险对测评质量和有效性影响的大小，以高、中、低来标定，分别赋值10、5、1。最后确定风险级别：根据风险发生可能性和风险影响大小的组成矩阵确定风险级别。根据风险矩阵计算记过，风险值分布为100、50、25、10、5、1。其中风险值大于等于50的定义为高风险，大于等于10小于50的定义为中风险，小于10的定义为低风险。

等级保护测评工作一般分为系统信息收集、编制测评方案、现场测评、测评结果分析及测评报告编制等几个阶段。上述风险在不同阶段其风险值有所差异，因此在不同的测评阶段应注意对其阶段主要风险进行防范。

测评风险评价应考虑：政策法规、测评机构的能力和资源、系统特点。根据以上评价方法，我们进行一下简单评价。初步估算上述测评风险的评价如下表。

 

风险管理的基本目标是以最小的经济成本获得最大的安全保障效益，即风险管理就是以最少的费用支出达到最大限度地分散、转移、消除风险，以实现保障人们经济利益和社会稳定的基本目的。这又可以分为以下三种情形：第一，损失发生前的风险管理目标——避免或减少风险事故发生的机会；第二，损失发生中的风险管理目标——控制风险事故的扩大和蔓延，尽可能减少损失；第三，损失发生后的风险管理目标—— 努力使损失的标的恢复到损失前的状态^[5]。

等级测评有效性风险既存在人员风险也存在技术风险，人员风险与测评机构的技术风险是紧密相关的，高素质的人员队伍可以提升机构的技术水平，良好的技术保障平台也可以提高人员的能力。为了有效的应对测评有效性风险，测评机构要加强日常人员培训及技术水平的提高。另一方面，测评工具及测评流程规范化也是应对有效性风险的重要方法之一。规范化可以使得测评步骤、方法更加一致，避免因测评人员个人因素，而导致测评结果的差异性。

为了应对有效性风险，测评单位从项目启动就应开始加强与被测评单位的沟通及交流，尽可能从资料收集阶段就派驻现场测评人员指导被测评单位完成系统信息的收集整理，必要时与被测评单位系统管理人员对系统的情况进行沟通交流，避免由于对系统的不了解而产生的有效性风险。

为防止测评机构的利益影响测评公正性，测评机构的业务范围应不涉及安全产品及安全集成服务；为防止测评工程师影响公正性，应严格执行测评工程师与测评机构签订的公正性声明，测评工程师不得参加与自己经历有关的组织的测评；同时应在组织内部建立测评项目的质量评估体系，对每个项目的测评过程、报告内容及结论进行独立的质量评估，质量评估人员不得参与自己经历有关的项目的评估。

对于测评过程中被测方信息的保密管理。首先测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在及将来的行为。与此同时应加强测评人员的安全保密教育及保密技术手段，在技术手段层面、管理层面共同应对保密性风险。在技术层面上，应为每一位参与测评业务的工程师及管理人员配备专用加密移动存储介质，评测中心应配备专用的用于保存纸质文档的保险柜，为评测中心配备专用的文档服务器用于存储电子文档（该服务器与网络隔离，并放置在安全可靠的物理环境中，服务器中的文档以加密形式保存）。在管理方面，应制定严格的文档保密、数据保密的相关规定。规定应对信息收集阶段、测评实施阶段、报告编制阶段及项目完成后客户信息的保密进行要求。对于测评人员日常工作使用的终端设备，原则上面应做到严格与互联网进行隔离，在条件有限的情况下，也应做到终端上面不存储相关项目信息，使用该终端进行项目工作时应进行断网处理。对于测评人员及项目相关人员的保密 经常抓不懈，避免因思想上面的疏忽而导致信息的泄露。

为了应对实施操作的风险，在测评中进行验证测试和工具测试时，测评机构需要与测评委托单位充分的协调。双方需要对测试方案进行详细的方案评估，测试实施前应有详细的测试计划。测试计划应包括测试目的、测试进度、可能受影响的业务系统、资源需求、操作人员、计划时间、测评操作步骤、应急处理预案等内容。测试计划应得到双方签字确认。测试工作应尽量避免业务高峰期进行，对工具使用过程中可能出现的问题应进行事先通告，取得被测评单位的许可后才能进行测试。上机验证测试原则上应由被测单位人员进行操作，测评人员根据情况提出需要操作的内容，并进行查看和验证，避免由于测评人员对某些专业设备不熟悉造成误操作^[1]。

随着信息安全等级保护测评工作的推广及开展，测评工作的风险管理也就越来越重要。随着环境的变化、时间的推移，测评机构、检测单位及主管部门对测评工作认识的深化和观念的变化，测评机构的风险会不断变化。因此在进行风险管理时，我们也应与时俱进。

 

作者简介：作者简介：胡皓（1974-），性别（汉），湖北省，技术主管/工程师，大学本科，主要研究方向：信息安全管理、安全风险评估、等级保护测评。

参考文献：

[1]□公安部信息安全等级保护评估中心. 信息安全等级保护政策培训教程[M]. 北京：电子工业出版社，2010.6

[2]□陈广勇，张洁昕，郭冠男. 基于等级保护的网络测评实施[J]. 信息安全与通信保密，2010，12：47-48.

[3]□王献新. 国内认证机构面临的认证风险及有效控制[J]. 中国认证认可，2008，3：13-16.

[4]□张东壮. 认证机构的风险管理[J]. 中国水泥，2011，2：81-83.

[5]□吕华. 风险管理在体系认证管理中的应用[J]. 中国认证认可，2010，11：21-24.

[6]□吴艳. 谈企业风险管理与内部控制[J]. 吉林工商学院学报，2010，26（6）：31-33.