对于国内安全评估市场的现状与困惑,的确如《评估:安全市场的一杯黑咖啡》一文中所述,存在着这样那样的不足,也有很多需要改进的地方。但就像国内汽车行业一样,起步时间长,但高速发展期才开始不久,因此对于安全风险评估,市场需要时间来消化。
安全风险评估,尤其是信息安全风险评估,在我们国家刚刚开始进入服务领域,和所有专业服务一样,它都要经过一个“问题提出、技术研究、工作试点、工作完善、技术标准确定、国家政策出台”过程。业内普遍认为,此项服务真正要达到规范化、标准化、制度化、可核查的程度还需要二年的时间。?
需要注意的是,我们国家从两三年前,已经开始引进国外的评估经验,尤其是英国的BS7799标准。正是这项标准,促进了大家对风险评估有了许多新认识。结合相关主管部门和行业技术,我们国家这两年陆续推出几项信息安全国家规定和技术标准,其中都涉及到了风险评估工作,只不过是从不同的角度来描述的。
作为国家信息中心信息安全研究与服务中心本身,目前正在配合国家有关主管部门制定信息安全风险评估的国家标准:《信息安全风险评估指南》和《信息安全风险管理指南》,有望今年上半年出台。
目前相关的标准还包括了:涉密信息系统的管理技术标准、信息系统等级保护技术标准、信息产品评测技术标准等等,加之在评估中引入部分国际标准,其实技术体系已经比较明朗,只是在工作如何使用,如何借鉴问题。
业内人士的看法是,主动学习国外先进的技术和工作经验,有利于我们少走弯路,同时通过我国行业试点以及先期已经做过这方面工作的企业,总结经验,为国家主管部门提供参考依据,有助于这项工作的开展和推进。
另外,针对我国已经有的公安部、安全部的信息安全测评中心,还有各省地区自己的信息安全测评中心,这些中心都开展信息安全系统的评估工作,他们都是第三方测评机构,而且在信息安全的测评、评估方面都是权威机构,也是国家认可的并通过实验室认可的机构。
不过也有用户担心,似乎找这样的机构作评估,好像比找国际会计师事务所作安全审计或是IT厂商做评估更不放心,用户的这种担心并非来自技术,而是来自其他一些方面,如政府部门的服务、效率、责任、隐私保护等,而这确实也代表了现在安全风险评估市场上的一个矛盾。
为此,很多专家建议,风险评估的技术保证来自于标准,安全保证来自于法律。黑咖啡不可怕,浓香醇厚是客人和提供商的目标。为达到这个目标,大家需要标准、需要法律的保证,而这也是众多用户、专家、学者、评测机构的努力目标。
转载地址:http://www.cnw.cn/cnw07/security/TechApp/htm2007/20070313_20463.shtml