国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　引子：

　　從最開端接觸風(fēng)險(xiǎn)評估理論到此刻，已有將近5個(gè)年初了，從最開端的跪拜捧為必殺技，然后是有一陣子思疑乃至預(yù)棄之不消，到此刻重拾之，尊之為做好安然的必備寶貝，這么一段起起伏伏的心理過程。對風(fēng)險(xiǎn)的編制在一步步的加深，本文從風(fēng)險(xiǎn)評估工作最凸起的標(biāo)題問題：若何獲得一致的、可比較的、可反復(fù)的風(fēng)險(xiǎn)評估成果，來加以闡發(fā)會(huì)商。

　　1. 風(fēng)險(xiǎn)評估的近況

　　風(fēng)險(xiǎn)理論也逐步被廣大年夜信息安然專業(yè)人士所熟知，以風(fēng)險(xiǎn)驅(qū)動(dòng)的編制往治理信息安然已被大年夜部門人所共知和接管，這幾年國內(nèi)等第呵護(hù)的如火如荼的展開，風(fēng)險(xiǎn)評估工作是水長船高，加上國內(nèi)信息安然咨詢和辦事廠商和機(jī)構(gòu)盡心盡力的鞭策，風(fēng)險(xiǎn)評估實(shí)踐也在不竭的深進(jìn)。當(dāng)前的風(fēng)險(xiǎn)評估的編制首要參照兩個(gè)尺度，一個(gè)是國際尺度《ISO13335信息安然風(fēng)險(xiǎn)治理指南》和國內(nèi)尺度《GB/T 20984-2007信息安然風(fēng)險(xiǎn)評估規(guī)范》，其本質(zhì)上就是以信息資產(chǎn)為對象的定性的風(fēng)險(xiǎn)評估。根基編制是辨認(rèn)并評價(jià)組織/企業(yè)內(nèi)部所要存眷的信息系統(tǒng)、數(shù)據(jù)、人員、辦事等呵護(hù)對象，在參照當(dāng)前風(fēng)行的國際國內(nèi)尺度如ISO27002,COBIT，信息系統(tǒng)等第呵護(hù)，辨認(rèn)出這些呵護(hù)對象面對的威脅和本身所存在的能被威脅操縱的弱點(diǎn)，最后從可能性和影響程度這兩個(gè)方面來評價(jià)信息資產(chǎn)的風(fēng)險(xiǎn)，綜合后獲得企業(yè)所面對的信息安然風(fēng)險(xiǎn)。這是大年夜大都組織在做風(fēng)險(xiǎn)評估時(shí)利用的編制。當(dāng)然也有少數(shù)的組織/企業(yè)開端在資產(chǎn)風(fēng)險(xiǎn)評估的根本上，在實(shí)踐中試探和開辟出近似與流程風(fēng)險(xiǎn)評估(請見另外一博文)等編制，彌補(bǔ)完美了資產(chǎn)風(fēng)險(xiǎn)評估。

　　2. 風(fēng)險(xiǎn)評估的凸起標(biāo)題問題

　　信息安然范疇的風(fēng)險(xiǎn)評估乃至風(fēng)險(xiǎn)治理的編制是借鑒了銀行業(yè)成熟的風(fēng)險(xiǎn)治理編制，銀行業(yè)營業(yè)風(fēng)險(xiǎn)治理的編制已成長到相當(dāng)作熟的境地，并且銀行業(yè)也有很是豐碩的根本數(shù)據(jù)撐持著風(fēng)險(xiǎn)闡發(fā)編制的應(yīng)用?？墒牵L(fēng)險(xiǎn)評估作為信息安然范疇的新鬧事物，或說舶來之物，雖然信息安然本身在國內(nèi)展開也不外是10來年，風(fēng)險(xiǎn)評估作為進(jìn)步前輩思惟也存在著近似“馬列主義要與中國的實(shí)際國情連絡(luò)走中國特點(diǎn)社會(huì)主義道路”的標(biāo)題問題。風(fēng)險(xiǎn)評估的定量評估編制貧乏需要的泥土，沒有根本的、統(tǒng)計(jì)數(shù)據(jù)做撐持，定量風(fēng)險(xiǎn)評估寸步難移;而定性的風(fēng)險(xiǎn)評估其編制的本質(zhì)是定性，所謂定性，則意味著估計(jì)、大年夜概，不準(zhǔn)確，其本質(zhì)的缺點(diǎn)給實(shí)踐帶來無限的標(biāo)題問題，首要標(biāo)題問題之一就是投資回報(bào)標(biāo)題問題，因?yàn)椴豢瞬患皬呢?cái)務(wù)的角度往評價(jià)一個(gè)/組風(fēng)險(xiǎn)所帶來的可能損掉，是以，也就沒有編制獲得投資回報(bào)率，雖然這是個(gè)標(biāo)題問題，可是實(shí)踐傍邊，一般大年夜的企業(yè)城市有個(gè)根基的年度預(yù)算，IT/安然占企業(yè)年度預(yù)算的百分之多少，然后就是歸正就這么些錢，遵循風(fēng)險(xiǎn)從高到低或再連絡(luò)其他好比企業(yè)現(xiàn)有治理和手藝程度，項(xiàng)目實(shí)施的難易度等環(huán)境綜合考慮獲得風(fēng)險(xiǎn)措置優(yōu)先級，從高到低順次排序，錢到哪花完，風(fēng)險(xiǎn)措置本年就措置到哪。這編制到也比較具有實(shí)際價(jià)值，把持起來也等閑，預(yù)算多的企業(yè)也不怕錢花不完，預(yù)算少的企業(yè)也有其對編制，你帶領(lǐng)就給這么些錢，哪些不克不及措置的風(fēng)險(xiǎn)歸正我已奉告你啦，如果萬一出了工作你也怪不得我，沒有掉工作，等來歲有錢了再接著措置。

