合理分配优先级别 怎样鉴定安全风险
发布时间:2022-04-22 09:32:37 所属栏目:安全 来源:互联网
导读:信息是企业的命脉,有价值的企业数据可供员工、业务伙伴和承包商通过本地、云计算和虚拟环境来访问, 提供对非公开重要信息的即时访问。但是,员工经常在未经允许的情况下加载第三方软件或者应用程序到他们的笔记本和智能手机上,并且这些设备都被连接到企业
|
信息是企业的命脉,有价值的企业数据可供员工、业务伙伴和承包商通过本地、云计算和虚拟环境来访问, 提供对非公开重要信息的即时访问。但是,员工经常在未经允许的情况下加载第三方软件或者应用程序到他们的笔记本和智能手机上,并且这些设备都被连接到企业网络和数据存储中。 根据关于与信息使用和IT资源有关的企业风险的研究显示,政策合规只有8%的企业可以确定目前企业的信息风险情况。此外,2%的企业根本无法回答这个问题,或者9个月或9个月以上才能给出答案,70%的企业不能在3个月内回答这个问题,20%需要一个星期到三个月。定义不清的企业风险、不适当的信息收集、装备不良的报告系统和非优先控制都是导致这些不合理延误的原因。 在企业为迎接信息无处不在的挑战而做的充足准备与定义和管理企业风险之间存在明显差异。与使用IT资源有关的风险***的企业能够马上回答其企业目前的信息风险情况,因为他们部署了正确的企业流程、控制和报告系统。 这些企业通常是从上自下来定义业务风险,然后再确定其优先次序。风险主要来自日常业务职能的执行,它们包括管理现金、采购风险、帐号安全、信用风险、法律风险、市场集中风险、监管风险、竞争风险、声誉风险和操作风险。 最成功的企业会利用多个部门和职能的技能来定义和管理与使用IT资源有关的业务风险。更多利益相关者的参与能够帮助企业优先考虑外部压力、业务风险,确定与使用信息和IT资源有关的核心企业风险,并使用报告系统来更好地监控、管理和平衡政策、风险、异常和控制的平衡。 收集信息以及生成关于信息风险和控制的报告的自动化水平也同样与实现更好的结果有着直接关系。简单地说,表现最差的企业部署着最少的自动化程序,而表现***的企业则部署了最多的自动化程序来收集信息和生成关于操作、财务、声誉和品牌风险的报告。 这些关于业务风险的企业报告主要根据优先次序、涉及的IT资产类型以及各种IT控制,特别是关于IT资产配置检查失败来标记和确定信息和系统完整中存在的不一致性。 他们还包括管理总结报告中的IT有效性指标,来显示IT服务水平的可用性、IT资产和信息的完整性、财务系统和信息的完整性、客户数据的完整性、敏感企业数据的完整性,以及审计和信息安全控制的完整性。 没有快速准确判断企业信息风险的能力,很多企业会在事故发生后发现,风险状况以及信息安全方案和控制能够减轻风险。  (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