怎样简化企业信息安全风险评估工作
发布时间:2022-04-14 14:45:41 所属栏目:安全 来源:互联网
导读:随着信息技术的快速发展和广泛应用,信息技术已深入到各行各业之中。越来越多的企业和组织应用信息技术为其业务提供支持和服务,企业的信息化水平也在不断的提高,而信息安全问题也随之而来。 为了应对信息化给企业带来的各种安全风险,企业需要定期地对信息
|
随着信息技术的快速发展和广泛应用,信息技术已深入到各行各业之中。越来越多的企业和组织应用信息技术为其业务提供支持和服务,企业的信息化水平也在不断的提高,而信息安全问题也随之而来。 为了应对信息化给企业带来的各种安全风险,企业需要定期地对信息资产进行全面的风险评估工作。这项工作不仅是企业建立ISO27001信息安全管理体系(ISMS)、取得ISO27001认证的必要途径,也是保障企业信息安全、业务安全的重要方法和有效手段。 对于处于ISMS体系建设阶段的企业来说,信息安全风险评估工作是建立ISMS体系的必要途径,其工作重点在于确立风险评估方法论、设计风险评估模型,收集企业内部的信息资产,发现、评估并且控制这些信息资产带来的安全风险等等。而对于已经建立信息安全管理体系(ISMS)、或是已通过ISO27001认证的企业来说,信息安全风险评估是检验ISMS体系有效性、信息安全检查审计工作的重要组成部分,风险评估工作的重点在于实时维护企业信息资产,统计和对比信息安全控制措施对控制和降低信息安全风险的效果,定期的监控和发现新的信息安全风险,汇总和报告信息安全风险可能带来的影响等等。 然而,企业信息安全风险评估工作是复杂而繁琐的。笔者在与一些运营商、银行数据中心、证券交易所的信息安全管理人员交流的过程中,深切地感受到信息安全风险评估工作的重要性和复杂性。例如,实时维护企业内部信息资产列表是一项需要协调各个资产使用部门和人员的工作,如果简单的由信息安全管理人员手工维护,不仅工作量大,而且难以保证数据的有效性和实时性。再如,对于没有足够信息安全风险评估经验的评估人员来说,如果没有辅助工具的帮助,难以发现信息资产的重要安全风险,而且信息资产种类、数量众多,难以精细的评估和控制。另外,信息安全管理人员使用Excel等办公软件进行风险评估工作,在进行风险评估的汇总和多次风险评估结果的比对工作时较为复杂,而制作生成风险评估报告的工作也需要花费较大的工作量。据笔者了解,一般中型企业的一次信息安全风险评估工作将需要信息安全风险评估小组持续3到4个月的工作。由此可见,企业的信息安全风险评估工作亟待简化。 利用GooRisk系统进行信息资产收集工作,可以大大降低信息安全管理人员的工作量,并且能够实施保持企业内部信息资产的实时性、准确性。基于多用户权限的系统平台将允许各个部门维护其信息资产,当信息资产出现变更或添加新的信息资产之时,各个部门可以自行维护其信息资产信息。信息安全管理人员则可以实时的了解企业内部信息资产的变化情况。GooRisk系统也提供信息资产的导入功能,方便信息资产的录入。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号