网络安全法风险评估如何进行

网络安全风险评估的实施方法

一、网络安全风险管理的地位提升

网络安全风险管理是指在信息系统的全生命周期中进行规划、建设、运行和废弃等阶段的风险管理。根据《网络安全法》第二十六条的规定，进行网络安全认证、检测、风险评估等活动必须具备合法和正当的目的。然而，目前存在一些机构和个人未经授权进行安全检测、漏洞挖掘和披露的行为，这些行为可能对被检测方造成危害，因此所谓的“安全风险评估”反而成为真正的风险点。《网络安全法》明确规定了安全检测、认证和风险评估的法律依据。

此外，《网络安全法》还强调了网络安全风险管理需要依赖科学先进的网络安全标准。中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》要求推动网络安全标准与国家相关法律法规的配套衔接。《网络安全法》中多次提到了安全标准和规范，其中包括“国家标准的强制性要求”，进一步加强了安全标准的地位。因此，网络安全风险管理应该以法律法规为基础，以安全标准为指导，才能发挥其效用。

二、网络安全风险管理的范围扩展

《网络安全法》从总体国家安全观出发，将网络空间主权和国家安全、社会公共利益、公民、法人和其他组织的合法权益纳入保护对象，扩展了网络安全风险管理的适用范围。首先，《网络安全法》进一步强化了关键信息基础设施的保护内容，并明确列出了关键信息基础设施的范围。关键信息基础设施保护是在网络安全等级保护基础上的进一步重点保护，体现了安全风险管理的思想。其次，关键信息基础设施运营者在采购可能影响国家安全的网络产品和服务时，应进行安全审查。这一措施是针对国家安全层面实施安全风险管理的有效举措。

此外，《网络安全法》还对公民个人信息保护提出了具体要求，将个人信息保护纳入到网络产品提供者和服务运营者实施网络安全风险管理的必要内容。因此，《网络安全法》的网络安全风险管理范围进一步扩展到国家关键信息基础设施、公民个人信息等方面，并提出了安全审查等国家层面的治理手段，丰富了内容，扩大了效应。

三、网络安全风险管理的落地将更加扎实

过去的网络安全风险管理经验表明，有时所取得的效果不佳。由于以前国家在网络安全方面的立法不完善，许多企业实施的信息安全管理体系和PDCA管理方式往往只是形式上的，没有形成真正的“闭环”。《网络安全法》明确规定了网络产品提供者和服务运营者的法律责任，通过执法手段迫使其加强安全管理，从而提升网络安全风险管理的效果。

此外，过去的网络安全风险管理主要关注发现脆弱性和改进安全措施，对威胁的控制无计可施，这种方式被动且成本高。《网络安全法》在第六章法律责任中对各类违法行为提出了制裁措施，将被动转为主动，有效震慑威胁源行为，将更多成本转移到威胁源，形成真正的风险管理闭环。因此，实施《网络安全法》将大幅提升网络安全风险管理的效果。

结论

《网络安全法》的出台是我国网络安全领域立法工作的关键一步，具有重大意义。围绕《网络安全法》展开工作，将成为今后网络安全标准制定、安全检测和认证、风险评估、安全审查等网络安全风险管理工作的重中之重。