　　這也不算難的，最難最凸起的是那些不但僅做個(gè)一次風(fēng)險(xiǎn)評估的企業(yè)，出標(biāo)題問題了，幾回風(fēng)險(xiǎn)評估的成果不具有可比性，有時(shí)乃至還呈現(xiàn)矛盾的處所，例如說，某個(gè)部門往年是某個(gè)崗?fù)さ纳弦蝗巫龅?，本年是另外一名做的，評估成果不克不及反應(yīng)往年到本年做的工作改良了企業(yè)所面對的信息安然風(fēng)險(xiǎn)狀況，乃至詳實(shí)到某個(gè)風(fēng)險(xiǎn)上;更有甚者，好比前次對某個(gè)首要系統(tǒng)，因?yàn)闆]有需要的把持規(guī)程而導(dǎo)致誤把持而影響系統(tǒng)安然的風(fēng)險(xiǎn)，采納、規(guī)范了把持流程并且培訓(xùn)了相干把持人員等節(jié)制辦法，按理說這個(gè)風(fēng)險(xiǎn)已經(jīng)是獲得需要的節(jié)制，風(fēng)險(xiǎn)降落了，可是恰好評估的成果不降反升了。這個(gè)標(biāo)題問題，回納為一句就是：風(fēng)險(xiǎn)評估若何獲得一個(gè)一致的、可比較的、可反復(fù)的評估成果。

　　3. 對策

　　針對定性風(fēng)險(xiǎn)評估這個(gè)凸起標(biāo)題問題，在解決這個(gè)標(biāo)題問題之前，我們先有需要清晰的界定這個(gè)標(biāo)題問題。有人可能會(huì)問，我們企業(yè)在風(fēng)險(xiǎn)評估成果中，某項(xiàng)風(fēng)險(xiǎn)為100的風(fēng)險(xiǎn)是不是是意味著很大年夜呢？或問我們企業(yè)風(fēng)險(xiǎn)評估成果某項(xiàng)風(fēng)險(xiǎn)值為30的風(fēng)險(xiǎn)是不是是比其他企業(yè)同類型風(fēng)險(xiǎn)其風(fēng)險(xiǎn)值為100的風(fēng)險(xiǎn)小呢？謎底是：都不是。定性風(fēng)險(xiǎn)評估的風(fēng)險(xiǎn)值僅僅是個(gè)相對值，其數(shù)值本身的大年夜小不具成心義，其值只在全部風(fēng)險(xiǎn)參照系統(tǒng)中才具有相對(高/低)價(jià)值。企業(yè)與企業(yè)之間的安然風(fēng)險(xiǎn)對比，只有在利用統(tǒng)一風(fēng)險(xiǎn)評估編制(包含風(fēng)險(xiǎn)計(jì)較編制一致，定性尺度一致)，最好是不異業(yè)業(yè)并且營業(yè)類似的環(huán)境下，才具有橫向可比性。在統(tǒng)一企業(yè)內(nèi)部，風(fēng)險(xiǎn)評估成果要在不合部門橫向比較，在統(tǒng)一部門縱向比較，那么，則也必需在統(tǒng)一風(fēng)險(xiǎn)評估編制(包含風(fēng)險(xiǎn)計(jì)較編制一致，定性尺度一致)下才具有可比性。

　　定性風(fēng)險(xiǎn)評估其實(shí)踐把持中，首要依托評估者的小我經(jīng)驗(yàn)和鑒定，具有很強(qiáng)的主不雅特點(diǎn)，那我們的標(biāo)題問題就變成了：在統(tǒng)一風(fēng)險(xiǎn)評估編制下，若何盡可能的剔除評估者的主不雅干擾，使得風(fēng)險(xiǎn)評估的成果更接近與風(fēng)險(xiǎn)的真實(shí)狀況(雖然這類風(fēng)險(xiǎn)真實(shí)狀況沒法知曉，可是必然存在)？

