如何简化企业信息安全风险评估工作.pdfVIP

如何简化企业信息安全风险评估工作 如何简化企业信息安全风险评估工作 1 如何简化企业信息安全风险评估工作 如何简化企业信息安全风险评估工作 作者：温旭 谷安天下产品经理 随着信息技术的快速发展和广泛应用，信息技术已深入到各行各业之中。越来越多的 企业和组织应用信息技术为其业务提供支持和服务，企业的信息化水平也在不断的提高，而 信息安全问题也随之而来。为了应对信息化给企业带来的各种安全风险，企业需要定期地对 信息资产进行全面的风险评估工作。这项工作不仅是企业建立ISO27001 信息安全管理体系 （ISMS）、取得ISO27001 认证的必要途径，也是保障企业信息安全、业务安全的重要方法和 有效手段。 对于处于ISMS 体系建设阶段的企业来说，信息安全风险评估工作是建立ISMS 体系的必 要途径，其工作重点在于确立风险评估方法论、设计风险评估模型，收集企业内部的信息资 产，发现、评估并且控制这些信息资产带来的安全风险等等。而对于已经建立信息安全管理 体系（ISMS）、或是已通过ISO27001 认证的企业来说，信息安全风险评估是检验ISMS 体系 有效性、信息安全检查审计工作的重要组成部分，风险评估工作的重点在于实时维护企业信 息资产，统计和对比信息安全控制措施对控制和降低信息安全风险的效果，定期的监控和发 现新的信息安全风险，汇总和报告信息安全风险可能带来的影响等等。 然而，企业信息安全风险评估工作是复杂而繁琐的。笔者在与一些运营商、银行数据中 心、证券交易所的信息安全管理人员交流的过程中，深切地感受到信息安全风险评估工作的 重要性和复杂性。例如，实时维护企业内部信息资产列表是一项需要协调各个资产使用部门 和人员的工作，如果简单的由信息安全管理人员手工维护，不仅工作量大，而且难以保证数 据的有效性和实时性。再如，对于没有足够信息安全风险评估经验的评估人员来说，如果没 有辅助工具的帮助，难以发现信息资产的重要安全风险，而且信息资产种类、数量众多，难 以精细的评估和控制。另外，信息安全管理人员使用Excel 等办公软件进行风险评估工作， 在进行风险评估的汇总和多次风险评估结果的比对工作时较为复杂，而制作生成风险评估报 告的工作也需要花费较大的工作量。据笔者了解，一般中型企业的一次信息安全风险评估工 作将需要信息安全风险评估小组持续3 到4 个月的工作。由此可见，企业的信息安全风险评 估工作亟待简化。 2 如何简化企业信息安全风险评估工作 一种简化企业信息安全风险评估工作的方法是使用专业的信息安全风险管理工具。专业 的信息安全风险管理工具通常是网络化的工具软件，将常见的风险评估模型和方法论集成到 软件之中，一般包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、 风险汇总与报告生成、信息安全标准解析与实践等功能。 谷安天下的IT 风险管控系列软件中的风险评估管理系统（GooRisk）就是一款专业的信 息安全风险管理工具。在与多家大中型企业合作的过程中，GooRisk 为客户的信息安全风险 评估工作提供了简化之道。  信息资产收集 利用GooRisk 系统进行信息资产收集工作，可以大大降低信息安全管理人员的工作量， 并且能够实施保持企业内部信息资产的实时性、准确性。基于多用户权限的系统平台将允许 各个部门维护其信息资产，当信息资产出现变更或添加新的信息资产之时，各个部门可以自 行维护其信息资产信息。信息安全管理人员则可以实时的了解企业内部信息资产的变化情 况。GooRisk 系统也提供信息资产的导入功能，方便信息资产的录入。  固化的风险评估方法论 GooRisk 系统中固化了风险评估方法论和风险评估模型，为缺乏经验的信息安全管理人 员提供了风险评估工作的理论依据和辅助工具。