关于“风险评估是不是作秀”

  前一段信息与网络安全行业的知名网站ChinaCISSP论坛曾经有个议题:风险评估是不是作秀。
  议题的说明:
--------------------------------
辩题:风险评估是不是作秀
  正方观点:是作秀,因为风险评估主观和不确定因素过重,其结果要么被认为是不正确的,要么只是为已有的结论寻找依据而已。
  反方观点:不是作秀,风险评估有科学理论和方法做为基础,是IT风险管理的前提和控制性环节,IT控制措施的选择一定要遵循风险评估的结果。
  解释:上面所说的风险评估不是仅指通过自动化、检查列表或其它人工手段对具体技术系统或应用的缺陷进行检查和评估,而是指包含上述过程在内的,对更大范围(如业务相关或整个部门、机构的)信息资产进行识别、赋值,并对这些资产可能遇到的人为、自然、事故等威胁,以及这些威胁可能利用的资产的物理、管理、技术和规程方面的脆弱性进行识别、判断和分析,以得出相关风险严重程度及其处理方法的建议的一整套评估过程。
--------------------------------
当前阶段:观点辩论
--------------------------------
正方(风险评估是作秀)论点总结:
  1、风险评估方法虽然理论上是正确的,但实际操作中所收集的威胁、脆弱性等风险要素数据都是凭经验判断,针对同样环境和同样的问题不同的评估参与者由于经历不同会提出完全不同的数据,从而造成评估结果有过度的主观色彩和不确定性,不足以做为科学决策的依据;
  2、很多项目中包含风险评估的目的就是为了给已经确定的项目内容寻找依据,在这种先有结论的情况下,评估人员更有可能有意或无意地主观编造风险要素数据,来证明已有的结论,这种风险评估不但无益反而有害;
  3、在当前的情况下,很多组织并非出于自身安全考虑主动进行风险评估,而是迫于外在的强制性规定和要求,所以对风险评估的重要性理解不深,对风险评估的方法也不甚了解的情况下仓促进行,非常容易导致应付敷衍的情况,作秀也就成为难以避免;
反方(风险评估不是作秀)论点总结:
  1、风险评估虽然不是100%严谨的科学体系,但仍然具有重要价值和意义,只要坚持持续改进的管理模式,风险评估对安全工作的指导作用将越来越显著;
  2、风险评估是迫切而现实的管理要求,是促进和改进信息安全工作的重要工具;
  3、风险评估的业务能力不够的评估人员可能作秀,有能力的评估人员所做的风险评估不会是作秀;
  4、有风险评估作秀的情况不是因为风险评估本身有什么问题,是客户没有树立正确、科学的信息安全工作思路;
--------------------------------
  下面是投票的结果:

  可以看到即使是在ChinaCISSP这样有相当高度的安全网站,也依然有18%的人对风险评估不认可,如果放到别的网站估计就更严重,也许结果会倒过来……因为——因为很多本身在做风险评估的安全界人士也在说:风险评估的精髓就是忽悠。“忽悠”,风险评估真的是靠忽悠吗?
  下面是引用自《信息安全风险评估》一书中的一段文字:
——————————————————-
  早在20世纪70年代,美国政府就发布了《自动化数据处理风险评估指南》,其后又颁布了一系列信息系统风险评估的基本政策文件(如《联邦信息资源安全》等),明确提出了信息系统安全风险评估的要求,即联邦政府部门一句信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成的大小,制订、实施信息安全计划,保证信息和信息系统所有的安全。
——————————————————-
  如今,国家大力推行等级保护(在涉密系统中是分级保护),如果没有风险评估,如何评价和确认安全等级?如果等级都无法确认,如何进行等级保护?
  其实,很多安全圈子里面的同仁说风险评估是“忽悠”也不无道理,因为服务对象的安全认识不足,他们压根不理解风险评估,也不认可风险评估,完全是因为政策的压力而在做风险评估和等级保护(特别是分级保护),所以风险评估流于形式也就不难理解了。
  如果真的可以好好做事情,把事情做好,谁愿意“忽悠”客户呢?——毕竟忽悠客户也等于忽悠自己。
  意识,还是意识。网路游侠(https://www.youxia.org)此前曾经写过一段文字, [安全,关键在于意识,而不是产品。] 知识上落后不是大问题,如果意识再落后,特别是有先例在前(如美国的一些安全法案)的情况下,依然再讨论有没有必要进行风险评估,则是真的有大问题了。