×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
当前位置:畅享论坛 >  科技  >  网络|安全 > 正文
发帖
回复
(共 0 条) 上一页 下一页
查看: 91|回复: 0

[转帖]如何简化企业信息安全风险评估工作1

[复制链接]

等级:助理
行业:
职能部门:
城市:衢州市
金币:776

 

作者简介:温旭,谷安天下产品经理。主要从事IT风险管理、信息安全风险评估与规划、IT风险管控软件设计等方面工作,具备丰富的实践经验。曾服务的主要客户有:某证券交易所、某大型银行、中国电信等。

     随着信息技术的快速发展和广泛应用,信息技术已深入到各行各业之中。越来越多的企业和组织应用信息技术为其业务提供支持和服务,企业的信息化水平也在不断的提高,而信息安全问题也随之而来。为了应对信息化给企业带来的各种安全风险,企业需要定期地对信息资产进行全面的风险评估工作。这项工作不仅是企业建立ISO27001信息安全管理体系(ISMS)、取得ISO27001认证的必要途径,也是保障企业信息安全、业务安全的重要方法和有效手段。

对于处于ISMS体系建设阶段的企业来说,信息安全风险评估工作是建立ISMS体系的必要途径,其工作重点在于确立风险评估方法论、设计风险评估模型,收集企业内部的信息资产,发现、评估并且控制这些信息资产带来的安全风险等等。而对于已经建立信息安全管理体系(ISMS)、或是已通过ISO27001认证的企业来说,信息安全风险评估是检验ISMS体系有效性、信息安全检查审计工作的重要组成部分,风险评估工作的重点在于实时维护企业信息资产,统计和对比信息安全控制措施对控制和降低信息安全风险的效果,定期的监控和发现新的信息安全风险,汇总和报告信息安全风险可能带来的影响等等。

然而,企业信息安全风险评估工作是复杂而繁琐的。笔者在与一些运营商、银行数据中心、证券交易所的信息安全管理人员交流的过程中,深切地感受到信息安全风险评估工作的重要性和复杂性。例如,实时维护企业内部信息资产列表是一项需要协调各个资产使用部门和人员的工作,如果简单的由信息安全管理人员手工维护,不仅工作量大,而且难以保证数据的有效性和实时性。再如,对于没有足够信息安全风险评估经验的评估人员来说,如果没有辅助工具的帮助,难以发现信息资产的重要安全风险,而且信息资产种类、数量众多,难以精细的评估和控制。另外,信息安全管理人员使用Excel等办公软件进行风险评估工作,在进行风险评估的汇总和多次风险评估结果的比对工作时较为复杂,而制作生成风险评估报告的工作也需要花费较大的工作量。据笔者了解,一般中型企业的一次信息安全风险评估工作将需要信息安全风险评估小组持续34个月的工作。由此可见,企业的信息安全风险评估工作亟待简化。

一种简化企业信息安全风险评估工作的方法是使用专业的信息安全风险管理工具。专业的信息安全风险管理工具通常是网络化的工具软件,将常见的风险评估模型和方法论集成到软件之中,一般包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成、信息安全标准解析与实践等功能。

谷安天下的IT风险管控系列软件中的风险评估管理系统(GooRisk)就是一款专业的信息安全风险管理工具。在与多家大中型企业合作的过程中,GooRisk为客户的信息安全风险评估工作提供了简化之道。

 

 



畅享论坛提示:看帖后顺手回帖,是对辛苦发帖者的鼓励,是美德。

查阅更多相关主题的帖子: 信息安全
(共 0 条) 上一页 下一页
您还未登录,不能对文章发表评论!请先登录
2020-01-28 12:55:37 547/2020-01-28 12:55:37 547/2020-01-28 12:55:37 547