如何简化企业信息安全风险评估工作.pdf

如何简化企业信息安全风险评估工作 1 如何简化企业信息安全风险评估工作 如何简化企业信息安全风险评估工作 2 如何简化企业信息安全风险评估工作如何简化企业信息安全风险评估工作 作者：温旭作者：温旭 谷安天下谷安天下产品经理产品经理 随着信息技术的快速发展和广泛应用，信息技术已深入到各行各业之中。越来越多的企业和组织应用信息技术为其业务提供支持和服务，企业的信息化水平也在不断的提高，而信息安全问题也随之而来。为了应对信息化给企业带来的各种安全风险，企业需要定期地对信息资产进行全面的风险评估工作。这项工作不仅是企业建立 ISO27001 信息安全管理体系（ISMS）、取得 ISO27001 认证的必要途径，也是保障企业信息安全、业务安全的重要方法和有效手段。对于处于 ISMS 体系建设阶段的企业来说，信息安全风险评估工作是建立 ISMS 体系的必要途径，其工作重点在于确立风险评估方法论、设计风险评估模型，收集企业内部的信息资产，发现、评估并且控制这些信息资产带来的安全风险等等。而对于已经建立信息安全管理体系（ISMS）、或是已通过 ISO27001 认证的企业来说，信息安全风险评估是检验 ISMS 体系有效性、信息安全检查审计工作的重要组成部分，风险评估工作的重点在于实时维护企业信息资产，统计和对比信息安全控制措施对控制和降低信息安全风险的效果，定期的监控和发现新的信息安全风险，汇总和报告信息安全风险可能带来的影响等等。然而，企业信息安全风险评估工作是复杂而繁琐的。笔者在与一些运营商、银行数据中心、证券交易所的信息安全管理人员交流的过程中，深切地感受到信息安全风险评估工作的重要性和复杂性。例如，实时维护企业内部信息资产列表是一项需要协调各个资产使用部门和人员的工作，如果简单的由信息安全管理人员手工维护，不仅工作量大，而且难以保证数据的有效性和实时性。再如，对于没有足够信息安全风险评估经验的评估人员来说，如果没有辅助工具的帮助，难以发现信息资产的重要安全风险，而且信息资产种类、数量众多，难以精细的评估和控制。另外，信息安全管理人员使用 Excel 等办公软件进行风险评估工作，在进行风险评估的汇总和多次风险评估结果的比对工作时较为复杂，而制作生成风险评估报告的工作也需要花费较大的工作量。据笔者了解，一般中型企业的一次信息安全风险评估工作将需要信息安全风险评估小组持续 3 到 4 个月的工作。由此可见，企业的信息安全风险评估工作亟待简化。如何简化企业信息安全风险评估工作 3 一种简化企业信息安全风险评估工作的方法是使用专业的信息安全风险管理工具。专业的信息安全风险管理工具通常是网络化的工具软件，将常见的风险评估模型和方法论集成到软件之中，一般包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成、信息安全标准解析与实践等功能。谷安天下的 IT 风险管控系列软件中的风险评估管理系 统（GooRisk）就是一款专业的信息安全风险管理工具。在与多家大中型企业合作的过程中，GooRisk 为客户的信息安全风险评估工作提供了简化之道。信息资产收集 利用 GooRisk 系统进行信息资产收集工作，可以大大降低信息安全管理人员的工作量，并且能够实施保持企业内部信息资产的实时性、准确性。基于多用户权限的系统平台将允许各个部门维护其信息资产，当信息资产出现变更或添加新的信息资产之时，各个部门可以自行维护其信息资产信息。信息安全管理人员则可以实时的了解企业内部信息资产的变化情况。GooRisk 系统也提供信息资产的导入功能，方便信息资产的录入。固化的风险评估方法论 GooRisk 系统中固化了风险评估方法论和风险评估模型，为缺乏经验的信息安全管理人员提供了风险评估工作的理论依据和辅助工具。如何简化企业信息安全风险评估工作 4 常见风险识别与推荐 GooRisk 系统根据谷安天下多年信息安全咨询经验，根据各个行业领域特色，制定了基于信息资产类别的常见风险推荐知识库。信息安全管理人员可以通过“资产风险推荐”功能，获得这些咨询经验知识，轻松的识别出企业信息资产的常见风险，再对具体信息资产进行风险调整之后，就可以完成了风险识别与评估工作。如何简化企业信息安全风险评估工作 5 风险评估汇总和多次风险评估结果比对 风险评估汇总是风险评估报告的重要组成部分，通过 GooRisk 系统可以实时的查看到企业的信息安全风险，按照风险的严重程度进行排序。如何简化企业信息安全风险评估工作 6 多次风险评估结果的比对也是信息安全风险评估工作的重要组成部分，用来查看风险控制措施成效、观察信息安全风险变化趋势。使用 GooRisk 系统可以方便的进行多次风险评估结果的比对。多层次多维度报表和全流程风险评估报告 GooRisk 系统内置了几十种多层次多维度统计报表，并且可以自动生成全流程风险评估报告。统计报表包括了资产信息报表、部门风险统计报告、合规性差距分析报表、风险分布图表、风险严重程度报表、风险类别对比统计、残余风险统计、残余风险严 如何简化企业信息安全风险评估工作 7 重程度等等，基本涵盖了一般风险评估报表的范围。自动生成的全流程风险评估报告，系统性的对资产、风险、风险处理方法、风险处理措施和剩余风险进行全面统计和分析。通过风险评估报告，可以概括性的了解一个组织的信息资产构成和分布、风险分布趋势、风险控制措施概况，便于决策者从宏观分析信息安全风险，采取相应的风险管理方法。GooRisk 系统允许将结果导出 Word、Pdf 文件格式的报告。通过使用专业化的信息安全风险管理工具，相关企业的信息安全风险评估工作都得到了不同程度的简化，风险评估人员的工作量也都得到了一定的减轻。由此可见，使用专业信息安全风险管理工具可以有效地简化企业的信息安全风险评估工作，帮助企业的信息安全管理人员完成复杂的风险评估工作，从而提高企业的信息安全管理水平。如何简化企业信息安全风险评估工作 8