呼唤风险评估文化——访启明星辰副总裁兼首席技术官刘恒博士-《信息系统工程》
发布时间:2007-12-17   作者:信息系统工程

2006年1月,Gartner对福布斯2000强企业作了安全分析和调查,其中,盲目自信的占据近30%,正在开始认知的有50%,15%正在改进和完善流程,只有5%做到了真正的卓越运营。

 

这个比例显然并不尽如人意,可事实上在中国,恐怕距离这个比例也还比较远。这一点也体现在风险评估上。

 

“在国际上,很多公司安全做得很好。就拿风险评估来说,各行各业都有其对应的风险评估的标准规范,能够将风险评估个性化到行业自身,做得非常细致。比如石油一个行业就有十几个标准,企业可以根据自己的特点选择合适的风险评估方案。”启明星辰副总裁兼首席技术官刘恒博士介绍道。

 

而在国内虽然五年前已经出现了风险评估的概念,但时至今日,相关的标准、规章、案例、工具还未能成熟起来。

 

 

什么阻碍了风险评估

 

对照Gartner的调查结果,刘博士认为,中国有很多企业还处于第一阶段(盲目自信阶段),或者第一阶段向第二阶段(开始认知阶段)迈进的过程中。而风险评估工作正是企业由第一阶段向第二阶段转变的必经之路,因此,风险评估工作在现阶段就显得尤为重要。

 

“为什么很多企业在审计之后还做风险评估呢?因为在安全方面没底,他们还需要进一步了解自身的安全现状。”刘博士说。

 

虽然有很多人已经认识到了风险评估的重要性,但目前从整体上来讲,还有几个关键问题需要解决:首先是很多小公司和小企业也开始做所谓的风险评估,正所谓“人人都可做评估”,导致了市场的混乱,混淆了用户对于风险评估的认知;其次,国内真正的风险评估能力还很不足,也缺乏衡量评估能力水平的标准,一般企业很难完成大型的风险评估项目;第三,风险评估的工具、技术、知识库严重不足,导致了结果的不准确或与用户期望值不符。

 

刘博士认为最关键的,是缺少风险评估文化。“我这几年一直在说的是,国内最重要的问题是缺少一种风险评估的文化。如果这种文化能推而广之,用户才能在文化建设中逐渐理解和认识到风险评估是什么?为什么要去做?怎样才能做好?”

 

光明在前但道路曲折

 

因为这些问题,风险评估在中国的发展可说并不快。但在国家推动和大型企业带动之下,它也渐渐被广大用户所认知、熟悉起来,而这正是风险评估发展之根本。

 

那么,现阶段的风险评估应该怎么去做呢?刘博士说:“我国现在有这个机遇,也有市场,但风险评估的道路是曲折的。首先,整个国家的行业用户应该重视风险评估的文化建设,培养氛围,普及风险评估的知识,逐步提高风险评估能力;其次要注重风险评估的人才队伍培养,不仅评估机构要培养,用户也要重视,其中包括人才的资质、认证、可信度等;第三要加强和深入安全风险技术,评估工具和方法的开发。同时,还需要弥补风险控制方面存在的不足,在总结推广风险评估的最佳实践的基础上,逐步建立起行业化、客户化的风险规范和标准。”

 

风险评估不是简单叠加

 

提起风险评估,有人就会扳起手指说:“风险评估,就是检查漏洞加上调查数据加上人员安全检查加上……”这是一种普遍的误区。风险评估并非简单的叠加,而是通过每一点的调查,汇集起来进行分析,找到那些薄弱的环节。

 

对国内企业而言,他们正在进行安全认知,之后就会逐渐投入到改进和完善流程的工作中,所以在现阶段,推广风险评估文化,营造出风险评估氛围是非常重要的。实际操作需要正确的观念指引,而正确的观念正需要一种文化的浸染,建立在一个个成功的风险评估案例基础上。

文章来源:信息系统工程
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号