)
一、网络安全风险评估 前期准备全指南
网络安全风险评估的前期准备是评估工作落地的核心前提,直接决定评估过程的效率、评估结果的精准度和可落地性,核心目标是明确评估边界、统一评估标准、整合资源与信息、规避评估实施中的各类障碍,为后续的资产识别、威胁分析、脆弱性扫描、风险计算等核心环节打好基础。
本指南围绕标准化风险评估流程(含等保 2.0、ISO 27005、NIST SP 800-30)设计,覆盖组织准备、信息准备、工具与环境准备、制度与标准准备四大核心维度,同时包含中小企业轻量化准备方案,适配政企、金融、互联网、制造业等不同行业的评估需求。
二、组织准备:搭建权责清晰的评估团队,明确协作机制
风险评估并非安全部门单独的工作,需业务、IT、运维、法务、行政等多部门协同,组织准备的核心是明确 “谁来做、谁负责、谁配合”,避免评估过程中出现资源推诿、信息不配合、业务中断等问题。
1. 成立评估专项小组(核心)
按角色划分职责,确保每个环节有专人对接,小组分为决策层、执行层、配合层,适配企业规模灵活调整:
| 角色 | 组成人员 | 核心职责 |
|---|---|---|
| 评估负责人 | 企业安全负责人 / CIO/CTO | 审批评估方案、协调跨部门资源、决策评估中的重大问题、审核评估结果 |
| 执行团队 | 安全工程师 / 外部评估专家 | 制定评估细则、开展资产识别 / 扫描 / 分析、编写评估报告、提出风险整改建议 |
| 业务配合组 | 各业务线负责人 / 核心员工 | 提供业务流程、核心业务系统信息、业务数据分类、业务连续性要求 |
| IT / 运维组 | 网络 / 服务器 / 数据库管理员 | 提供 IT 架构、设备清单、配置信息、权限体系、运维流程、日志数据 |
| 法务 / 合规组 | 法务 / 合规专员 | 明确企业合规要求(等保、GDPR、PCI DSS 等)、界定合规性风险边界 |
| 后勤保障组 | 行政 / 运维支持人员 | 提供评估场地、设备、网络权限,配合开展现场评估,保障评估过程不中断业务 |
2. 明确评估合作模式
根据企业自身安全能力,选择自主评估、第三方评估、联合评估,不同模式的准备重点不同:
- 自主评估:需确认内部团队具备评估能力,提前组织人员学习评估标准(如 ISO 27005)、工具使用;
- 第三方评估:需完成第三方机构筛选(资质、行业经验、保密协议)、评估范围确认、需求交底;
- 联合评估:需明确内外部团队的职责划分,制定沟通机制,统一评估标准和方法。
3. 制定跨部门协作规则
- 明确信息提供时限:要求各部门在指定时间内提交所需资料,避免评估延期;
- 建立日常沟通机制:如每日短会同步进度、问题群实时反馈,及时解决协作中的障碍;
- 界定业务中断红线:明确评估过程中禁止操作的范围(如生产系统禁止全量扫描),避免影响核心业务。
4. 签订保密与责任协议
针对评估过程中接触的企业核心数据(如业务架构、敏感数据、安全漏洞),与评估团队成员、第三方机构签订保密协议,明确数据保密要求、泄露责任;同时制定评估工作责任制度,避免评估过程中的人为失误。
三、信息准备:全面收集评估相关资料,明确评估边界
信息准备是风险评估的基础核心,简单来说就是 “搞清楚企业的网络安全基本盘”——有什么资产、网络怎么连、业务怎么跑、有什么合规要求、目前有什么安全措施,收集的信息越全面,后续的资产识别和风险分析就越精准。
1. 核心信息分类及收集要求
按企业基础信息、IT 架构信息、业务信息、安全现状信息、合规要求信息五大类收集,所有信息需标准化整理、专人归档、动态核对,避免信息缺失或错误:
(1)企业基础信息
- 企业组织架构、各部门职责;
- 企业经营业务范围、核心业务板块、业务发展规划;
- 企业重要场所分布(总部、分公司、机房、远程办公点)。
(2)IT 架构全量信息(最核心)
这是收集工作量最大的部分,需覆盖网络、硬件、软件、数据、权限全维度,建议按 “物理层 - 网络层 - 系统层 - 应用层 - 数据层” 梳理:
- 物理环境:机房位置、机房建设标准(如温湿度、防雷、供电)、机柜布局、物理访问控制措施;
- 网络架构:网络拓扑图(核心交换机、路由器、防火墙、IDS/IPS 等设备部署位置)、网段划分、公网 IP 段、VPN / 专线配置、无线局域网(WLAN)部署;
- 硬件资产:服务器、交换机、路由器、防火墙、终端设备、存储设备、物联网设备(IoT)、工业控制设备(ICS)等的清单(含型号、版本、部署位置、责任人);
- 系统资产:服务器操作系统(Windows/Linux/Unix)、终端操作系统、虚拟化平台(VMware/K8s)、云平台(阿里云 / 腾讯云 / AWS)的版本、配置、部署信息;
- 应用资产:自研应用、商用软件、SaaS 应用(如钉钉 / 企业微信 / CRM)的清单(含版本、开发语言、部署位置、业务功能、负责人)、应用架构图、接口文档;
- 数据资产:核心数据的分类(如客户隐私、财务数据、商业机密、业务数据)、存储位置(数据库、文件服务器、云存储)、数据流转流程、数据备份策略;
- 权限体系:账号权限管理规则(如域控、IAM)、管理员账号清单、权限分配流程、跨部门权限配置、远程访问权限规则。
(3)业务核心信息
- 核心业务流程(如金融行业的交易流程、电商行业的下单支付流程);
- 核心业务系统的运行要求(如 7×24 小时不间断、响应时间要求);
- 业务连续性计划(BCP)、灾难恢复(DR)方案;
- 业务系统之间的依赖关系(如电商系统依赖支付系统、物流系统)。
(4)安全现状信息
- 现有安全防护体系:已部署的安全产品(防火墙、DLP、EDR、SIEM、加密、漏洞扫描等)的部署位置、配置规则、运行状态;
- 现有安全管理制度:安全策略、账号密码管理、漏洞管理、应急响应、数据安全、员工安全培训等制度文件;
- 历史安全事件:过往发生的网络攻击、漏洞泄露、数据泄露等事件的记录、处理过程、整改结果;
- 现有安全操作流程:漏洞扫描、补丁更新、日志审计、应急处置、权限变更等操作的具体流程;
- 员工安全意识:安全培训记录、员工安全考核结果。
(5)合规要求信息
- 企业需满足的法定合规要求:如等保 2.0(等级保护定级)、网络安全法、数据安全法、个人信息保护法;
- 行业专属合规要求:如金融行业的 PCI DSS、银保监会要求,医疗行业的 HIPAA、卫健委要求,跨境企业的 GDPR;
- 企业内部合规要求:如企业自身的安全管理制度、客户合作中的安全要求。
