《网络安全法》第三十八条规定关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
原则上风险评估需要专业服务机构来进行。此外,在实践中,有许多网络产品和服务的提供者以及网络运营者为加强质量和安全管理,应对网络安全风险和威胁,提升企业信誉,自愿委托专业服务机构开展安全认证、检测和风险评估。还有一些机构、个人根据自己对网络安全风险的评估、监测,向社会发布网络安全信息,为防范网络安全风险发挥了积极作用。与此同时,我们也应当看到,网络安全服务和网络安全信息发布活动也存在一些突出的问题,如有的机构能力不足、服务不规范,有的机构和个人甚至滥用自己的专业技术和掌握的信息,通过各种手段谋取非法利益。
因此,有国家对网络安全认证、检测、风险评估和发布网络安全信息等活动进行必要的规范。考虑到网络安全服务活动种类较多,对其管理目前还缺少成熟的制度,因此,随着国家在网络安全领域的法律法规的进一步完善,则将会在此方面进一步加强。
《关键信息基础设施安全保护条例》第十五条第二项明确规定“组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估”,第十七条规定了运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。而风险评估不是目的,目的是及时通过技术和管理手段进行整改,提升组织的网络安全综合防护能力和水平,在该条例第五章法律责任中明确规定对“未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的