企业级风险评估精髓-阿里云开发者社区

开发者社区> 安全> 正文

企业级风险评估精髓

简介: 2. 现况评估与分析 绝大部份的企业,均已实施一些信息安全的措施与技术。然而,目前所缺乏的是具备一套有系统的方法,以便了解本身的资安缺失,以及现有的资安措施与技术是否能提供足够的防御保障。

2. 现况评估与分析
绝大部份的企业,均已实施一些信息安全的措施与技术。然而,目前所缺乏的是具备一套有系统的方法,以便了解本身的资安缺失,以及现有的资安措施与技术是否能提供足够的防御保障。所以现况的评估与分析极为重要,顾问可以藉由访谈、文件收集、实地勘查等不同手法,收集企业目前的实施状况信息,除了可以经过分析藉以了解目前的资安状况之外,更可以了解企业文化,未来在修订资安措施或引进新的资安技术时,即可配合企业的文化拟定确实可行的方案。

3. 信息资产清单
实施信息安全,乃是为了保障公司信息资产的安全。因此,了解公司拥有哪些信息资产,是当务之急。各单位应列出其负责与保有的信息资产清单,并评估其受到损害时对企业所造成的损失及影响,即可了解各项信息资产对公司的重要性。因此,除了列出清单之外,针对每项资产,亦应进行风险评估,以了解这些信息资产可能面临的问题,以及问题发生时,对公司的伤害程度。

风险评估乃是根据资产的价值,该资产所面临的威胁与弱点,计算出可能造成的影响。根据风险评估的结果,再针对无法接受的风险拟定对策,并考虑选择的对策所需的成本及可带来的效益,让风险值成为公司可以接受的程度,即可避免信息安全的事件造成企业极大的损失。

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章