目前,国内外的企业信息安全风险评估大致分为两种模式:自评估和他评估。一般只有企业在发生较大变化时,主要业务系统发生重大改变时,才会进行他评估。而大多数情况下,企业只进行自评估,所以,自评估已成为企业信息安全风险评估的基本模式。
他评估,就像我们去医院体检。我们为了详细地了解自己的身体健康状况而需要医院做全面的分析和检查。企业在进行他评估的时候,也是为了全面了解其面临的信息安全风险而委托具有风险评估能力的专业评估机构或上级主管部门,对自己的安全策略、安全制度进行的风险评估活动。自评估,对于企业来讲,要用最小的资源消耗来了解企业当前的安全状态、安全流程以及安全控制措施的有效性。
自评估的“优”与“劣”如果你给自己看病,会有很多的不方便。自评估也是一样的道理。由于资源、评估人员的水平有限,存在许多的问题: 不深入、不规范、不到位;缺乏工具;主观因素太多;权威性小。当然了,也有比较好的方面:对外界的依赖少;费用低廉;周期较短;额外的风险小;能提高企业对自身的安全认识。
其实,选择他评估还是自评估都取决于效率和成本等因素。小企业可以通过自评估为主,以周期性他评估为辅的方式进行,但是大企业就需要以内部主导的厂商他评估,来进行企业信息安全风险评估,这是一种混合式的自评估。
企业信息安全风险的自评估贯穿企业发展的每个阶段。自评估涉及的评估要素也很多:风险本身、企业资产、企业的脆弱点、威胁源、控制措施和企业的安全需求等。
(企业信息安全风险评估要素关系图)
企业与威胁源的对立关系,就像人体和病原体之间的关系,二者相互对立。企业拥有资产,资产存在的脆弱点只有通过控制措施减少,才能避免风险的增加。企业需要相应的控制措施来满足安全需求,既而抵抗威胁源。
企业自评估的原则:
标准化指导原则;(按照国家或国际相关标准的指导下进行整个评估工作。)
评估人员的多样化;(从企业的各个角度全方位考虑)
管理与技术评估相结合;(三分技术,七分管理)
重点评估与全面评估兼顾;(对重要资源进行评估的同时,还要在条件允许的情况下尽可能多的去评估。)
企业效率与评估效率综合考虑;(评估过程是否会影响企业生产效率)
与他评估相辅相成。(自评估的结果应该以规范的化的形式保留,以供他评估参考。)
企业自评估的流程设计:企业的自评估活动是一个动态的过程,随着企业的发展,需要不断的进行自评估,以此来满足企业的安全需求。
(企业自评估的实施流程)
风险评估,作为企业信息安全管理的第一步,它的评估结果直接影响着整个安全管理的质量。由于评估的各个要素又是处于不断变化之中,所以及时了解企业的安全状态是十分必要的,而定期评估是达到安全目的的必不可少的手段。