本文講的是風險評估如何現效果,資訊保安管理是以風險管理為核心的,預管理風險必須先知道風險,知道風險的最佳途徑是進行風險評估。然而對很多企業來說這個看似非常成熟、或者不應該存在困難的風險評估,卻總不能達到預期的效果。
風險評估結論普遍存在的問題是:戰略性風險肉眼凡胎也能看出一些端倪,戰術性風險又不疼不癢。這樣的結論對風險控制策略的設計是無足輕重的,甚至實際的風險控制措施並沒有針對真實存在的風險,而僅僅因為那是一般性安全架構需要而已。
實踐表明造成風險評估效果不佳的主要原因有以下三點:
一是評估工作的組織與機制不健全,一般來說企業資訊保安管理部門是評估工作的發起部門,但由於人力專業性的限制使得評估在很多內控與業務部門進行時,不能有效開展;
二是工作計畫鬆散,這與第一點問題有關聯,正是因為人力專業性的限制、評估組織與機制的欠缺才導致計畫模糊,評估部門沒有信心去索求評估結論的完備性;
三是評估方法僵化,當首次建立評估方法後,工作的慣性使得評估部門缺乏決心去實現方法的優化。以上問題幾乎會形成一種不良迴圈,越是評估效果不好,越是在組織、計畫和方**改進中信心不足、畏首畏尾。
怎樣提公升風險評估的效果呢?自然是針對以上的三個問題去改變。實施風險評估時,評估組織或者團隊可以是臨時的,但他們應當覆蓋一切需要的專業,管理、技術不可或缺。在評估週期內需要把評估工作納入他們的日常作業中,這可能需要從治理上給予激勵。制定評估計畫時應當考慮評估前的培訓,其中包括過程細節,侷限於概念的培訓是無助於效果的。只有評估細節確定了,計畫才能有序,才能有必要的時間去爭取結果。
最後再說說方法。
當前基於資產評估風險仍然是最可靠和符合邏輯的。企業的資產個體成千上萬,理論上需要逐一評估他們,實踐中我們可以對資產進行歸一,同配置、同環境的資產可以只評估其中的代表,但前提條件是需要有細緻的資產配置管理。資產價值依附的安全屬性點應當與評估漏洞的安全屬性點存在對應關係,否則容易出現結論的偏頗。
例如,乙個對可用性要求極高而機密性要求極低的資產,評估出機密性漏洞並且風險還很高是無法接受的,又怎麼能指導風險控制呢?其中原由是混合計算資產的機密性、完整性和可用性導致資產價值過高而影響了結論。
風險評估雜談
我個人覺得作為乙個優秀的服務團隊必須具備如下的一下基本要求也是我們盡量要給使用者展示的實力。1 需要先進的方 資訊保安風險評估基礎是風險量化所有的計算都是數學模型,所以風險評估的方 就顯得尤為重要了再好的團隊。如果你的方 錯了,那你擁有在先進的技術,其結果一定是錯誤的。作為乙個專業的安全服務公司你必...
測試風險評估
對於新手來說,最要命的是找不到重點,只是按照測試用例依序測試或者測試自己熟悉的 最先接觸的用例。拿到乙個需求,首先要評估最重要使用場景和功能,在最短的時間內找出最要命的問題。最要命的風險是什麼?最要命的風險是什麼?最要命的風險是什麼?乙個最簡單的測試單元,針對它的測試組合也有可能有千萬種。測試了多少...
風險評估雜談
風險評估雜談 1 需要先進的方 資訊保安風險評估基礎是風險量化所有的計算都是數學模型,所以風險評估的方 就顯得尤為重要了再好的團隊。如果你的方 錯了,那你擁有在先進的技術,其結果一定是錯誤的。作為乙個專業的安全服務公司你必須要有自己明確的風險評估的方 並且提出他的合理性。通俗的講,就是風險是如何構成...