一、网络安全风险评估 前期准备全指南网络安全风险评估的前期准备是评估工作落地的核心前提直接决定评估过程的效率、评估结果的精准度和可落地性核心目标是明确评估边界、统一评估标准、整合资源与信息、规避评估实施中的各类障碍为后续的资产识别、威胁分析、脆弱性扫描、风险计算等核心环节打好基础。本指南围绕标准化风险评估流程含等保 2.0、ISO 27005、NIST SP 800-30设计覆盖组织准备、信息准备、工具与环境准备、制度与标准准备四大核心维度同时包含中小企业轻量化准备方案适配政企、金融、互联网、制造业等不同行业的评估需求。二、组织准备搭建权责清晰的评估团队明确协作机制风险评估并非安全部门单独的工作需业务、IT、运维、法务、行政等多部门协同组织准备的核心是明确 “谁来做、谁负责、谁配合”避免评估过程中出现资源推诿、信息不配合、业务中断等问题。1. 成立评估专项小组核心按角色划分职责确保每个环节有专人对接小组分为决策层、执行层、配合层适配企业规模灵活调整角色组成人员核心职责评估负责人企业安全负责人 / CIO/CTO审批评估方案、协调跨部门资源、决策评估中的重大问题、审核评估结果执行团队安全工程师 / 外部评估专家制定评估细则、开展资产识别 / 扫描 / 分析、编写评估报告、提出风险整改建议业务配合组各业务线负责人 / 核心员工提供业务流程、核心业务系统信息、业务数据分类、业务连续性要求IT / 运维组网络 / 服务器 / 数据库管理员提供 IT 架构、设备清单、配置信息、权限体系、运维流程、日志数据法务 / 合规组法务 / 合规专员明确企业合规要求等保、GDPR、PCI DSS 等、界定合规性风险边界后勤保障组行政 / 运维支持人员提供评估场地、设备、网络权限配合开展现场评估保障评估过程不中断业务2. 明确评估合作模式根据企业自身安全能力选择自主评估、第三方评估、联合评估不同模式的准备重点不同自主评估需确认内部团队具备评估能力提前组织人员学习评估标准如 ISO 27005、工具使用第三方评估需完成第三方机构筛选资质、行业经验、保密协议、评估范围确认、需求交底联合评估需明确内外部团队的职责划分制定沟通机制统一评估标准和方法。3. 制定跨部门协作规则明确信息提供时限要求各部门在指定时间内提交所需资料避免评估延期建立日常沟通机制如每日短会同步进度、问题群实时反馈及时解决协作中的障碍界定业务中断红线明确评估过程中禁止操作的范围如生产系统禁止全量扫描避免影响核心业务。4. 签订保密与责任协议针对评估过程中接触的企业核心数据如业务架构、敏感数据、安全漏洞与评估团队成员、第三方机构签订保密协议明确数据保密要求、泄露责任同时制定评估工作责任制度避免评估过程中的人为失误。三、信息准备全面收集评估相关资料明确评估边界信息准备是风险评估的基础核心简单来说就是 “搞清楚企业的网络安全基本盘”——有什么资产、网络怎么连、业务怎么跑、有什么合规要求、目前有什么安全措施收集的信息越全面后续的资产识别和风险分析就越精准。1. 核心信息分类及收集要求按企业基础信息、IT 架构信息、业务信息、安全现状信息、合规要求信息五大类收集所有信息需标准化整理、专人归档、动态核对避免信息缺失或错误1企业基础信息企业组织架构、各部门职责企业经营业务范围、核心业务板块、业务发展规划企业重要场所分布总部、分公司、机房、远程办公点。2IT 架构全量信息最核心这是收集工作量最大的部分需覆盖网络、硬件、软件、数据、权限全维度建议按 “物理层 - 网络层 - 系统层 - 应用层 - 数据层” 梳理物理环境机房位置、机房建设标准如温湿度、防雷、供电、机柜布局、物理访问控制措施网络架构网络拓扑图核心交换机、路由器、防火墙、IDS/IPS 等设备部署位置、网段划分、公网 IP 段、VPN / 专线配置、无线局域网WLAN部署硬件资产服务器、交换机、路由器、防火墙、终端设备、存储设备、物联网设备IoT、工业控制设备ICS等的清单含型号、版本、部署位置、责任人系统资产服务器操作系统Windows/Linux/Unix、终端操作系统、虚拟化平台VMware/K8s、云平台阿里云 / 腾讯云 / AWS的版本、配置、部署信息应用资产自研应用、商用软件、SaaS 应用如钉钉 / 企业微信 / CRM的清单含版本、开发语言、部署位置、业务功能、负责人、应用架构图、接口文档数据资产核心数据的分类如客户隐私、财务数据、商业机密、业务数据、存储位置数据库、文件服务器、云存储、数据流转流程、数据备份策略权限体系账号权限管理规则如域控、IAM、管理员账号清单、权限分配流程、跨部门权限配置、远程访问权限规则。3业务核心信息核心业务流程如金融行业的交易流程、电商行业的下单支付流程核心业务系统的运行要求如 7×24 小时不间断、响应时间要求业务连续性计划BCP、灾难恢复DR方案业务系统之间的依赖关系如电商系统依赖支付系统、物流系统。4安全现状信息现有安全防护体系已部署的安全产品防火墙、DLP、EDR、SIEM、加密、漏洞扫描等的部署位置、配置规则、运行状态现有安全管理制度安全策略、账号密码管理、漏洞管理、应急响应、数据安全、员工安全培训等制度文件历史安全事件过往发生的网络攻击、漏洞泄露、数据泄露等事件的记录、处理过程、整改结果现有安全操作流程漏洞扫描、补丁更新、日志审计、应急处置、权限变更等操作的具体流程员工安全意识安全培训记录、员工安全考核结果。5合规要求信息企业需满足的法定合规要求如等保 2.0等级保护定级、网络安全法、数据安全法、个人信息保护法行业专属合规要求如金融行业的 PCI DSS、银保监会要求医疗行业的 HIPAA、卫健委要求跨境企业的 GDPR企业内部合规要求如企业自身的安全管理制度、客户合作中的安全要求。