引子:
从最开端接触风险评估理论到此刻,已有将近5个年初了,从最开端的跪拜捧为必杀技,然后是有一阵子思疑乃至预弃之不消,到此刻重拾之,尊之为做好安然的必备宝贝,这么一段起起伏伏的心理过程。对风险的编制在一步步的加深,本文从风险评估工作最凸起的标题问题:若何获得一致的、可比较的、可反复的风险评估成果,来加以阐发会商。
1. 风险评估的近况
风险理论也逐步被广大年夜信息安然专业人士所熟知,以风险驱动的编制往治理信息安然已被大年夜部门人所共知和接管,这几年国内等第呵护的如火如荼的展开,风险评估工作是水长船高,加上国内信息安然咨询和办事厂商和机构尽心尽力的鞭策,风险评估实践也在不竭的深进。当前的风险评估的编制首要参照两个尺度,一个是国际尺度《ISO13335信息安然风险治理指南》和国内尺度《GB/T 20984-2007信息安然风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。根基编制是辨认并评价组织/企业内部所要存眷的信息系统、数据、人员、办事等呵护对象,在参照当前风行的国际国内尺度如ISO27002,COBIT,信息系统等第呵护,辨认出这些呵护对象面对的威胁和本身所存在的能被威胁操纵的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后获得企业所面对的信息安然风险。这是大年夜大都组织在做风险评估时利用的编制。当然也有少数的组织/企业开端在资产风险评估的根本上,在实践中试探和开辟出近似与流程风险评估(请见另外一博文)等编制,弥补完美了资产风险评估。
2. 风险评估的凸起标题问题
信息安然范畴的风险评估乃至风险治理的编制是借鉴了银行业成熟的风险治理编制,银行业营业风险治理的编制已成长到相当作熟的境地,并且银行业也有很是丰硕的根本数据撑持着风险阐发编制的应用。可是,风险评估作为信息安然范畴的新闹事物,或说舶来之物,虽然信息安然本身在国内展开也不外是10来年,风险评估作为进步前辈思惟也存在着近似“马列主义要与中国的实际国情连络走中国特点社会主义道路”的标题问题。风险评估的定量评估编制贫乏需要的泥土,没有根本的、统计数据做撑持,定量风险评估寸步难移;而定性的风险评估其编制的本质是定性,所谓定性,则意味着估计、大年夜概,不准确,其本质的缺点给实践带来无限的标题问题,首要标题问题之一就是投资回报标题问题,因为不克不及从财务的角度往评价一个/组风险所带来的可能损掉,是以,也就没有编制获得投资回报率,虽然这是个标题问题,可是实践傍边,一般大年夜的企业城市有个根基的年度预算,IT/安然占企业年度预算的百分之多少,然后就是归正就这么些钱,遵循风险从高到低或再连络其他好比企业现有治理和手艺程度,项目实施的难易度等环境综合考虑获得风险措置优先级,从高到低顺次排序,钱到哪花完,风险措置本年就措置到哪。这编制到也比较具有实际价值,把持起来也等闲,预算多的企业也不怕钱花不完,预算少的企业也有其对编制,你带领就给这么些钱,哪些不克不及措置的风险归正我已奉告你啦,如果万一出了工作你也怪不得我,没有掉工作,等来岁有钱了再接着措置。
这也不算难的,最难最凸起的是那些不但仅做个一次风险评估的企业,出标题问题了,几回风险评估的成果不具有可比性,有时乃至还呈现矛盾的处所,例如说,某个部门往年是某个岗亭的上一任做的,本年是另外一名做的,评估成果不克不及反应往年到本年做的工作改良了企业所面对的信息安然风险状况,乃至详实到某个风险上;更有甚者,好比前次对某个首要系统,因为没有需要的把持规程而导致误把持而影响系统安然的风险,采纳、规范了把持流程并且培训了相干把持人员等节制办法,按理说这个风险已经是获得需要的节制,风险降落了,可是恰好评估的成果不降反升了。这个标题问题,回纳为一句就是:风险评估若何获得一个一致的、可比较的、可反复的评估成果。