　　解決這個(gè)題今朝途之一就是布局化。當(dāng)前所有的咨詢/安然辦事公司在幫忙企業(yè)做風(fēng)險(xiǎn)評估，或企業(yè)參照國際國內(nèi)尺度本身成立的一套風(fēng)險(xiǎn)評估系統(tǒng)本身進(jìn)行風(fēng)險(xiǎn)與節(jié)制自評估時(shí)，一般的把持流程是先做近況調(diào)研，按照近況調(diào)研的成果來做風(fēng)險(xiǎn)評估。可以說，風(fēng)險(xiǎn)評估是近況調(diào)研功能的另外一種表示情勢，更科學(xué)，更直不雅。那么，近況調(diào)研的成果作為風(fēng)險(xiǎn)評估的首要輸進(jìn)，經(jīng)由過程布局化近況調(diào)研的成果，即風(fēng)險(xiǎn)與風(fēng)險(xiǎn)應(yīng)對辦法成立布局化的聯(lián)系，如許在評價(jià)某個(gè)風(fēng)險(xiǎn)大年夜小，每次都對節(jié)制該風(fēng)險(xiǎn)對應(yīng)的所有應(yīng)對辦法做出闡發(fā)和評價(jià)?？匆韵吕樱?/P>

　　在風(fēng)險(xiǎn)評估編制上，針對把因?yàn)橘Y產(chǎn)責(zé)任不明而導(dǎo)致把持人員在誤把持時(shí)泄密某辦事器上盡密文件的這個(gè)具體風(fēng)險(xiǎn)與“資產(chǎn)所有者關(guān)系”、“文件化的把持法度”和“信息安然意識(shí)、教育和培訓(xùn)”三項(xiàng)“應(yīng)對”辦法成立布局化的聯(lián)系。第一次做風(fēng)險(xiǎn)評估時(shí)，因?yàn)槠髽I(yè)現(xiàn)有節(jié)制只有盡密文件的所有者指定了該文件的呵護(hù)要求這一項(xiàng)節(jié)制辦法，使得該項(xiàng)風(fēng)險(xiǎn)的弱點(diǎn)值較小，風(fēng)險(xiǎn)評估的成果16.

　　做完第一風(fēng)險(xiǎn)評估以后，后來指定了規(guī)范的把持法度并對人員進(jìn)行了需要的安然與把持手藝培訓(xùn)，把持人員已完全熟諳把持規(guī)范。第二次做風(fēng)險(xiǎn)評估時(shí)，一樣評價(jià)這項(xiàng)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)評估的成果就為4了。

　　\

　　經(jīng)由過程以上這個(gè)簡單的例子，我們便可以看到，當(dāng)一旦成立風(fēng)險(xiǎn)與風(fēng)險(xiǎn)應(yīng)對辦法這么一個(gè)布局化的關(guān)系時(shí)，在評價(jià)風(fēng)險(xiǎn)的大年夜小時(shí)，經(jīng)由過程對風(fēng)險(xiǎn)節(jié)制的科學(xué)分化，使得主不雅鑒定的負(fù)面影響在評估過程中降落。在實(shí)踐中，還可以做到更邃密些，好比對統(tǒng)一節(jié)制辦法的節(jié)制力度再做劃分，好比剛才阿誰例子中，“文件化的把持法度”這個(gè)把持流程的成熟度的角度來進(jìn)一步評判節(jié)制辦法的強(qiáng)度和有效性。當(dāng)然，同時(shí)也需要考慮同類風(fēng)險(xiǎn)之間的聯(lián)系關(guān)系關(guān)系和節(jié)制辦法之間的聯(lián)系關(guān)系關(guān)系。

　　4. 結(jié)束語

　　以上對定性的風(fēng)險(xiǎn)評估的編制在實(shí)踐把持的層面做了有益的切磋，這類切磋是源自我們的實(shí)踐總結(jié)，也在具體的項(xiàng)目中收到杰出的結(jié)果。總之，我們需要在尺度的資產(chǎn)風(fēng)險(xiǎn)評估編制上做需要的加法，同時(shí)，我們還要考慮定性評估編制的長處恰恰是簡單易把持而得以遍及應(yīng)用，在我們做加法的同時(shí)，還需要做減法，在保障一致的、可比較和可反復(fù)的評估成果時(shí)，還需要還原于其簡單、易把持的本質(zhì)，如許才能保持該編制的科學(xué)性和生命力。這事理恰好正如大年夜都會(huì)里的“我們”為了應(yīng)對嚴(yán)重的工作競爭和糊口壓力而在城市里更好的安身，要不竭給本身做加法(不斷的進(jìn)修充電)，同時(shí)也要不竭給本身做減法(放松、減壓、善待本身)一樣，大年夜家說，不是嗎？!