更多内容 请关注【】

   在企业进行技术和业务决策时，适当的IT风险评估可以帮助企业创造巨大的价值。本文我们将讨论企业在风险评估过程中最常犯的五个错误。

　 关于风险评估，首先要记住的是真正执行风险评估。其次是根据环境的变化，更新风险评估过程。但并不仅仅止于此，以下是最常被忽略的五个错误以及如何避免这些错误的方法：

　　1. 固有风险与剩余风险

　　很多执行风险评估的企业无法计算部署控制前的风险(被称为固有风险)以及部署控制后遗留下来的风险(被称为剩余风险)。

　　“他们经常直接处理剩余风险，”他表示，“通过对比固有风险和剩余风险，你可以看到需要被监控和执行的关键控制，以确保企业环境的安全。”

　　2.依赖性和数据流

　　在企业进行风险评估前，企业需要正确地认识与风险相关的实际资产。通常情况下，企业没能真正调查清楚其系统来发现服务或系统(防火墙内部和外部的系统)的不可预见的依赖关系。

　　了解系统及其组件的各种输入和输出，将帮助企业有效地度量风险评估结果的真实有效性。

　　3.风险关乎业务

　　IT企业最常犯的风险评估错误之一是没有将业务线涵盖在评估过程中，以弄清楚IT对业务流程的影响。

　　“风险评估应该涵盖关键业务和IT资产，并考虑环境中关键威胁和漏洞的可能性和影响力，”他表示，“如果风险评估的结果没有说明对业务的影响，那么，降低风险的项目往往无法获得足够的资金或支持。”

　　企业需要更深入地进行风险评估，不仅需要让所有领导人参与进来，而且有关风险的词汇需要标准化，以便让所有人都理解。

　  4.不要推倒重来

　　在创建风险登记册和手机相关评估信息时，很多企业试图“推倒重来”“另辟蹊径”。

　　“企业应使用已经建立的风险登记册。企业经常试图从头开始建立自己的登记册，”他表示，“此外，企业还应应用可行的行业标准(例如ISO、NIST和COBIT)，然后根据企业需求微调这些最佳做法。”

　　同样地，不要手动手机和处理数据，如果你能实现自动化操作的话。

　　“风险管理人员应该作为风险战略家，而不是数字统计员，”George表示，“企业可以利用软件来自动化数据收集、汇总、工作流程和生成报告。”

　　他表示，这样做可以让风险管理人员能够更专注于更深入的分析和工作。

　　5. 风险评估范围

　　为了进行彻底完全的评估，一些风险管理人员试图评估对所有资产的所有风险，以及对业务的所有威胁，这样做的问题是，他们将永远无法真正完成评估。

　　“企业应该对资产进行分类，将具有类似业务价值或者面临类似威胁的资产分为一组，然后分组进行风险评估，”他表示，“这将帮助企业从风险评估中获得最大价值。”