本文探讨了企业信息安全风险评估的重要性,指出超过70%的安全问题源自内部人员,强调风险管理在保障信息安全中的关键作用。文章介绍了评估过程、常用工具和六大评估方法,提倡定制个性化评估策略,以应对复杂的应用系统和网络环境。此外,还提到了国际主流风险评估标准,如ISO/IEC 13335和BS7799-1。
当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?
认识存在的风险
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
根据信息产业部披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见,对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,
认识存在的风险
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
根据信息产业部披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见,对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,
最低0.47元/天 解锁文章
扫一扫
1921
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
