审计,测评与评估
在为客户做安全咨询类服务时,经常会碰到的三个名词就是测评,审计以及安全风险评估。这三者之间有什么联系,又有什么区别呢?别说客户,连我们做安全的,也有点迷糊。
在这里,谈谈我的看法,抛砖引玉。
这三者之间,测评与审计的概念比较接近,我们先来讨论一下。
测评与审计都可以算是合规性的检测,有规范的标准与完整的操作流程进行支撑,有正规的机构执行。它们之间的区别只是在于遵循不同的标准,由不同的机构来执行,国内与国外的叫法习惯不同而已(国内喜欢叫测评,国外一般叫审计)。
举几个例子比较容易理解:
等级保护测评:遵循的的标准是等级保护基本要求,操作流程是定级要求,测评要求,实施指南等等。主管与监督机构是四部委,而具体的执行机构在上海市三家:上海信息安全测评认证中心,交大安全实验室,公安部三所。
内控审计:遵循的标准是sox(萨班斯)法案,操作流程是cobit的IT治理框架。一般的执行机构是一些具有公信力的第三方审计机构,如德勤啊什么的
27001审计:遵循的标准是iso 27001,操作或实施流程是iso 27002,执行机构是dnv之类。
从上面的例子可以看到,测评与审计,不管是理论还是真正的实施,都是比较成熟规范的,其结果也比较有公信力。企业与政府机构也往往把通过27001,等级保护等当成一项任务来做。
既然测评与审计的体系已经很完善了,那为什么还需要安全风险评估呢?
我的理解是这样的,测评与审计是一种合规性的检测,是在大量的实践的基础上,总结出一套最佳实践,测评与审计的目的就是验证企业是不是按照这套实践去做了,因为只需要进行合规性检测,所以也更容易标准化,更容易推广。
这样看起来,似乎一切都很完美,但是且慢,仔细想想,会发现在这里我们有个假设的前提:只要按照最佳实践来做,就可以保证安全。但是
1.这套”最佳实践”不是真的就是最佳的实践呢?
2.针对不同企业的实际情况,是不是一定能符合情况呢?
3.是不是按照最佳实践来做了,就不会出问题呢?
4.某些行业并没有这些最佳实践呢?
而风险评估正是为了解决这些问题,或者是说作为补充。风险评估是通过对资产,威胁以及弱点的识别,最后得到存在的风险。
在风险评估中,可以使用多种手段,去发现问题,这些手段应该包括但不限于审计与测评,在使用的时候也可以更灵活。比如审计时发现你有某条不符合标准,从审计的角度来说就是不合格的,应该需要整改。但从风险评估的角度来看,还需要进一步评估是不是由于这条的不符合标准会带来风险,这个风险究竟有多大(结合资产价值,威胁影响),是不是值得去调整等等,另外,除了审计与测评这种正向的手段之外,评估还可以采用诸如漏洞扫描,渗透测试等逆向的方式进行风险的发现。
但风险评估最大的缺点就是框架太灵活,在风险评估的体系中,你可以采用各种各样的手段来进行风险的发现与分析,因此,一个好的风险评估,可以比审计与测评发现更多的问题,给企业带来更多的好处。但是,这往往是由风险评估的实施人员的技能与经验来决定的,质量参差不齐,无法保证。而风险评估的结果由于没有标准来支持与推动,也很难得到领导层的重视。举个例子,同样是密码问题,在内控审计中发现还是在风险评估中发现,最后领导的重视程度肯定是不一样的。
说了这么多,简单总结一下两者的优缺点:
1.审核与测评
优点:有标准,流程(最佳实践)的理论支撑,有正规机构的执行(dnv,测评认证中心等),易于实施,结果具有公信力,易于推动。能有效提高安全的水准
缺点:由于实际情况千差万别,不存在放之四海而皆准的最佳实践。有些最佳实践很难在实际系统中实现。而就算完美实现了这些最佳实践,也不能保证就不出问题
2.风险评估
优点:体系比较完备,灵活。可以有效的发现风险并制定符合实际情况的风险处置方案。
缺点:没有标准与流程的支撑,业界目前进行的风险评估的水平层次不齐。正因为没有标准、流程与机构的推动,风险评估的结果也往往不能得到很好利用
最后,需要注意的是,本文中为了更清楚的说明概念,突出了这几者的区别,其实在真正的实践中,往往是你中有我,我中有你的状况,比如27001的审计要求中,明确提出必须要进行风险评估,识别风险并提出解决方案。而我们在风险评估中也经常会使用到审计的技术,如基线审计,checklist等等。