如何簡化企業信息安全風險評估工作
【51CTO.com 獨家特稿】隨著信息技術的快速發展和廣泛應用,信息技術已深入到各行各業之中。越來越多的企業和組織應用信息技術為其業務提供支持和服務,企業的信息化水平也在不斷的提高,而信息安全問題也隨之而來。
為了應對信息化給企業帶來的各種安全風險,企業需要定期地對信息資產進行全面的風險評估工作。這項工作不僅是企業建立ISO27001信息安全管理體系(ISMS)、取得ISO27001認證的必要途徑,也是保障企業信息安全、業務安全的重要方法和有效手段。
對于處于ISMS體系建設階段的企業來說,信息安全風險評估工作是建立ISMS體系的必要途徑,其工作重點在于確立風險評估方法論、設計風險評估模型,收集企業內部的信息資產,發現、評估并且控制這些信息資產帶來的安全風險等等。而對于已經建立信息安全管理體系(ISMS)、或是已通過ISO27001認證的企業來說,信息安全風險評估是檢驗ISMS體系有效性、信息安全檢查審計工作的重要組成部分,風險評估工作的重點在于實時維護企業信息資產,統計和對比信息安全控制措施對控制和降低信息安全風險的效果,定期的監控和發現新的信息安全風險,匯總和報告信息安全風險可能帶來的影響等等。
然而,企業信息安全風險評估工作是復雜而繁瑣的。筆者在與一些運營商、銀行數據中心、證券交易所的信息安全管理人員交流的過程中,深切地感受到信息安全風險評估工作的重要性和復雜性。例如,實時維護企業內部信息資產列表是一項需要協調各個資產使用部門和人員的工作,如果簡單的由信息安全管理人員手工維護,不僅工作量大,而且難以保證數據的有效性和實時性。再如,對于沒有足夠信息安全風險評估經驗的評估人員來說,如果沒有輔助工具的幫助,難以發現信息資產的重要安全風險,而且信息資產種類、數量眾多,難以精細的評估和控制。另外,信息安全管理人員使用Excel等辦公軟件進行風險評估工作,在進行風險評估的匯總和多次風險評估結果的比對工作時較為復雜,而制作生成風險評估報告的工作也需要花費較大的工作量。據筆者了解,一般中型企業的一次信息安全風險評估工作將需要信息安全風險評估小組持續3到4個月的工作。由此可見,企業的信息安全風險評估工作亟待簡化。
一種簡化企業信息安全風險評估工作的方法是使用專業的信息安全風險管理工具。專業的信息安全風險管理工具通常是網絡化的工具軟件,將常見的風險評估模型和方法論集成到軟件之中,一般包括有信息資產和應用系統識別、風險識別與評估、風險處置措施及監測、風險匯總與報告生成、信息安全標準解析與實踐等功能。
谷安天下的IT風險管控系列軟件中的風險評估管理系統(GooRisk)就是一款專業的信息安全風險管理工具。在與多家大中型企業合作的過程中,GooRisk為客戶的信息安全風險評估工作提供了簡化之道。
信息資產收集
利用GooRisk系統進行信息資產收集工作,可以大大降低信息安全管理人員的工作量,并且能夠實施保持企業內部信息資產的實時性、準確性。基于多用戶權限的系統平臺將允許各個部門維護其信息資產,當信息資產出現變更或添加新的信息資產之時,各個部門可以自行維護其信息資產信息。信息安全管理人員則可以實時的了解企業內部信息資產的變化情況。GooRisk系統也提供信息資產的導入功能,方便信息資產的錄入。
固化的風險評估方法論
GooRisk系統中固化了風險評估方法論和風險評估模型,為缺乏經驗的信息安全管理人員提供了風險評估工作的理論依據和輔助工具。
常見風險識別與推薦
GooRisk系統根據谷安天下多年信息安全咨詢經驗,根據各個行業領域特色,制定了基于信息資產類別的常見風險推薦知識庫。信息安全管理人員可以通過“資產風險推薦”功能,獲得這些咨詢經驗知識,輕松的識別出企業信息資產的常見風險,再對具體信息資產進行風險調整之后,就可以完成了風險識別與評估工作。
#p#
風險評估匯總和多次風險評估結果比對
風險評估匯總是風險評估報告的重要組成部分,通過GooRisk系統可以實時的查看到企業的信息安全風險,按照風險的嚴重程度進行排序。
多次風險評估結果的比對也是信息安全風險評估工作的重要組成部分,用來查看風險控制措施成效、觀察信息安全風險變化趨勢。使用GooRisk系統可以方便的進行多次風險評估結果的比對。
多層次多維度報表和全流程風險評估報告
GooRisk系統內置了幾十種多層次多維度統計報表,并且可以自動生成全流程風險評估報告。
統計報表包括了《資產信息報表》、《部門風險統計報告》、《合規性差距分析報表》、《風險分布圖表》、《風險嚴重程度報表》、《風險類別對比統計》、《殘余風險統計》、《殘余風險嚴重程度》等等,基本涵蓋了一般風險評估報表的范圍。
自動生成的全流程風險評估報告,系統性的對資產、風險、風險處理方法、風險處理措施和剩余風險進行全面統計和分析。通過風險評估報告,可以概括性的了解一個組織的信息資產構成和分布、風險分布趨勢、風險控制措施概況,便于決策者從宏觀分析信息安全風險,采取相應的風險管理方法。GooRisk系統允許將結果導出 Word、Pdf 文件格式的報告。
通過使用專業化的信息安全風險管理工具,相關企業的信息安全風險評估工作都得到了不同程度的簡化,風險評估人員的工作量也都得到了一定的減輕。由此可見,使用專業信息安全風險管理工具可以有效地簡化企業的信息安全風險評估工作,幫助企業的信息安全管理人員完成復雜的風險評估工作,從而提高企業的信息安全管理水平。
