风险评估如何现效果

简介:

本文讲的是 风险评估如何现效果,信息安全管理是以风险管理为核心的,预管理风险必须先知道风险,知道风险的最佳途径是进行风险评估。然而对很多企业来说这个看似非常成熟、或者不应该存在困难的风险评估,却总不能达到预期的效果。
image
风险评估结论普遍存在的问题是:战略性风险肉眼凡胎也能看出一些端倪,战术性风险又不疼不痒。这样的结论对风险控制策略的设计是无足轻重的,甚至实际的风险控制措施并没有针对真实存在的风险,而仅仅因为那是一般性安全架构需要而已。

实践表明造成风险评估效果不佳的主要原因有以下三点:

一是评估工作的组织与机制不健全,一般来说企业信息安全管理部门是评估工作的发起部门,但由于人力专业性的限制使得评估在很多内控与业务部门进行时,不能有效开展;
二是工作计划松散,这与第一点问题有关联,正是因为人力专业性的限制、评估组织与机制的欠缺才导致计划模糊,评估部门没有信心去索求评估结论的完备性;
三是评估方法僵化,当首次建立评估方法后,工作的惯性使得评估部门缺乏决心去实现方法的优化。以上问题几乎会形成一种不良循环,越是评估效果不好,越是在组织、计划和方法论改进中信心不足、畏首畏尾。
怎样提升风险评估的效果呢?自然是针对以上的三个问题去改变。实施风险评估时,评估组织或者团队可以是临时的,但他们应当覆盖一切需要的专业,管理、技术不可或缺。在评估周期内需要把评估工作纳入他们的日常作业中,这可能需要从治理上给予激励。制定评估计划时应当考虑评估前的培训,其中包括过程细节,局限于概念的培训是无助于效果的。只有评估细节确定了,计划才能有序,才能有必要的时间去争取结果。

最后再说说方法。

当前基于资产评估风险仍然是最可靠和符合逻辑的。企业的资产个体成千上万,理论上需要逐一评估他们,实践中我们可以对资产进行归一,同配置、同环境的资产可以只评估其中的代表,但前提条件是需要有细致的资产配置管理。资产价值依附的安全属性点应当与评估漏洞的安全属性点存在对应关系,否则容易出现结论的偏颇。

例如,一个对可用性要求极高而机密性要求极低的资产,评估出机密性漏洞并且风险还很高是无法接受的,又怎么能指导风险控制呢?其中原由是混合计算资产的机密性、完整性和可用性导致资产价值过高而影响了结论。

原文发布时间为:九月 18, 2017
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/28182.html

相关文章
|
4月前
|
BI 项目管理 调度
跨项目度量问题之发现某个项目中存在大量缺陷、风险和已超期事项如何解决
跨项目度量问题之发现某个项目中存在大量缺陷、风险和已超期事项如何解决
|
6月前
|
安全
震惊:全面拆解dapp上线三天、 规则漏洞导致资金全部损失
震惊:全面拆解dapp上线三天、 规则漏洞导致资金全部损失
77 6
|
7月前
|
监控 测试技术
深入分析软件测试中的风险评估与管理
【5月更文挑战第30天】 在软件开发生命周期中,风险无处不在,特别是在软件测试阶段。本文旨在探讨软件测试过程中如何有效地进行风险评估和管理,以确保软件质量和项目成功。文中将介绍风险评估的基本概念,提出一个结构化的风险识别和评估框架,并详细讨论如何通过定性和定量方法来管理测试风险。此外,文章还将展示一个案例研究,以说明所提策略在实际中的应用效果。
|
7月前
|
监控 项目管理
项目延期应对指南:从评估到执行的全方位策略
项目延期应对指南:从评估到执行的全方位策略
1849 0
|
7月前
|
机器学习/深度学习 数据采集 搜索推荐
风险评分与生存时间:解密高风险组的潜在命运!
风险评分与生存时间:解密高风险组的潜在命运!
111 0
|
敏捷开发 前端开发 测试技术
一个BUG导致3000万损失!涉及资金交易的功能该如何做好测试和项目管理
一个BUG导致3000万损失!涉及资金交易的功能该如何做好测试和项目管理
263 0
一个BUG导致3000万损失!涉及资金交易的功能该如何做好测试和项目管理
|
人工智能 大数据 云计算
测试-风险甄别
测试-风险甄别
|
云安全 安全 测试技术
信息安全-风险评估-阿里云安全评估服务
随着人们对网络安全的愈加重视,企业管理者迫切想了解信息系统中是否存在安全隐患,应该如何进行安全加固,以及现有的安全设备,是否有效等等,而风险评估正好可以让企业全面了解系统中存在的信息安全隐患。本文将对风险评估的原理进行介绍,并结合阿里云的相关安全服务进行分析
895 0
信息安全-风险评估-阿里云安全评估服务