【51CTO.com 獨(dú)家特稿】隨著信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，信息技術(shù)已深入到各行各業(yè)之中。越來(lái)越多的企業(yè)和組織應(yīng)用信息技術(shù)為其業(yè)務(wù)提供支持和服務(wù)，企業(yè)的信息化水平也在不斷的提高，而信息安全問(wèn)題也隨之而來(lái)。

為了應(yīng)對(duì)信息化給企業(yè)帶來(lái)的各種安全風(fēng)險(xiǎn)，企業(yè)需要定期地對(duì)信息資產(chǎn)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估工作。這項(xiàng)工作不僅是企業(yè)建立ISO27001信息安全管理體系（ISMS）、取得ISO27001認(rèn)證的必要途徑，也是保障企業(yè)信息安全、業(yè)務(wù)安全的重要方法和有效手段。

對(duì)于處于ISMS體系建設(shè)階段的企業(yè)來(lái)說(shuō)，信息安全風(fēng)險(xiǎn)評(píng)估工作是建立ISMS體系的必要途徑，其工作重點(diǎn)在于確立風(fēng)險(xiǎn)評(píng)估方法論、設(shè)計(jì)風(fēng)險(xiǎn)評(píng)估模型，收集企業(yè)內(nèi)部的信息資產(chǎn)，發(fā)現(xiàn)、評(píng)估并且控制這些信息資產(chǎn)帶來(lái)的安全風(fēng)險(xiǎn)等等。而對(duì)于已經(jīng)建立信息安全管理體系（ISMS）、或是已通過(guò)ISO27001認(rèn)證的企業(yè)來(lái)說(shuō)，信息安全風(fēng)險(xiǎn)評(píng)估是檢驗(yàn)ISMS體系有效性、信息安全檢查審計(jì)工作的重要組成部分，風(fēng)險(xiǎn)評(píng)估工作的重點(diǎn)在于實(shí)時(shí)維護(hù)企業(yè)信息資產(chǎn)，統(tǒng)計(jì)和對(duì)比信息安全控制措施對(duì)控制和降低信息安全風(fēng)險(xiǎn)的效果，定期的監(jiān)控和發(fā)現(xiàn)新的信息安全風(fēng)險(xiǎn)，匯總和報(bào)告信息安全風(fēng)險(xiǎn)可能帶來(lái)的影響等等。

然而，企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作是復(fù)雜而繁瑣的。筆者在與一些運(yùn)營(yíng)商、銀行數(shù)據(jù)中心、證券交易所的信息安全管理人員交流的過(guò)程中，深切地感受到信息安全風(fēng)險(xiǎn)評(píng)估工作的重要性和復(fù)雜性。例如，實(shí)時(shí)維護(hù)企業(yè)內(nèi)部信息資產(chǎn)列表是一項(xiàng)需要協(xié)調(diào)各個(gè)資產(chǎn)使用部門(mén)和人員的工作，如果簡(jiǎn)單的由信息安全管理人員手工維護(hù)，不僅工作量大，而且難以保證數(shù)據(jù)的有效性和實(shí)時(shí)性。再如，對(duì)于沒(méi)有足夠信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)的評(píng)估人員來(lái)說(shuō)，如果沒(méi)有輔助工具的幫助，難以發(fā)現(xiàn)信息資產(chǎn)的重要安全風(fēng)險(xiǎn)，而且信息資產(chǎn)種類、數(shù)量眾多，難以精細(xì)的評(píng)估和控制。另外，信息安全管理人員使用Excel等辦公軟件進(jìn)行風(fēng)險(xiǎn)評(píng)估工作，在進(jìn)行風(fēng)險(xiǎn)評(píng)估的匯總和多次風(fēng)險(xiǎn)評(píng)估結(jié)果的比對(duì)工作時(shí)較為復(fù)雜，而制作生成風(fēng)險(xiǎn)評(píng)估報(bào)告的工作也需要花費(fèi)較大的工作量。據(jù)筆者了解，一般中型企業(yè)的一次信息安全風(fēng)險(xiǎn)評(píng)估工作將需要信息安全風(fēng)險(xiǎn)評(píng)估小組持續(xù)3到4個(gè)月的工作。由此可見(jiàn)，企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作亟待簡(jiǎn)化。

一種簡(jiǎn)化企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作的方法是使用專業(yè)的信息安全風(fēng)險(xiǎn)管理工具。專業(yè)的信息安全風(fēng)險(xiǎn)管理工具通常是網(wǎng)絡(luò)化的工具軟件，將常見(jiàn)的風(fēng)險(xiǎn)評(píng)估模型和方法論集成到軟件之中，一般包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識(shí)別、風(fēng)險(xiǎn)識(shí)別與評(píng)估、風(fēng)險(xiǎn)處置措施及監(jiān)測(cè)、風(fēng)險(xiǎn)匯總與報(bào)告生成、信息安全標(biāo)準(zhǔn)解析與實(shí)踐等功能。

谷安天下的IT風(fēng)險(xiǎn)管控系列軟件中的風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)（GooRisk）就是一款專業(yè)的信息安全風(fēng)險(xiǎn)管理工具。在與多家大中型企業(yè)合作的過(guò)程中，GooRisk為客戶的信息安全風(fēng)險(xiǎn)評(píng)估工作提供了簡(jiǎn)化之道。

