随着网络安全产品、技术的不断发展,越来越多的管理者发现,若想对自己的业务、资产、风险有一个直观清晰的了解,对自己的信息基础设施安全性有一个清晰的认识,最有效的方法便是对整个组织系统做一次全面的风险评估。
笔者认为,聘请外部专业风险评估公司进行对自身的风险评估是比较切实有效的途径。这种公司起初并不清楚用户的系统,因此在评估时不会有偏见,而且它可以从攻击者的角度来全面考察用户信息系统的安全性,可以客观地发现系统漏洞、资产威胁、管理等一系列安全隐患。而用若是采用内部员工进行风险评估,由于对内部流程和操作太过熟悉以至于他们可能很容易地混淆技术风险和运行风险,且出现要么更多的关注业务流程带来的风险,要么过多的关注技术细节带来的风险。总之,专业风险评估公司能够努力屏蔽“不识庐山真面目,只缘身在此山中”的影响,较为容易地找到问题的症结所在。那么,应该选择什么样的外部公司进行风险评估呢?
选择一个专业的安全公司来做风险评估要比选择一款好的安全产品更具挑战性。首先,风险评估不是一个或几个安全产品的概念,其本身是风险管理的过程,它与单纯的安全产品是完全不同的两个概念。其次,专业的风险评估公司则可以完整地了解组织的信息基础设施、业务运行和风险威胁,提供完善的安全评估咨询修补方案,有效地解除或改善用户现有状况存在的和可能产生的风险威胁。而产品供应商本身不需要对用户本身业务系统有多么深入的了解,更不需要承担任何后续信息泄漏的风险,因此,选择外部风险评估公司的时候应该非常谨慎,避免陷入误区。
在选择外部公司做风险评估时必须考虑以下几点:
注重外部公司自身的安全性
很多外部公司都宣称可以提供包括风险评估在内的各种安全服务,不过应该提醒用户的是,应该关注这个公司自身是否足够安全,是否能够具有足够的“生存期”。换句话说,如果用户选择的安全公司在可以预见的一个周期内就会发生变动,那么即使这样的公司具有很好的技术人员和手段,笔者也建议用户在选择的时候要慎重地屏蔽为妙。
了解外部公司的股本结构
随着一系列强化网络安全基础设施建设意见的提出,国家对于风险评估的要求也更加具体和细化。同时,由于风险评估本身所涉及到的都是客户敏感的信息,那么企业在涉及敏感信息时候的表现就很重要,因此国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》可以作为用户另一个重要的参考依据,因为任何安全评估服务的厂商,如果具备涉密集成的资质,说明这个公司在股本结构、外资背景方面是得到国家认可的,用户在选择公司的时候要看清《涉及国家秘密的计算机信息系统集成资质证书》所授予的单位和投标单位是否完全一致。因此,用户所选择的安全公司应该具有清晰的股本结构,应该慎重地选择上市公司或外资介入的风险投资公司,尤其是一些敏感性单位和组织。
看清外部公司在风险评估方面的资质
在中国从事风险评估等安全服务,国家认可的安全资质包括:中国国家信息安全产品测评认证中心颁发的《国家信息安全认证服务资质证书》;国家信息化工作领导小组出具的《计算机网络安全服务A类试点单位证明》;信息产业部互联网应急处理协调办公室授权的《公共互联网应急处理国家级服务试点单位》。从用户自身安全和评估权威性角度来说,用户做自身风险评估所选择的外部公司应该具备以上三个资质。另外,企业良好的信誉和系统集成能力也可以作为选择风险评估厂商的一个重要补充依据,因此相应机构颁发的《ISO9001:2000质量管理体现认证证书》、信息产业部颁发的《计算机信息系统集成X级资质》(笔者建议考虑集成资质在贰级或者以上)都是应该考虑的因素。
听取外部公司业绩和口碑
用户在选择外部公司的时候,应该让所选择的公司出具其在风险评估方面的典型案例和相关证明文件,这样就可以清晰直观地了解到,该公司所具有的经验是否足以承担本组织的风险评估服务。更好的方法则是直接联系该公司以往的客户,听取反馈。
一个好的风险评估公司应该是稳健扎实的,具有良好的管理团队和技术团队,并具有足够的资金保障和良好的信誉。业界也经常出现一些不和谐的因素,例如几家公司共同竞争评估项目时,有的公司为了拿到项目而故意散布一些言论,如竞争对手在以往风险评估项目中给客户留下后门等,散布这种流言的目的无非是为了诋毁竞争对手,但清醒的用户最终会了解事实的真相,而散布流言的公司也会给用户留下不诚信的印象。在此,笔者也呼吁风险评估的市场需要进入公平、公正和有序、和谐的竞争阶段。
