IT 风险评估基础知识和最佳实践.docx

IT风险评估基础知识和最佳实践

IT风险评估是深入了解组织的IT环境、风险和控制措施的好方法。如果以有条不紊且范围明确的方式完成，IT风险评估对于整个组织的许多利益相关者（包括企业风险、审计、合规性和安全部门）来说都是一个非常有价值的工具。IT风险评估不仅提供了组织安全风险态势的全面视图，而且还提供了对不断演变的威胁的识别和优先级的见解。这些见解使风险的处理和补救变得更加容易和有效。

随着信息安全威胁变得越来越普遍，网络攻击继续以公共和私人机构为目标并暴露漏洞，IT风险评估可以提供的价值只会增加。网络安全或数据泄露的成本和后果每年都在上升，而此时个人隐私比以往任何时候都更受关注。

通过有效的IT风险评估流程，公司可以增强其安全态势、识别普遍存在的漏洞、建立强大的事件响应程序并更好地保护敏感信息。在IT风险管理计划中采取几个关键步骤，组织可以开始将定期安全风险评估集成到风险管理流程中，并更好地管理对其关键信息系统的潜在威胁。

什么是IT风险管理？

在深入研究IT风险评估最佳实践之前，了解IT风险管理甚至整个风险管理的更大背景非常重要。从孤岛中应对风险充其量是无效的，最坏的情况是不充分的心态中走出来，组织开始转向总体风险管理战略，采取积极主动的方法，以跨职能、系统和优先的方式应对风险。运营风险管理（ORM）、供应链风险管理（SCRM）和IT风险管理（ITRM）等各种子学科从风险管理的核心原则分支出来，并将这些原则应用于相关的业务运营和部门。

IT风险管理全面审视组织，以评估影响IT系统关键性、威胁组织敏感数据以及影响安全态势以及业务流程、目标和目的的风险。一旦识别出风险，IT风险管理从业人员就会制定安全控制和缓解计划，以防止或限制这些已识别风险的影响。

使用安全风险评估、网络安全风险评估或IT风险评估（这些名称通常可以互换）有助于确定已识别风险对组织构成的总体风险级别。因此，IT风险评估是任何IT风险管理职能的基石，它既是实施IT风险管理计划的起点，也是评估组织安全态势随时间推移的温和检查。

什么是IT风险评估？

IT风险评估不限于特定的表格或模板，尽管公司可能希望使用现有的IT风险管理框架，例如美国国家标准与技术研究院（NIST）?或国际标准化组织（ISO）?提供的框架，至少在最初是这样。IT风险评估侧重于组织的安全风险、为解决这些风险而采取的控制措施、改进机会、差距以及补救或风险缓解建议。

这些安全风险评估可以由内部和外部各方执行，因为它们不构成正式的合规性审计-但是，作为IT风险评估的一部分所采用的程序和文档在审计事件中可能非常有用，并且是任何合规计划的典型要求。一份高质量的网络安全风险评估报告可以向审计师和领导层证明公司已经进行了尽职调查，以管理关键资产的风险。

此外，由于IT风险评估不是审计，因此公司可以灵活地确定自己的范围。这允许组织对风险评估活动采取分阶段的方法，例如最初评估与高风险IT基础设施和系统相关的领域，并最终将范围扩展到业务的其他部分，使其更加全面。这也使它们更实惠、更相关，并专注于对业务产生最大影响的领域。

IT风险评估流程的组成部分是什么？

IT风险评估过程遵循识别、分析、处理和监控的生命周期。此生命周期最终生成一份汇编报告，其中包含已识别的风险、随附的风险评分、应对这些风险的补救计划以及负责执行补救的风险所有者。

鉴定

安全风险评估的第一部分是识别，即确定和识别范围内IT系统的风险。在识别风险时，明智的做法是问：“会出什么问题？通常，该问题的答案指向可能对组织产生潜在影响的离散安全风险。

在整个网络安全风险评估过程中，组织还可以通过其他方式识别风险，例如从安全事件中学习，结合渗透测试和漏洞扫描，以及对一般网络安全风险保持警惕。

从安全事件中学习

从过去影响公司的安全事件或其他组织遭受的数据泄露中吸取教训可能是识别风险的一种很好的方法，尽管很痛苦。对以前的安全事件执行根本原因分析将揭示导致该事件的风险，从而提供缓解和理想情况下防止这些漏洞在未来被利用的机会。对其他组织成功的网络攻击可以为黑客使用的技术和漏洞提供有价值的见解，使公司能够将镜子对准自己并了解它们暴露在哪里。

研究黑客用来渗透系统并绕过防火墙和其他安全控制的技术是识别风险的好方法，执行渗透测试也是如此。

渗透测试

渗透测试，有时称为“道德黑客”，当IT专业人员试图利用组织安全漏洞来访问其信息系统和敏感数据时，就会发生渗透测试。然后，在报告中分析和总结这些弱点，并提出补救建议。

渗透测试对组织的信息安全配置、数据安全措施、访问控制、安全自动化和身份验证机制进行更深入的技术深入研究，并直接模拟黑客的活动，使其成为现代IT安全部门的宝贵