任何事情都存在風(fēng)險(xiǎn)，信息系統(tǒng)亦然如此。如果不了解自身信息系統(tǒng)狀況，倘若其存在安全風(fēng)險(xiǎn)不加以控制或解決，企業(yè)的網(wǎng)絡(luò)安全就無法得到保證，系統(tǒng)內(nèi)存儲(chǔ)的各種信息也得不到基本保障。

簡(jiǎn)單來說，信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是用來了解信息系統(tǒng)目前的網(wǎng)絡(luò)安全防御能力，以及判斷是否存在安全隱患，并提前采取辦法防范。風(fēng)險(xiǎn)評(píng)估對(duì)于企業(yè)規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有很大的幫助，其中包含了多種安全檢測(cè)手段。

[[428422]]

那么，信息系統(tǒng)到底在什么階段適合做風(fēng)險(xiǎn)評(píng)估?

答案是：信息系統(tǒng)在其生命周期的各階段都需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。一個(gè)系統(tǒng)從設(shè)計(jì)到開發(fā)，再到正式投入使用，都應(yīng)該將網(wǎng)絡(luò)安全問題考慮在內(nèi)。危險(xiǎn)是不可預(yù)測(cè)的，但可以提前預(yù)防，然而預(yù)防的最佳方式則是進(jìn)行全面檢查，查漏補(bǔ)缺。

開展風(fēng)險(xiǎn)評(píng)估工作是為了更好地查找并發(fā)現(xiàn)信息系統(tǒng)或IT資產(chǎn)中存在的安全風(fēng)險(xiǎn)并進(jìn)行修復(fù)，消除安全隱患，避免安全事件的發(fā)生。

• 風(fēng)險(xiǎn)評(píng)估不僅關(guān)乎信息系統(tǒng)，還應(yīng)針對(duì)企業(yè)人員、企業(yè)網(wǎng)絡(luò)安全管理相關(guān)制度以及設(shè)備設(shè)施等;

• 風(fēng)險(xiǎn)評(píng)估不應(yīng)為了評(píng)估而評(píng)估。網(wǎng)絡(luò)安全是一項(xiàng)長(zhǎng)久的工作，不應(yīng)該為了應(yīng)付安全檢查或被迫整改而做，保持時(shí)刻有網(wǎng)絡(luò)安全建設(shè)的意識(shí)，開展風(fēng)險(xiǎn)評(píng)估工作是為了不斷提高企業(yè)的網(wǎng)絡(luò)安全水平和網(wǎng)絡(luò)安全程度。

既然每個(gè)階段都需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，如何解決預(yù)算缺失的問題?

信息系統(tǒng)生命周期每階段的評(píng)估頻率分為日、周、月、季度和年，沒有人能確定風(fēng)險(xiǎn)評(píng)估進(jìn)行的頻率和次數(shù)為多少算好，當(dāng)然高頻率相較低頻率會(huì)更好一些，因?yàn)榘踩L(fēng)險(xiǎn)總是出其不意。對(duì)于預(yù)算不足的企業(yè)，建議在系統(tǒng)上線前、每季度或每半年對(duì)IT資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，及時(shí)檢查安全隱患;而對(duì)于大型企業(yè)/單位，存有重要信息及數(shù)據(jù)的，應(yīng)注重評(píng)估頻率，加強(qiáng)安全防御水平。

網(wǎng)絡(luò)安全建設(shè)工作可大可小，企業(yè)應(yīng)根據(jù)自身需求和預(yù)算來投入，風(fēng)險(xiǎn)評(píng)估不能盲目隨從，看到別的企業(yè)加大力度投入也跟風(fēng)前行，合適自己的網(wǎng)絡(luò)安全建設(shè)方案才是最好的。