浅析国内信息安全风险评估市场

对于国内安全评估市场的现状与困惑，的确如《评估：安全市场的一杯黑咖啡》一文中所述，存在着这样那样的不足，也有很多需要改进的地方。但就像国内汽车行业一样，起步时间长，但高速发展期才开始不久，因此对于安全风险评估，市场需要时间来消化。

安全风险评估，尤其是信息安全风险评估，在我们国家刚刚开始进入服务领域，和所有专业服务一样，它都要经过一个“问题提出、技术研究、工作试点、工作完善、技术标准确定、国家政策出台”过程。业内普遍认为，此项服务真正要达到规范化、标准化、制度化、可核查的程度还需要二年的时间。?

需要注意的是，我们国家从两三年前，已经开始引进国外的评估经验，尤其是英国的BS7799标准。正是这项标准，促进了大家对风险评估有了许多新认识。结合相关主管部门和行业技术，我们国家这两年陆续推出几项信息安全国家规定和技术标准，其中都涉及到了风险评估工作，只不过是从不同的角度来描述的。

作为国家信息中心信息安全研究与服务中心本身，目前正在配合国家有关主管部门制定信息安全风险评估的国家标准：《信息安全风险评估指南》和《信息安全风险管理指南》，有望今年上半年出台。

目前相关的标准还包括了：涉密信息系统的管理技术标准、信息系统等级保护技术标准、信息产品评测技术标准等等，加之在评估中引入部分国际标准，其实技术体系已经比较明朗，只是在工作如何使用，如何借鉴问题。

业内人士的看法是，主动学习国外先进的技术和工作经验，有利于我们少走弯路，同时通过我国行业试点以及先期已经做过这方面工作的企业，总结经验，为国家主管部门提供参考依据，有助于这项工作的开展和推进。

另外，针对我国已经有的公安部、安全部的信息安全测评中心，还有各省地区自己的信息安全测评中心，这些中心都开展信息安全系统的评估工作，他们都是第三方测评机构，而且在信息安全的测评、评估方面都是权威机构，也是国家认可的并通过实验室认可的机构。

不过也有用户担心，似乎找这样的机构作评估，好像比找国际会计师事务所作安全审计或是IT厂商做评估更不放心，用户的这种担心并非来自技术，而是来自其他一些方面，如政府部门的服务、效率、责任、隐私保护等，而这确实也代表了现在安全风险评估市场上的一个矛盾。

为此，很多专家建议，风险评估的技术保证来自于标准，安全保证来自于法律。黑咖啡不可怕，浓香醇厚是客人和提供商的目标。为达到这个目标，大家需要标准、需要法律的保证，而这也是众多用户、专家、学者、评测机构的努力目标。

转载地址：http://www.cnw.cn/cnw07/security/TechApp/htm2007/20070313_20463.shtml

（编辑：ASP站长网）