仅从方法论来看网络安全风险管理，其过程涉及信息系统的全生命周期，包括规划、建设、运行、废弃等阶段的风险管理。然而，从实施角度来看，首先，网络安全风险管理需具备合法和正当的目的。《网络安全法》第二十六条明确规定，开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

目前，我国尚存在不少机构和个人未得到正式授权进行安全检测、漏洞挖掘和披露的行为，其中不乏因操作不当或对后果估计不足对被检测方造成危害的案例，其所谓的安全风险评估反而成为真正的风险点。其次，安全检测、认证和风险评估作为加强网络安全管理的手段，也在《网络安全法》中有多处提及，为网络安全风险管理相关工作提供了充分的法律依据。

此外，实施网络安全风险管理，在法律的基础上，还必须依赖科学先进的网络安全标准。今年8月，中央网信办、国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》，意见明确要求，推动网络安全标准与国家相关法律法规的配套衔接。《网络安全法》即是该思想的充分体现，提及安全标准和规范的条款达七条之多，其中多处提到国家标准的强制性要求，安全标准的地位得到显著加强。由上述可见，《网络安全法》所阐述的网络安全风险管理理念，是以法律法规为基，以安全标准为纲，只有立得稳，行得正的网络安全风险管理措施才能真正发挥其效用。

网络安全风险管理的落地将会更加扎实

从以往网络安全风险管理经验来看，有些时候所取得的效果欠佳。首先，由于以前国家在网络安全方面立法尚不完善，有不少企业实施的信息安全管理体系、PDCA（即计划、执行、检查、纠正程序）等管理方式往往只是流于形式，没有在效果上形成真正的闭环。《网络安全法》可谓一锤定音，将网络产品提供者和服务运营者的法律责任予以明确，使用执法手段倒逼其强化自身安全管理。其次，以往的网络安全风险管理中，我们一直关心的是发现脆弱性，改进安全措施，而对威胁的控制无计可施，此种方式非常被动且成本很高。《网络安全法》在第六章法律责任中提出了对各类违法行为的制裁措施，由被动转主动，有效震慑威胁源行为，将更多的成本转移到威胁源，打通了安全风险处置的最后一公里，形成真正的风险管理闭环。由上述可见，实施《网络安全法》，定会大幅度提升网络安全风险管理的效果。

出台《网络安全法》是我国网络安全领域立法工作跨出的最为关键的一步，意义非凡。围绕《网络安全法》展开工作，将是今后网络安全标准制定、安全检测和认证、风险评估、安全审查等网络安全风险管理工作的重中之重。

作者：刘贤刚、何延哲

来源：光明网