【51CTO.com 獨家特稿】隨著信息技術(shù)的快速發(fā)展和廣泛應用，信息技術(shù)已深入到各行各業(yè)之中。越來越多的企業(yè)和組織應用信息技術(shù)為其業(yè)務提供支持和服務，企業(yè)的信息化水平也在不斷的提高，而信息安全問題也隨之而來。

為了應對信息化給企業(yè)帶來的各種安全風險，企業(yè)需要定期地對信息資產(chǎn)進行全面的風險評估工作。這項工作不僅是企業(yè)建立ISO27001信息安全管理體系（ISMS）、取得ISO27001認證的必要途徑，也是保障企業(yè)信息安全、業(yè)務安全的重要方法和有效手段。

對于處于ISMS體系建設階段的企業(yè)來說，信息安全風險評估工作是建立ISMS體系的必要途徑，其工作重點在于確立風險評估方法論、設計風險評估模型，收集企業(yè)內(nèi)部的信息資產(chǎn)，發(fā)現(xiàn)、評估并且控制這些信息資產(chǎn)帶來的安全風險等等。而對于已經(jīng)建立信息安全管理體系（ISMS）、或是已通過ISO27001認證的企業(yè)來說，信息安全風險評估是檢驗ISMS體系有效性、信息安全檢查審計工作的重要組成部分，風險評估工作的重點在于實時維護企業(yè)信息資產(chǎn)，統(tǒng)計和對比信息安全控制措施對控制和降低信息安全風險的效果，定期的監(jiān)控和發(fā)現(xiàn)新的信息安全風險，匯總和報告信息安全風險可能帶來的影響等等。

然而，企業(yè)信息安全風險評估工作是復雜而繁瑣的。筆者在與一些運營商、銀行數(shù)據(jù)中心、證券交易所的信息安全管理人員交流的過程中，深切地感受到信息安全風險評估工作的重要性和復雜性。例如，實時維護企業(yè)內(nèi)部信息資產(chǎn)列表是一項需要協(xié)調(diào)各個資產(chǎn)使用部門和人員的工作，如果簡單的由信息安全管理人員手工維護，不僅工作量大，而且難以保證數(shù)據(jù)的有效性和實時性。再如，對于沒有足夠信息安全風險評估經(jīng)驗的評估人員來說，如果沒有輔助工具的幫助，難以發(fā)現(xiàn)信息資產(chǎn)的重要安全風險，而且信息資產(chǎn)種類、數(shù)量眾多，難以精細的評估和控制。另外，信息安全管理人員使用Excel等辦公軟件進行風險評估工作，在進行風險評估的匯總和多次風險評估結(jié)果的比對工作時較為復雜，而制作生成風險評估報告的工作也需要花費較大的工作量。據(jù)筆者了解，一般中型企業(yè)的一次信息安全風險評估工作將需要信息安全風險評估小組持續(xù)3到4個月的工作。由此可見，企業(yè)的信息安全風險評估工作亟待簡化。

一種簡化企業(yè)信息安全風險評估工作的方法是使用專業(yè)的信息安全風險管理工具。專業(yè)的信息安全風險管理工具通常是網(wǎng)絡化的工具軟件，將常見的風險評估模型和方法論集成到軟件之中，一般包括有信息資產(chǎn)和應用系統(tǒng)識別、風險識別與評估、風險處置措施及監(jiān)測、風險匯總與報告生成、信息安全標準解析與實踐等功能。

谷安天下的IT風險管控系列軟件中的風險評估管理系統(tǒng)（GooRisk）就是一款專業(yè)的信息安全風險管理工具。在與多家大中型企業(yè)合作的過程中，GooRisk為客戶的信息安全風險評估工作提供了簡化之道。

信息資產(chǎn)收集

利用GooRisk系統(tǒng)進行信息資產(chǎn)收集工作，可以大大降低信息安全管理人員的工作量，并且能夠?qū)嵤┍３制髽I(yè)內(nèi)部信息資產(chǎn)的實時性、準確性?；诙嘤脩魴?quán)限的系統(tǒng)平臺將允許各個部門維護其信息資產(chǎn)，當信息資產(chǎn)出現(xiàn)變更或添加新的信息資產(chǎn)之時，各個部門可以自行維護其信息資產(chǎn)信息。信息安全管理人員則可以實時的了解企業(yè)內(nèi)部信息資產(chǎn)的變化情況。GooRisk系統(tǒng)也提供信息資產(chǎn)的導入功能，方便信息資產(chǎn)的錄入。

  
固化的風險評估方法論

GooRisk系統(tǒng)中固化了風險評估方法論和風險評估模型，為缺乏經(jīng)驗的信息安全管理人員提供了風險評估工作的理論依據(jù)和輔助工具。

  
常見風險識別與推薦

GooRisk系統(tǒng)根據(jù)谷安天下多年信息安全咨詢經(jīng)驗，根據(jù)各個行業(yè)領(lǐng)域特色，制定了基于信息資產(chǎn)類別的常見風險推薦知識庫。信息安全管理人員可以通過“資產(chǎn)風險推薦”功能，獲得這些咨詢經(jīng)驗知識，輕松的識別出企業(yè)信息資產(chǎn)的常見風險，再對具體信息資產(chǎn)進行風險調(diào)整之后，就可以完成了風險識別與評估工作。

#p#

風險評估匯總和多次風險評估結(jié)果比對

風險評估匯總是風險評估報告的重要組成部分，通過GooRisk系統(tǒng)可以實時的查看到企業(yè)的信息安全風險，按照風險的嚴重程度進行排序。

多次風險評估結(jié)果的比對也是信息安全風險評估工作的重要組成部分，用來查看風險控制措施成效、觀察信息安全風險變化趨勢。使用GooRisk系統(tǒng)可以方便的進行多次風險評估結(jié)果的比對。

 
多層次多維度報表和全流程風險評估報告

GooRisk系統(tǒng)內(nèi)置了幾十種多層次多維度統(tǒng)計報表，并且可以自動生成全流程風險評估報告。

統(tǒng)計報表包括了《資產(chǎn)信息報表》、《部門風險統(tǒng)計報告》、《合規(guī)性差距分析報表》、《風險分布圖表》、《風險嚴重程度報表》、《風險類別對比統(tǒng)計》、《殘余風險統(tǒng)計》、《殘余風險嚴重程度》等等，基本涵蓋了一般風險評估報表的范圍。

自動生成的全流程風險評估報告，系統(tǒng)性的對資產(chǎn)、風險、風險處理方法、風險處理措施和剩余風險進行全面統(tǒng)計和分析。通過風險評估報告，可以概括性的了解一個組織的信息資產(chǎn)構(gòu)成和分布、風險分布趨勢、風險控制措施概況，便于決策者從宏觀分析信息安全風險，采取相應的風險管理方法。GooRisk系統(tǒng)允許將結(jié)果導出 Word、Pdf 文件格式的報告。

 通過使用專業(yè)化的信息安全風險管理工具，相關(guān)企業(yè)的信息安全風險評估工作都得到了不同程度的簡化，風險評估人員的工作量也都得到了一定的減輕。由此可見，使用專業(yè)信息安全風險管理工具可以有效地簡化企業(yè)的信息安全風險評估工作，幫助企業(yè)的信息安全管理人員完成復雜的風險評估工作，從而提高企業(yè)的信息安全管理水平。