首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 您的组织需要安全风险评估吗

您的组织需要安全风险评估吗?

信息安全
作者: Ron Schmittling, CISA, CIA, CPA/ ctp,和Anthony Munns, CISA, CIRM, ctp, FBCS, NCC-U
发表日期: 2022年8月19日

尽管法规并没有指导组织如何控制或保护他们的系统, 它们确实要求系统是安全的,并且组织证明它具有有效的安全和控制基础设施. 澳门赌场官方下载风险管理(ERM)1 对任何一个想要实现这一目标的组织来说都是至关重要的. 澳门赌场官方下载风险评估方法已成为识别和管理组织系统风险的既定方法. 这种方法越来越多地应用于不同的领域,比如环境超级基金,2 健康3 公司评级.4

从历史上看, IT安全风险一直被视为IT或网络人员的责任, 因为这些人对控制基础设施的组件有最好的了解. 此外, 安全风险评估通常是在IT部门内部执行的,很少或没有其他部门的输入. 这种方法有局限性. 随着系统变得越来越复杂, 集成并连接到第三方, 安全和控制预算很快就达到了极限. 因此, 确保充分利用现有资源, IT应该理解不同系统集的相对重要性, 应用程序, data, 存储和通信机制. 为了满足这些要求, 组织应该执行采用澳门赌场官方下载风险评估方法的安全风险评估,并包括所有涉众,以确保解决IT组织的所有方面, 包括硬件和软件, 员工意识培训, 以及业务流程.

执行采用澳门赌场官方下载风险评估方法并包括所有涉众的安全风险评估.

为什么要进行安全风险评估?

组织有很多理由采取主动和重复的方法来解决信息安全问题. 旨在保护敏感或个人数据的法律和监管要求, 以及一般的公共安全要求, 让所有规模的公司都对信息安全风险给予最大的关注和重视. IT安全风险评估有许多名称,并且在方法方面可能有很大差异, 严格性和范围, 但是核心目标仍然是一样的:识别和量化组织信息资产的风险. 这些信息用于确定如何最好地减轻这些风险,并有效地维护组织的使命.

执行澳门赌场官方下载安全风险评估的一些基本原理包括:

  • 成本的理由,增加安全性通常需要额外的费用. 由于这不会产生容易确认的收入,证明这些费用的合理性往往是困难的. 一个有效的IT安全风险评估流程应该让关键业务经理了解与技术使用相关的最关键风险, 并自动直接地为安全投资提供理由.
  • 生产力,澳门赌场官方下载安全风险评估应该提高IT运营的生产力, 安全和审计. 通过采取步骤使审查正式化, 创建一个评审结构, 收集系统知识库中的安全知识,实现自分析功能, 风险评估可以提高生产率.
  • 打破壁垒,是最有效的, 安全性必须由组织管理人员和IT人员来解决. 组织管理负责制定与组织的适当安全级别相关的决策. IT人员, 另一方面, 负责制定与系统特定安全需求的实现相关的决策, 应用程序, 数据和控制.
  • 自我心理分析-澳门赌场官方下载安全风险评估系统必须始终简单易用, 不需要任何安全知识或IT专业知识. 这将允许管理层对组织系统的安全性拥有所有权, 应用程序和数据. 它还使安全性成为组织文化中更重要的一部分.
  • 沟通,通过从组织的多个部分获取信息, 澳门赌场官方下载安全风险评估可以促进沟通,加快决策.

澳门赌场官方下载风险评估和澳门赌场官方下载风险管理过程构成了信息安全框架的核心. 取决于组织IT环境的大小和复杂程度, 很明显,我们所需要的并不是对精确的价值和风险进行彻底和逐项的评估, 而是更普遍的优先顺序.

安全风险评估应该是一个持续的活动. 应至少每两年进行一次全面的澳门赌场官方下载安全风险评估,以探索与组织信息系统相关的风险. 澳门赌场官方下载安全风险评估只能给出信息系统在特定时间点的风险快照. 用于关键任务信息系统, 强烈建议更频繁地进行安全风险评估, 如果不是连续的.

编者按

这篇文章节选自一篇发表在 ISACA® 杂志. 阅读全文。”执行安全风险评估,在vol中. 1, 2010,的 ISACA杂志.

尾注

1 COSO 澳门赌场官方下载风险管理集成框架, 出版于2004年, 将ERM定义为“…过程”, 受一个实体的董事会影响, 管理人员和其他人员, 应用于战略制定和整个澳门赌场官方下载, 旨在识别可能影响主体的潜在事件,并将风险管理在其风险偏好范围内, 为实现实体目标提供合理保证.”
2 美国环境保护署(EPA)什么是风险评估?”,美国
3 环境健康危害评估办公室, 健康风险评估指南,美国加利福尼亚州环境保护署,美国
4 标准 & 可怜的是, RatingsDirect全球信用门户网站2008年5月7日

Ron Schmittling, CISA, CIA, CPA/ ctp

经理是否在布朗史密斯华莱士有限责任公司从事风险服务业务, 他在哪里领导IT安全和隐私业务. Schmittling拥有超过16年的经验,其中包括在一家大型金融服务公司担任高级技术领导职务超过5年,并担任IT审计职位, 为多个国际组织提供内部审计和咨询服务.

Anthony Munns, CISA, CIRM, ctp, FBCS, NCC-U

是Brown Smith Wallace风险服务部门的负责人吗. 在加入该组织之前,他领导安达信的St. 路易, 密苏里州, 在美国从事风险咨询工作并领导大平原(美国)地区业务系统审计工作. 他的专长是为中小型澳门赌场官方下载带来更大的澳门赌场官方下载实践. 在他20多年的职业生涯中, Munns管理和审核了包括SAP在内的澳门赌场官方下载系统和流程的实施和支持, 仁科, 劳森, JD Edwards和自定义客户机/服务器系统.