工程項目管理軟件供應(yīng)商。

　　就目前的狀態(tài)而言，雖然許多企業(yè)進行了風險評估，但他們經(jīng)常犯一些錯誤，這大大降低了風險評估的效果。接下來，金石軟件將與您分享企業(yè)需要避免的幾個風險評估錯誤。

　　1.評估過于量化。

　　誠然，分析和數(shù)字對風險評估非常重要。但企業(yè)需要明白，這款數(shù)字游戲并不需要太完美，尤其是在評估安全泄露事故的影響時。

　　對安全事故影響的評估可以讓企業(yè)更容易地討論和關(guān)注如何緩解風險，而不是花很多時間討論這種影響是價值2000萬美元還是21000美元。當你確定事故的影響是災(zāi)難性的，痛苦的，或者沒什么大不了的，你可以討論你想花多少錢來緩解最嚴重的風險。

　　過度分析可能會拖累整個評估過程，企業(yè)應(yīng)避免花費太長時間進行風險分類。還有一些定性的風險因素，企業(yè)需要找到一種方法來納入評估。過于狹隘的焦點。采用嚴格的定量測量。沒有框架，沒有足夠的定期計劃是企業(yè)需要避免的錯誤。

　　2.忘記評估第三方風險。

　　大多數(shù)IT風險專家認為，大多數(shù)企業(yè)沒有評估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施風險，而這些基礎(chǔ)設(shè)施通常觸及企業(yè)最敏感的數(shù)據(jù)。

　　許多企業(yè)做得不夠的是管理與第三方供應(yīng)商的關(guān)系。當企業(yè)沒有真正進行盡職調(diào)查(無論是在簽訂合同之前還是之后)時，他們必然會錯過關(guān)鍵的細節(jié)，這將增加風險。例如，客戶公司可能不知道其供應(yīng)商將其監(jiān)管數(shù)據(jù)存儲在公共云中。

　　3.評價的目光太短淺。

　　大多數(shù)大型企業(yè)往往忽視其風險評估中的關(guān)鍵資產(chǎn)和評估指標。最常見的問題之一是識別漏洞是風險，而沒有其他信息，如可能提供訪問數(shù)據(jù)或使用，或個人可能被標記為風險，而不標記特定的風險資產(chǎn)。

　　大多數(shù)公司沒有跟蹤他們的基礎(chǔ)設(shè)施資產(chǎn)來很好地評估他們。更重要的是，即使他們經(jīng)常評估完整的數(shù)據(jù)集，這通常是在一個單獨的島嶼上進行的，這使得他們很難理解相互依存。

　　有時評估側(cè)重于非常特定的應(yīng)用程序，但不關(guān)注整個基礎(chǔ)設(shè)施。例如，評估可能只檢查保護數(shù)據(jù)庫的應(yīng)用程序，而不檢查整個計算控制，如加密、防火墻、身份驗證和授權(quán)。

　　4.IT風險評估未納入企業(yè)評估。

　　同樣，企業(yè)也需要了解IT風險與所有其他風險之間的相互作用。通常，企業(yè)將IT風險視為自己的風險類別，而不考慮其更廣泛的影響。

　　越來越多的風險意識到IT是其業(yè)務(wù)成功的一部分，他們試圖確保IT參與業(yè)務(wù)風險談話，許多企業(yè)有跨職能團隊，他們從整體檢查風險，更好地了解依賴關(guān)系，這些團隊將建議企業(yè)從業(yè)務(wù)的角度應(yīng)該關(guān)注風險。

　　5.評估不考慮業(yè)務(wù)背景。

　　IT風險評估完全是關(guān)于背景知識，無論是上述系統(tǒng)情況還是業(yè)務(wù)情況。如果企業(yè)不在信息資產(chǎn)的背景知識中添加漏洞和威脅，其對業(yè)務(wù)的重要性就不能真正反映在風險評估中。

　　在評估風險時，首席信息安全官往往缺乏對業(yè)務(wù)背景的理解。換句話說，他們需要問，哪些數(shù)據(jù)被訪問并對業(yè)務(wù)產(chǎn)生影響?沒有考慮業(yè)務(wù)分析結(jié)果，而不是業(yè)務(wù)和技術(shù)。