他評價,就像我們去醫院體檢壹樣。我們需要醫院進行全面的分析和檢查,才能詳細了解我們的身體健康狀況。企業在進行其他評估時,也委托具有風險評估能力的專業評估機構或上級主管部門,對自身的安全策略和安全體系進行風險評估活動,以全面了解所面臨的信息安全風險。自我評估,對於企業來說,需要以最小的資源消耗了解當前的安全狀態、安全流程以及安全控制措施的有效性。
自我評價“優秀”和“差”如果自己對待自己,會有很多不便。自我評估也是如此。由於資源和評估師水平有限,存在諸多問題:不深入、不規範、不到位;缺少工具;主觀因素太多;不太權威。當然也有更好的方面:對外界的依賴更少;成本低;周期短;附加風險小;可以提高企業的安全意識。
事實上,選擇其他評價還是自我評價取決於效率和成本等因素。小企業可以以自我評估為主,定期自我評估為輔,但大企業需要以內部領先廠商自我評估進行企業信息安全風險評估,這是壹種混合式的自我評估。
企業信息安全風險的自我評估貫穿於企業發展的每個階段。自我評估涉及很多評估要素:風險本身、企業資產、企業漏洞、威脅來源、控制措施和企業安全需求。
(企業信息安全風險評估要素關系圖)
企業與威脅源的對立關系,就像人體與病原體的關系,是相互對立的。企業擁有資產,只有通過控制措施降低資產的脆弱性,才能避免風險的增加。企業需要相應的控制措施來滿足安全需求,進而抵禦威脅源。
企業自我評估的原則:
標準化的指導原則;(在相關國家或國際標準的指導下進行整個評估工作。)
評價者的多樣性;(從企業的各個角度)
管理與技術評估相結合;(三分技術,七分管理)
重點評價和綜合評價;在評估重要資源的同時,如果條件允許,也要盡可能多的進行評估。)
綜合考慮企業效率和評價效率;(評估過程是否會影響企業的生產效率)
補充他的評估。自我評估的結果應該以標準化的形式保存,以供他參考。)
企業自我評價的流程設計:企業的自我評價活動是壹個動態的過程。隨著企業的發展,需要不斷進行自我評價,以滿足企業的安全要求。
(企業自我評估的實施過程)
風險評估作為企業信息安全管理的第壹步,其評估結果直接影響整個安全管理的質量。因為評價的所有要素都是不斷變化的,所以及時了解企業的安全狀況是非常必要的,定期評價是實現安全目標不可或缺的手段。