本文探讨了企业信息安全风险评估的重要性,指出超过70%的安全问题源自内部人员,强调风险管理在保障信息安全中的关键作用。文章介绍了评估过程、常用工具和六大评估方法,提倡定制个性化评估策略,以应对复杂的应用系统和网络环境。此外,还提到了国际主流风险评估标准,如ISO/IEC 13335和BS7799-1。
当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?
认识存在的风险
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
根据信息产业部披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见,对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
目前,国内众多部门和行业都开始投入精力进行风险评估或者风险评估规范的制订。据悉,信息产业部、公安部等都推出了各自的风险评估规范,而电信、金融等行业则已经开始进行风险评估工作,将评估推向了实践。
专家指出,风险评估的意义在于对风险的认识,而风险的处理过程,可以在考虑了管理成本后,选择
认识存在的风险
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
根据信息产业部披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见,对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
目前,国内众多部门和行业都开始投入精力进行风险评估或者风险评估规范的制订。据悉,信息产业部、公安部等都推出了各自的风险评估规范,而电信、金融等行业则已经开始进行风险评估工作,将评估推向了实践。
专家指出,风险评估的意义在于对风险的认识,而风险的处理过程,可以在考虑了管理成本后,选择
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
