亚洲av乱码一区二区三区挤奶,欧美福利网站,亚洲AV无码第一区二区三区,欧美白人最猛性xxxxx

項目管理資源網(wǎng)

您的位置:項目管理資源網(wǎng) >> 項目管理基礎(chǔ)

項目風險評估應(yīng)警惕的失誤

2018/7/21 11:50:21 |  1843次閱讀 |  來源:網(wǎng)友轉(zhuǎn)載   【已有0條評論】發(fā)表評論

  作為風險管理的基礎(chǔ),風險評估是組織確定信息安全需求的一個重要途徑,屬于組織信息安全管理體系策劃的過程。從信息安全的角度來講,風險評估是對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。在企業(yè)試圖對IT的安全作出更好的決策時,最重要的就是IT風險評估。然而,雖然企業(yè)進行了風險評估,但他們經(jīng)常出現(xiàn)一些錯誤,從而大大降低了風險評估的效果。下面是企業(yè)需要避免的10個風險評估錯誤。

  1. 忘記評估第三方風險

  大多數(shù)IT風險專家都認為,現(xiàn)在大部分企業(yè)都沒有評估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施的風險,而這些基礎(chǔ)設(shè)施通常會觸及企業(yè)最敏感的的數(shù)據(jù)。

  咨詢公司SystemExperts公司副總裁Brad Johnson表示,“很多企業(yè)做得不夠的方面是管理與第三方供應(yīng)商的關(guān)系。當企業(yè)沒有真正進行其盡職調(diào)查(無論是在簽訂合同之前還是之后),他們勢必將錯過關(guān)鍵的細節(jié)信息,這將提高風險。舉例來說,客戶公司可能不知道其供應(yīng)商將其受規(guī)管的數(shù)據(jù)存儲在公共云中?!?/span>

  2.評估過于量化

  誠然,分析和數(shù)字對于風險評估非常重要。但企業(yè)需要了解,這個數(shù)字游戲并不需要過于追求完美,特別是當涉及評估安全泄露事故的影響時。

  “對安全事故影響的評估可以讓企業(yè)更容易地討論和關(guān)注如何緩解風險,而不是花大量時間來討論這種影響是價值2000萬美元還是21000美元,”Tripwire公司首席技術(shù)官Dwayne Melancon表示,“在你確定事故影響是災(zāi)難性的、令人痛苦的,或者沒什么大不了的,你就可以很好地討論你想要花多少錢來緩解最嚴重的風險?!?/span>

  過度分析可能會拖垮整個評估過程,企業(yè)應(yīng)該避免花太久時間來進行風險分類等工作。CITrix ShareFile的SaaS分部安全和合規(guī)性高級經(jīng)理Manny Landron表示,還有些定性風險因素,企業(yè)需要想辦法納入評估中。 “過于狹隘的焦點、采用嚴格的定量測量、沒有一個框架,以及沒有足夠的定期計劃的風險評估都是企業(yè)需要避免的錯誤?!?/span>

  3. 評估沒有考慮業(yè)務(wù)背景

  IT風險評估完全是關(guān)于背景知識,無論是上文提到的系統(tǒng)情況還是業(yè)務(wù)情況。如果企業(yè)沒有將漏洞和威脅加入到信息資產(chǎn)的背景知識中,其對業(yè)務(wù)的重要性就不能真正反映在風險評估中。

大數(shù)據(jù)風險分析公司Brinqa的Amad Fida表示,“在評估風險時,很多時候,首席信息安全官缺乏對業(yè)務(wù)背景的了解。換句話說,他們需要詢問,‘什么數(shù)據(jù)被訪問了以及這它對業(yè)務(wù)的影響力?’沒有考慮業(yè)務(wù)方面的分析結(jié)果提供了一個技術(shù)觀點,而不是業(yè)務(wù)加技術(shù)的觀點?!?/span>