3. 对策
针对定性风险评估这个凸起标题问题,在解决这个标题问题之前,我们先有需要清晰的界定这个标题问题。有人可能会问,我们企业在风险评估成果中,某项风险为100的风险是不是是意味着很大年夜呢?或问我们企业风险评估成果某项风险值为30的风险是不是是比其他企业同类型风险其风险值为100的风险小呢?谜底是:都不是。定性风险评估的风险值仅仅是个相对值,其数值本身的大年夜小不具成心义,其值只在全部风险参照系统中才具有相对(高/低)价值。企业与企业之间的安然风险对比,只有在利用统一风险评估编制(包含风险计较编制一致,定性尺度一致),最好是不异业业并且营业类似的环境下,才具有横向可比性。在统一企业内部,风险评估成果要在不合部门横向比较,在统一部门纵向比较,那么,则也必需在统一风险评估编制(包含风险计较编制一致,定性尺度一致)下才具有可比性。
定性风险评估其实践把持中,首要依托评估者的小我经验和鉴定,具有很强的主不雅特点,那我们的标题问题就变成了:在统一风险评估编制下,若何尽可能的剔除评估者的主不雅干扰,使得风险评估的成果更接近与风险的真实状况(虽然这类风险真实状况没法知晓,可是必然存在)?
解决这个题今朝途之一就是布局化。当前所有的咨询/安然办事公司在帮忙企业做风险评估,或企业参照国际国内尺度本身成立的一套风险评估系统本身进行风险与节制自评估时,一般的把持流程是先做近况调研,按照近况调研的成果来做风险评估。可以说,风险评估是近况调研功能的另外一种表示情势,更科学,更直不雅。那么,近况调研的成果作为风险评估的首要输进,经由过程布局化近况调研的成果,即风险与风险应对办法成立布局化的联系,如许在评价某个风险大年夜小,每次都对节制该风险对应的所有应对办法做出阐发和评价。看以下例子:
在风险评估编制上,针对把因为资产责任不明而导致把持人员在误把持时泄密某办事器上尽密文件的这个具体风险与“资产所有者关系”、“文件化的把持法度”和“信息安然意识、教育和培训”三项“应对”办法成立布局化的联系。第一次做风险评估时,因为企业现有节制只有尽密文件的所有者指定了该文件的呵护要求这一项节制办法,使得该项风险的弱点值较小,风险评估的成果16.
做完第一风险评估以后,后来指定了规范的把持法度并对人员进行了需要的安然与把持手艺培训,把持人员已完全熟谙把持规范。第二次做风险评估时,一样评价这项风险,风险评估的成果就为4了。
\
经由过程以上这个简单的例子,我们便可以看到,当一旦成立风险与风险应对办法这么一个布局化的关系时,在评价风险的大年夜小时,经由过程对风险节制的科学分化,使得主不雅鉴定的负面影响在评估过程中降落。在实践中,还可以做到更邃密些,好比对统一节制办法的节制力度再做划分,好比刚才阿谁例子中,“文件化的把持法度”这个把持流程的成熟度的角度来进一步评判节制办法的强度和有效性。当然,同时也需要考虑同类风险之间的联系关系关系和节制办法之间的联系关系关系。
4. 结束语
以上对定性的风险评估的编制在实践把持的层面做了有益的切磋,这类切磋是源自我们的实践总结,也在具体的项目中收到杰出的结果。总之,我们需要在尺度的资产风险评估编制上做需要的加法,同时,我们还要考虑定性评估编制的长处恰恰是简单易把持而得以遍及应用,在我们做加法的同时,还需要做减法,在保障一致的、可比较和可反复的评估成果时,还需要还原于其简单、易把持的本质,如许才能保持该编制的科学性和生命力。这事理恰好正如大年夜都会里的“我们”为了应对严重的工作竞争和糊口压力而在城市里更好的安身,要不竭给本身做加法(不断的进修充电),同时也要不竭给本身做减法(放松、减压、善待本身)一样,大年夜家说,不是吗?!