目前,國內外的企業信息安全風險評估大致分為兩種模式:自評估和他評估。壹般只有企業在發生較大變化時,主要業務系統發生重大改變時,才會進行他評估。而大多數情況下,企業只進行自評估,所以,自評估已成為企業信息安全風險評估的基本模式。
他評估,就像我們去醫院體檢。我們為了詳細地了解自己的身體健康狀況而需要醫院做全面的分析和檢查。企業在進行他評估的時候,也是為了全面了解其面臨的信息安全風險而委托具有風險評估能力的專業評估機構或上級主管部門,對自己的安全策略、安全制度進行的風險評估活動。自評估,對於企業來講,要用最小的資源消耗來了解企業當前的安全狀態、安全流程以及安全控制措施的有效性。
自評估的“優”與“劣”如果妳給自己看病,會有很多的不方便。自評估也是壹樣的道理。由於資源、評估人員的水平有限,存在許多的問題: 不深入、不規範、不到位;缺乏工具;主觀因素太多;權威性小。當然了,也有比較好的方面:對外界的依賴少;費用低廉;周期較短;額外的風險小;能提高企業對自身的安全認識。
其實,選擇他評估還是自評估都取決於效率和成本等因素。小企業可以通過自評估為主,以周期性他評估為輔的方式進行,但是大企業就需要以內部主導的廠商他評估,來進行企業信息安全風險評估,這是壹種混合式的自評估。
企業信息安全風險的自評估貫穿企業發展的每個階段。自評估涉及的評估要素也很多:風險本身、企業資產、企業的脆弱點、威脅源、控制措施和企業的安全需求等。
(企業信息安全風險評估要素關系圖)
企業與威脅源的對立關系,就像人體和病原體之間的關系,二者相互對立。企業擁有資產,資產存在的脆弱點只有通過控制措施減少,才能避免風險的增加。企業需要相應的控制措施來滿足安全需求,既而抵抗威脅源。
企業自評估的原則:
標準化指導原則;(按照國家或國際相關標準的指導下進行整個評估工作。)
評估人員的多樣化;(從企業的各個角度全方位考慮)
管理與技術評估相結合;(三分技術,七分管理)
重點評估與全面評估兼顧;(對重要資源進行評估的同時,還要在條件允許的情況下盡可能多的去評估。)
企業效率與評估效率綜合考慮;(評估過程是否會影響企業生產效率)
與他評估相輔相成。(自評估的結果應該以規範的化的形式保留,以供他評估參考。)
企業自評估的流程設計:企業的自評估活動是壹個動態的過程,隨著企業的發展,需要不斷的進行自評估,以此來滿足企業的安全需求。
(企業自評估的實施流程)
風險評估,作為企業信息安全管理的第壹步,它的評估結果直接影響著整個安全管理的質量。由於評估的各個要素又是處於不斷變化之中,所以及時了解企業的安全狀態是十分必要的,而定期評估是達到安全目的的必不可少的手段。