为了应对信息化给企业带来的各种安全风险,企业需要定期地对信息资产进行全面的风险评估工作。这项工作不仅是企业建立ISO27001信息安全管理体系(ISMS)、取得ISO27001认证的必要途径,也是保障企业信息安全、业务安全的重要方法和有效手段。
对于处于ISMS体系建设阶段的企业来说,信息安全风险评估工作是建立ISMS体系的必要途径,其工作重点在于确立风险评估方法论、设计风险评估模型,收集企业内部的信息资产,发现、评估并且控制这些信息资产带来的安全风险等等。而对于已经建立信息安全管理体系(ISMS)、或是已通过ISO27001认证的企业来说,信息安全风险评估是检验ISMS体系有效性、信息安全检查审计工作的重要组成部分,风险评估工作的重点在于实时维护企业信息资产,统计和对比信息安全控制措施对控制和降低信息安全风险的效果,定期的监控和发现新的信息安全风险,汇总和报告信息安全风险可能带来的影响等等。
然而,企业信息安全风险评估工作是复杂而繁琐的。笔者在与一些运营商、银行数据中心、证券交易所的信息安全管理人员交流的过程中,深切地感受到信息安全风险评估工作的重要性和复杂性。例如,实时维护企业内部信息资产列表是一项需要协调各个资产使用部门和人员的工作,如果简单的由信息安全管理人员手工维护,不仅工作量大,而且难以保证数据的有效性和实时性。再如,对于没有足够信息安全风险评估经验的评估人员来说,如果没有辅助工具的帮助,难以发现信息资产的重要安全风险,而且信息资产种类、数量众多,难以精细的评估和控制。另外,信息安全管理人员使用Excel等办公软件进行风险评估工作,在进行风险评估的汇总和多次风险评估结果的比对工作时较为复杂,而制作生成风险评估报告的工作也需要花费较大的工作量。据笔者了解,一般中型企业的一次信息安全风险评估工作将需要信息安全风险评估小组持续3到4个月的工作。由此可见,企业的信息安全风险评估工作亟待简化。
一种简化企业信息安全风险评估工作的方法是使用专业的信息安全风险管理工具。专业的信息安全风险管理工具通常是网络化的工具软件,将常见的风险评估模型和方法论集成到软件之中,一般包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成、信息安全标准解析与实践等功能。
谷安天下的IT风险管控系列软件中的风险评估管理系统(GooRisk)就是一款专业的信息安全风险管理工具。在与多家大中型企业合作的过程中,GooRisk为客户的信息安全风险评估工作提供了简化之道。
信息资产收集
利用GooRisk系统进行信息资产收集工作,可以大大降低信息安全管理人员的工作量,并且能够实施保持企业内部信息资产的实时性、准确性。基于多用户权限的系统平台将允许各个部门维护其信息资产,当信息资产出现变更或添加新的信息资产之时,各个部门可以自行维护其信息资产信息。信息安全管理人员则可以实时的了解企业内部信息资产的变化情况。GooRisk系统也提供信息资产的导入功能,方便信息资产的录入。
固化的风险评估方法论
GooRisk系统中固化了风险评估方法论和风险评估模型,为缺乏经验的信息安全管理人员提供了风险评估工作的理论依据和辅助工具。
(责任编辑:adminadmin2008)