信息資產(chǎn)收集

利用GooRisk系統(tǒng)進(jìn)行信息資產(chǎn)收集工作，可以大大降低信息安全管理人員的工作量，并且能夠?qū)嵤┍３制髽I(yè)內(nèi)部信息資產(chǎn)的實(shí)時(shí)性、準(zhǔn)確性。基于多用戶權(quán)限的系統(tǒng)平臺(tái)將允許各個(gè)部門(mén)維護(hù)其信息資產(chǎn)，當(dāng)信息資產(chǎn)出現(xiàn)變更或添加新的信息資產(chǎn)之時(shí)，各個(gè)部門(mén)可以自行維護(hù)其信息資產(chǎn)信息。信息安全管理人員則可以實(shí)時(shí)的了解企業(yè)內(nèi)部信息資產(chǎn)的變化情況。GooRisk系統(tǒng)也提供信息資產(chǎn)的導(dǎo)入功能，方便信息資產(chǎn)的錄入。

  
固化的風(fēng)險(xiǎn)評(píng)估方法論

GooRisk系統(tǒng)中固化了風(fēng)險(xiǎn)評(píng)估方法論和風(fēng)險(xiǎn)評(píng)估模型，為缺乏經(jīng)驗(yàn)的信息安全管理人員提供了風(fēng)險(xiǎn)評(píng)估工作的理論依據(jù)和輔助工具。

  
常見(jiàn)風(fēng)險(xiǎn)識(shí)別與推薦

GooRisk系統(tǒng)根據(jù)谷安天下多年信息安全咨詢經(jīng)驗(yàn)，根據(jù)各個(gè)行業(yè)領(lǐng)域特色，制定了基于信息資產(chǎn)類別的常見(jiàn)風(fēng)險(xiǎn)推薦知識(shí)庫(kù)。信息安全管理人員可以通過(guò)“資產(chǎn)風(fēng)險(xiǎn)推薦”功能，獲得這些咨詢經(jīng)驗(yàn)知識(shí)，輕松的識(shí)別出企業(yè)信息資產(chǎn)的常見(jiàn)風(fēng)險(xiǎn)，再對(duì)具體信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)調(diào)整之后，就可以完成了風(fēng)險(xiǎn)識(shí)別與評(píng)估工作。

#p#

風(fēng)險(xiǎn)評(píng)估匯總和多次風(fēng)險(xiǎn)評(píng)估結(jié)果比對(duì)

風(fēng)險(xiǎn)評(píng)估匯總是風(fēng)險(xiǎn)評(píng)估報(bào)告的重要組成部分，通過(guò)GooRisk系統(tǒng)可以實(shí)時(shí)的查看到企業(yè)的信息安全風(fēng)險(xiǎn)，按照風(fēng)險(xiǎn)的嚴(yán)重程度進(jìn)行排序。

多次風(fēng)險(xiǎn)評(píng)估結(jié)果的比對(duì)也是信息安全風(fēng)險(xiǎn)評(píng)估工作的重要組成部分，用來(lái)查看風(fēng)險(xiǎn)控制措施成效、觀察信息安全風(fēng)險(xiǎn)變化趨勢(shì)。使用GooRisk系統(tǒng)可以方便的進(jìn)行多次風(fēng)險(xiǎn)評(píng)估結(jié)果的比對(duì)。

 
多層次多維度報(bào)表和全流程風(fēng)險(xiǎn)評(píng)估報(bào)告

GooRisk系統(tǒng)內(nèi)置了幾十種多層次多維度統(tǒng)計(jì)報(bào)表，并且可以自動(dòng)生成全流程風(fēng)險(xiǎn)評(píng)估報(bào)告。

統(tǒng)計(jì)報(bào)表包括了《資產(chǎn)信息報(bào)表》、《部門(mén)風(fēng)險(xiǎn)統(tǒng)計(jì)報(bào)告》、《合規(guī)性差距分析報(bào)表》、《風(fēng)險(xiǎn)分布圖表》、《風(fēng)險(xiǎn)嚴(yán)重程度報(bào)表》、《風(fēng)險(xiǎn)類別對(duì)比統(tǒng)計(jì)》、《殘余風(fēng)險(xiǎn)統(tǒng)計(jì)》、《殘余風(fēng)險(xiǎn)嚴(yán)重程度》等等，基本涵蓋了一般風(fēng)險(xiǎn)評(píng)估報(bào)表的范圍。

自動(dòng)生成的全流程風(fēng)險(xiǎn)評(píng)估報(bào)告，系統(tǒng)性的對(duì)資產(chǎn)、風(fēng)險(xiǎn)、風(fēng)險(xiǎn)處理方法、風(fēng)險(xiǎn)處理措施和剩余風(fēng)險(xiǎn)進(jìn)行全面統(tǒng)計(jì)和分析。通過(guò)風(fēng)險(xiǎn)評(píng)估報(bào)告，可以概括性的了解一個(gè)組織的信息資產(chǎn)構(gòu)成和分布、風(fēng)險(xiǎn)分布趨勢(shì)、風(fēng)險(xiǎn)控制措施概況，便于決策者從宏觀分析信息安全風(fēng)險(xiǎn)，采取相應(yīng)的風(fēng)險(xiǎn)管理方法。GooRisk系統(tǒng)允許將結(jié)果導(dǎo)出 Word、Pdf 文件格式的報(bào)告。

 通過(guò)使用專業(yè)化的信息安全風(fēng)險(xiǎn)管理工具，相關(guān)企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作都得到了不同程度的簡(jiǎn)化，風(fēng)險(xiǎn)評(píng)估人員的工作量也都得到了一定的減輕。由此可見(jiàn)，使用專業(yè)信息安全風(fēng)險(xiǎn)管理工具可以有效地簡(jiǎn)化企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作，幫助企業(yè)的信息安全管理人員完成復(fù)雜的風(fēng)險(xiǎn)評(píng)估工作，從而提高企業(yè)的信息安全管理水平。