ITRM系统在对资产进行维护时，支持大批量导入和分权限管理，用户可以将收集到的资产一次性的导入到系统中，此后在系统中进行维护，无论是添加、修改、删除，系统都能够维护着一份准确稳定的当前版本的资产清单，同时用户还能够查看历史资产的内容;而分权限管理资产，可以将资产管理下放到部门，由部门管理员对本部门的资产进行维护，本部门只能对自己部门的资产及风险进行维护，对其他部门的资产和风险则无权查看。这大大简化了组织级安全管理员的工作，并能够将风险管理的思想落实到每个部门当中，同时简化了资产变更的上报流程，部门管理员将变更的资产及时的更新到系统中，组织级管理员随时可以进行检查和更正，因此组织的风险状态可以随时保持最新，使组织能够迅速准确的对风险进行响应和处理。

　　

    四、风险评估和处理
    在建立完信息安全管理体系以后，要根据组织规定定期重新进行风险评估和处理，当然此项工作的基础是前面提到的几项工作都已经完成，而风险评估的方法在其后往往不会发生太大的变化，安全专员在做过一次风险评估后就能掌握风险评估的方法，其后大多是维护风险清单的工作。对风险的处理可能会随着环境的变化以及技术的发展不断更新，所以安全专员还需要不断学习来提高自己的业务能力。
    ITRM系统核心功能之一就是风险评估模块，系统中固化了风险评估方法论和具体工作流程，同时还针对不同行业，把谷安天下多年来积累的咨询经验汇总成风险推荐放在知识库中，用户可以选择自己行业的知识库，在录入完资产后就能够看到针对本行业最容易出现的风险，用户站在巨人的肩膀上再进行风险评估将会有更好的准确性和效率。

　　

　　

 

    五、内审及其他安全检查
    完备的检查机制是保证体系正常高效运行的手段，通常组织会根据自身情况制定管理规定，规范检查机制和内审机制。在体系运维过程中，检查是非常重要的一项工作，要在保证业务正常运行的条件下，高效、全面、客观地检查组织内部在执行过程中的真实情况，以便制定纠正和预防措施，并对管理体系进行必要的改进。另外内审和安全检查的过程本身也是非常值得探讨的，如何准确的找到问题点，如何对不符合项进行跟踪改进，改进效果如何等等，不但需要大量的文档工作，也需要不断跟进科技时代的步伐，了解当前最新的技术。

(责任编辑：adminadmin2008)