   4. 未將IT風險評估納入到企業(yè)評估

  同樣地,企業(yè)需要了解IT風險與所有其他風險的相互作用。通常,企業(yè)將IT風險視為自己的風險類別,而沒有考慮其更廣泛的影響。

  SystemExperts的Johnson表示,“越來越多的風險意識企業(yè)意識到IT是其業(yè)務(wù)成功的組成部分,他們都在努力確保讓IT參與到業(yè)務(wù)風險談話中,很多企業(yè)都有跨職能團隊,他們從整體來檢查風險以更好地了解依存關(guān)系,這些團隊會建議從業(yè)務(wù)的角度企業(yè)應(yīng)該側(cè)重的風險?!?/span>

5.評估的目光過于短淺

  防火墻管理公司FireMon的Jody Brazil表示,這并沒有例外,大多數(shù)大型企業(yè)往往在其風險評估中忽略關(guān)鍵資產(chǎn)和評估指標。他表示,“其中最常見的問題是識別漏洞為‘風險’,而沒有其他信息,例如可能提供對數(shù)據(jù)的訪問

權(quán)限或者被利用,也可能將個人標記為‘風險’,而沒有對特定風險資產(chǎn)進行標記?!?/span>

  大多數(shù)企業(yè)沒有追蹤其基礎(chǔ)設(shè)施資產(chǎn)來很好地評估它們。更重要的是,即使他們經(jīng)常評估的完整的數(shù)據(jù)集,但這通常是在單獨的孤島進行,使其難以了解相互依存關(guān)系。

  價格報價軟件開發(fā)公司FPX高級運營總監(jiān)Gregory Blair表示,“有時候評估側(cè)重于非常特定的應(yīng)用程序,但是沒有放眼整個基礎(chǔ)設(shè)施,例如,評估可能只會檢查保護數(shù)據(jù)庫的應(yīng)用程序,而沒有檢查整個計算控制,例如加密、防火墻、身份驗證和授權(quán)等。”


    項目經(jīng)理勝任力免費測評PMQ上線啦!快來測測你排多少名吧~

    http://opto-elec.com.cn/pmqhd/index.html

“項目管理生根計劃”
企業(yè)項目經(jīng)理能力培養(yǎng)和落地發(fā)展方案下載>>

分享道


網(wǎng)站文章版權(quán)歸原作者所有,如有認為侵權(quán)請聯(lián)系我們,將于1個工作日內(nèi)作出處理!
網(wǎng)友評論【 發(fā)表評論 0條 】
網(wǎng)友評論(共0 條評論)..
驗證碼: 點擊刷新

請您注意護互聯(lián)網(wǎng)安全的決定》及中華人民共和國其他各項有關(guān)法律法規(guī)或間接導致的民事或刑事法律責任
·您在項目管理資源網(wǎng)新聞評論發(fā)表的作品,項目管理資源網(wǎng)有權(quán)在網(wǎng)站內(nèi)保留、轉(zhuǎn)載、引用或者刪除
·參與本評論即表明您已經(jīng)閱讀并接受上述條款
午夜高清国产拍精品| 免费性色在线| 亚洲精品视频在线免费| 人人妻人人澡人人爽欧美精品| 婷婷五月亚洲首页| 99国产网站精品| 一人一心一境界,一思一念一尘缘| av狠狠干| 国产99r| 乱亲女H秽乱长久久久| 日本亚洲欧美二区三区| 碰碰一区| 综合人人五月天丁香| 国产孩CAO大人XXXX| 日韩精品无码成人电影| 久久亚洲综合色图| 色五月月| 国产精品内射久久久久欢欢 | 欧美乱三级| 色欲久久蜜桃| 变态久久精品| 国产91熟女| 五月丁香啪啪视频| 女性高潮视频久久| 婷婷色久| 18禁无码毛片精品久久久久久| 暖暖高清无码| 青青草黄色在线| 成人在线色导航| 熟女视频一区二区三区| 国产美女主播一级AV| 少妇久久久久久人妻无码| 黄色三级片人妻| 理论片在线看片无码| 亚洲午夜福利院在线观看| 欧美亚州二区| 六月丁香成人| xxxxx日韩高清| 久久久久99精品国产片| 人妻欧美一区二区| 国产黑丝高跟在线|