Chinaunix首页 | 论坛 | 博客
  • 博客访问: 103623
  • 博文数量: 36
  • 博客积分: 1106
  • 博客等级: 少尉
  • 技术积分: 495
  • 用 户 组: 普通用户
  • 注册时间: 2012-10-16 10:33
文章分类
文章存档

2013年(3)

2012年(33)

我的朋友

分类: IT业界

2012-12-31 10:42:35

   更多内容 请关注【】

             

   在企业进行技术和业务决策时,适当的IT风险评估可以帮助企业创造巨大的价值。本文我们将讨论企业在风险评估过程中最常犯的五个错误。

 

  关于风险评估,首先要记住的是真正执行风险评估。其次是根据环境的变化,更新风险评估过程。但并不仅仅止于此,以下是最常被忽略的五个错误以及如何避免这些错误的方法:

 

  1. 固有风险与剩余风险

 

  很多执行风险评估的企业无法计算部署控制前的风险(被称为固有风险)以及部署控制后遗留下来的风险(被称为剩余风险)

 

  他们经常直接处理剩余风险,他表示,通过对比固有风险和剩余风险,你可以看到需要被监控和执行的关键控制,以确保企业环境的安全。

 

  2.依赖性和数据流

 

  在企业进行风险评估前,企业需要正确地认识与风险相关的实际资产。通常情况下,企业没能真正调查清楚其系统来发现服务或系统(防火墙内部和外部的系统)的不可预见的依赖关系。

 

  了解系统及其组件的各种输入和输出,将帮助企业有效地度量风险评估结果的真实有效性。

 

  3.风险关乎业务

 

  IT企业最常犯的风险评估错误之一是没有将业务线涵盖在评估过程中,以弄清楚IT对业务流程的影响。

 

  风险评估应该涵盖关键业务和IT资产,并考虑环境中关键威胁和漏洞的可能性和影响力,他表示,如果风险评估的结果没有说明对业务的影响,那么,降低风险的项目往往无法获得足够的资金或支持。

 

  企业需要更深入地进行风险评估,不仅需要让所有领导人参与进来,而且有关风险的词汇需要标准化,以便让所有人都理解。

 

   4.不要推倒重来

 

  在创建风险登记册和手机相关评估信息时,很多企业试图推倒重来”“另辟蹊径

 

  企业应使用已经建立的风险登记册。企业经常试图从头开始建立自己的登记册,他表示,此外,企业还应应用可行的行业标准(例如ISONISTCOBIT),然后根据企业需求微调这些最佳做法。

 

  同样地,不要手动手机和处理数据,如果你能实现自动化操作的话。

 

  风险管理人员应该作为风险战略家,而不是数字统计员,George表示,企业可以利用软件来自动化数据收集、汇总、工作流程和生成报告。

 

  他表示,这样做可以让风险管理人员能够更专注于更深入的分析和工作。

 

  5. 风险评估范围

 

  为了进行彻底完全的评估,一些风险管理人员试图评估对所有资产的所有风险,以及对业务的所有威胁,这样做的问题是,他们将永远无法真正完成评估。

 

  企业应该对资产进行分类,将具有类似业务价值或者面临类似威胁的资产分为一组,然后分组进行风险评估,他表示,这将帮助企业从风险评估中获得最大价值。

阅读(1067) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~