工程項(xiàng)目管理軟件供應(yīng)商。

　　就目前的狀態(tài)而言，雖然許多企業(yè)進(jìn)行了風(fēng)險(xiǎn)評(píng)估，但他們經(jīng)常犯一些錯(cuò)誤，這大大降低了風(fēng)險(xiǎn)評(píng)估的效果。接下來，金石軟件將與您分享企業(yè)需要避免的幾個(gè)風(fēng)險(xiǎn)評(píng)估錯(cuò)誤。

　　1.評(píng)估過于量化。

　　誠(chéng)然，分析和數(shù)字對(duì)風(fēng)險(xiǎn)評(píng)估非常重要。但企業(yè)需要明白，這款數(shù)字游戲并不需要太完美，尤其是在評(píng)估安全泄露事故的影響時(shí)。

　　對(duì)安全事故影響的評(píng)估可以讓企業(yè)更容易地討論和關(guān)注如何緩解風(fēng)險(xiǎn)，而不是花很多時(shí)間討論這種影響是價(jià)值2000萬(wàn)美元還是21000美元。當(dāng)你確定事故的影響是災(zāi)難性的，痛苦的，或者沒什么大不了的，你可以討論你想花多少錢來緩解最嚴(yán)重的風(fēng)險(xiǎn)。

　　過度分析可能會(huì)拖累整個(gè)評(píng)估過程，企業(yè)應(yīng)避免花費(fèi)太長(zhǎng)時(shí)間進(jìn)行風(fēng)險(xiǎn)分類。還有一些定性的風(fēng)險(xiǎn)因素，企業(yè)需要找到一種方法來納入評(píng)估。過于狹隘的焦點(diǎn)。采用嚴(yán)格的定量測(cè)量。沒有框架，沒有足夠的定期計(jì)劃是企業(yè)需要避免的錯(cuò)誤。

　　2.忘記評(píng)估第三方風(fēng)險(xiǎn)。

　　大多數(shù)IT風(fēng)險(xiǎn)專家認(rèn)為，大多數(shù)企業(yè)沒有評(píng)估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施風(fēng)險(xiǎn)，而這些基礎(chǔ)設(shè)施通常觸及企業(yè)最敏感的數(shù)據(jù)。

　　許多企業(yè)做得不夠的是管理與第三方供應(yīng)商的關(guān)系。當(dāng)企業(yè)沒有真正進(jìn)行盡職調(diào)查(無(wú)論是在簽訂合同之前還是之后)時(shí)，他們必然會(huì)錯(cuò)過關(guān)鍵的細(xì)節(jié)，這將增加風(fēng)險(xiǎn)。例如，客戶公司可能不知道其供應(yīng)商將其監(jiān)管數(shù)據(jù)存儲(chǔ)在公共云中。

　　3.評(píng)價(jià)的目光太短淺。

　　大多數(shù)大型企業(yè)往往忽視其風(fēng)險(xiǎn)評(píng)估中的關(guān)鍵資產(chǎn)和評(píng)估指標(biāo)。最常見的問題之一是識(shí)別漏洞是風(fēng)險(xiǎn)，而沒有其他信息，如可能提供訪問數(shù)據(jù)或使用，或個(gè)人可能被標(biāo)記為風(fēng)險(xiǎn)，而不標(biāo)記特定的風(fēng)險(xiǎn)資產(chǎn)。

　　大多數(shù)公司沒有跟蹤他們的基礎(chǔ)設(shè)施資產(chǎn)來很好地評(píng)估他們。更重要的是，即使他們經(jīng)常評(píng)估完整的數(shù)據(jù)集，這通常是在一個(gè)單獨(dú)的島嶼上進(jìn)行的，這使得他們很難理解相互依存。

　　有時(shí)評(píng)估側(cè)重于非常特定的應(yīng)用程序，但不關(guān)注整個(gè)基礎(chǔ)設(shè)施。例如，評(píng)估可能只檢查保護(hù)數(shù)據(jù)庫(kù)的應(yīng)用程序，而不檢查整個(gè)計(jì)算控制，如加密、防火墻、身份驗(yàn)證和授權(quán)。

　　4.IT風(fēng)險(xiǎn)評(píng)估未納入企業(yè)評(píng)估。

　　同樣，企業(yè)也需要了解IT風(fēng)險(xiǎn)與所有其他風(fēng)險(xiǎn)之間的相互作用。通常，企業(yè)將IT風(fēng)險(xiǎn)視為自己的風(fēng)險(xiǎn)類別，而不考慮其更廣泛的影響。

　　越來越多的風(fēng)險(xiǎn)意識(shí)到IT是其業(yè)務(wù)成功的一部分，他們?cè)噲D確保IT參與業(yè)務(wù)風(fēng)險(xiǎn)談話，許多企業(yè)有跨職能團(tuán)隊(duì)，他們從整體檢查風(fēng)險(xiǎn)，更好地了解依賴關(guān)系，這些團(tuán)隊(duì)將建議企業(yè)從業(yè)務(wù)的角度應(yīng)該關(guān)注風(fēng)險(xiǎn)。

　　5.評(píng)估不考慮業(yè)務(wù)背景。

　　IT風(fēng)險(xiǎn)評(píng)估完全是關(guān)于背景知識(shí)，無(wú)論是上述系統(tǒng)情況還是業(yè)務(wù)情況。如果企業(yè)不在信息資產(chǎn)的背景知識(shí)中添加漏洞和威脅，其對(duì)業(yè)務(wù)的重要性就不能真正反映在風(fēng)險(xiǎn)評(píng)估中。

　　在評(píng)估風(fēng)險(xiǎn)時(shí)，首席信息安全官往往缺乏對(duì)業(yè)務(wù)背景的理解。換句話說，他們需要問，哪些數(shù)據(jù)被訪問并對(duì)業(yè)務(wù)產(chǎn)生影響?沒有考慮業(yè)務(wù)分析結(jié)果，而不是業(yè)務(wù)和技術(shù)。