任何事情都存在風(fēng)險，信息系統(tǒng)亦然如此。如果不了解自身信息系統(tǒng)狀況，倘若其存在安全風(fēng)險不加以控制或解決，企業(yè)的網(wǎng)絡(luò)安全就無法得到保證，系統(tǒng)內(nèi)存儲的各種信息也得不到基本保障。

簡單來說，信息系統(tǒng)風(fēng)險評估是用來了解信息系統(tǒng)目前的網(wǎng)絡(luò)安全防御能力，以及判斷是否存在安全隱患，并提前采取辦法防范。風(fēng)險評估對于企業(yè)規(guī)避網(wǎng)絡(luò)安全風(fēng)險有很大的幫助，其中包含了多種安全檢測手段。

[[428422]]

那么，信息系統(tǒng)到底在什么階段適合做風(fēng)險評估?

答案是：信息系統(tǒng)在其生命周期的各階段都需要進(jìn)行風(fēng)險評估。一個系統(tǒng)從設(shè)計到開發(fā)，再到正式投入使用，都應(yīng)該將網(wǎng)絡(luò)安全問題考慮在內(nèi)。危險是不可預(yù)測的，但可以提前預(yù)防，然而預(yù)防的最佳方式則是進(jìn)行全面檢查，查漏補(bǔ)缺。

開展風(fēng)險評估工作是為了更好地查找并發(fā)現(xiàn)信息系統(tǒng)或IT資產(chǎn)中存在的安全風(fēng)險并進(jìn)行修復(fù)，消除安全隱患，避免安全事件的發(fā)生。

• 風(fēng)險評估不僅關(guān)乎信息系統(tǒng)，還應(yīng)針對企業(yè)人員、企業(yè)網(wǎng)絡(luò)安全管理相關(guān)制度以及設(shè)備設(shè)施等;

• 風(fēng)險評估不應(yīng)為了評估而評估。網(wǎng)絡(luò)安全是一項長久的工作，不應(yīng)該為了應(yīng)付安全檢查或被迫整改而做，保持時刻有網(wǎng)絡(luò)安全建設(shè)的意識，開展風(fēng)險評估工作是為了不斷提高企業(yè)的網(wǎng)絡(luò)安全水平和網(wǎng)絡(luò)安全程度。

既然每個階段都需要進(jìn)行風(fēng)險評估，如何解決預(yù)算缺失的問題?

信息系統(tǒng)生命周期每階段的評估頻率分為日、周、月、季度和年，沒有人能確定風(fēng)險評估進(jìn)行的頻率和次數(shù)為多少算好，當(dāng)然高頻率相較低頻率會更好一些，因為安全風(fēng)險總是出其不意。對于預(yù)算不足的企業(yè)，建議在系統(tǒng)上線前、每季度或每半年對IT資產(chǎn)進(jìn)行風(fēng)險評估，及時檢查安全隱患;而對于大型企業(yè)/單位，存有重要信息及數(shù)據(jù)的，應(yīng)注重評估頻率，加強(qiáng)安全防御水平。

網(wǎng)絡(luò)安全建設(shè)工作可大可小，企業(yè)應(yīng)根據(jù)自身需求和預(yù)算來投入，風(fēng)險評估不能盲目隨從，看到別的企業(yè)加大力度投入也跟風(fēng)前行，合適自己的網(wǎng)絡(luò)安全建設(shè)方案才是最好的。