当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?
认识存在的风险
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
根据信息产业部披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见,对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,
认识存在的风险
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
根据信息产业部披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见,对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,