企业内部控制规范与IT内部控制有什么关系？

一、等级保护、风险评估和安全测评的概念和提出背景

1、等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件进行等级响应、处置。

注意：这里所指的信息系统，是指由计算机及其相关、配套的设备和设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息则是指在信息系统中存储、传输、处理的数字化信息。

提出背景：

1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年，公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999)，规定了计算机信息系统安全保护能力的五个等级，即第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又发布实施了五个GA新标准，分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护 *** 作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。

2004年，在《关于信息安全等级保护工作的实施意见的通知》(简称66号文)中，信息和信息系统的安全保护等级被划分为五级，即第一级：自主保护级；第二级：指导保护级；第三级：监督保护级；第四级：强制保护级；第五级：专控保护级。特别强调的是，66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是GB17859中定义的系统已具备的安全技术等级。

2、风险评估

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

提出背景：

风险评估不是一个新概念，金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时，就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快，具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术 *** 作，逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及 *** 作模型。

2004年，国务院信息化工作办公室组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定，并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，这对规范我国信息安全风险评估的做法具有很好的指导意义。

3、系统安全测评

由具备检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。

注意：认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认，认证以标准和测评的结果作为依据。

提出背景:

我国的系统认证虽然起步较早，但由于认证周期、建设差异等多方面的原因，目前的系统认证数量还非常少。在我国，中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响力的开展有关系统安全测评认证的机构。

国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文)明确规定，对信息安全产品进行“统一标准、技术规范与合格评定程序；统一认证目录；统一认证标志；统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前，多数情况下，系统安全测评的结果可直接作为主管部门对系统安全认可的依据。

二、三者的联系和区别

等级保护是指导我国信息安全保障体系建设的一项基础管理制度，而风险评估、系统测评则是在等级保护制度下，对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的的不同的研究、分析方法。从这个意义上讲，等级保护要高于风险评估和系统测评。

打个比方：如果说等级保护是指导信息安全建设的宪法，风险评估和安全测评则是针对系统安全性评估或合格判定方面的专项法律。

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？

第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？

解决以上问题的过程，就是风险评估的过程。

进行风险评估时，有几个对应关系必须考虑：

每项资产可能面临多种威胁

威胁源（威胁代理）可能不止一个

每种威胁可能利用一个或多个弱点

风险评估的三种可行途径

在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的 *** 作过程和方式。

风险评估的 *** 作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

基线评估

如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估（Baseline Risk Assessment）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。

采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：国际标准和国家标准，例如BS 7799-1、ISO 13335-4；行业标准或推荐，例如德国联邦安全局IT 基线保护手册；来自其他有类似商务目标和规模的组织的惯例。

以下解答摘自谷安天下咨询顾问发表的相关文章：

企业内部控制基本规范包含的五要素框架：

（一）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。

（二）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

（三）控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

（四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。

（五）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。

相应的，IT内部控制框架也应对于企业内部控制的五要素框架：

（一）IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。

（二）IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。

（三）IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。

（四）信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。

（五）监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。

综合分析IT内部控制的组件，谷安天下将IT的控制分为三个层面：

（一）公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。

（二）流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。

（三）资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。

以上就是关于什么是信息安全、等级保护以及风险评估全部的内容，包括:什么是信息安全、等级保护以及风险评估、风险评估risk assessment包括哪几个过程、企业内部控制规范与IT内部控制有什么关系等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！