作业风险评估数据库

A. 企业安全风险评估怎么做

目前，国内外的企业信息安全风险评估大致分为两种模式：自评估和他评估。一般只有企业在发生较大变化时，主要业务系统发生重大改变时，才会进行他评估。而大多数情况下，企业只进行自评估，所以，自评估已成为企业信息安全风险评估的基本模式。

他评估，就像我们去医院体检。我们为了详细地了解自己的身体健康状况而需要医院做全面的分析和检查。企业在进行他评估的时候，也是为了全面了解其面临的信息安全风险而委托具有风险评估能力的专业评估机构或上级主管部门，对自己的安全策略、安全制度进行的风险评估活动。自评估，对于企业来讲，要用最小的资源消耗来了解企业当前的安全状态、安全流程以及安全控制措施的有效性。

自评估的“优”与“劣”如果你给自己看病，会有很多的不方便。自评估也是一样的道理。由于资源、评估人员的水平有限，存在许多的问题: 不深入、不规范、不到位；缺乏工具；主观因素太多；权威性小。当然了，也有比较好的方面：对外界的依赖少；费用低廉；周期较短；额外的风险小；能提高企业对自身的安全认识。

其实，选择他评估还是自评估都取决于效率和成本等因素。小企业可以通过自评估为主，以周期性他评估为辅的方式进行，但是大企业就需要以内部主导的厂商他评估，来进行企业信息安全风险评估，这是一种混合式的自评估。

企业信息安全风险的自评估贯穿企业发展的每个阶段。自评估涉及的评估要素也很多：风险本身、企业资产、企业的脆弱点、威胁源、控制措施和企业的安全需求等。

(企业自评估的实施流程)

风险评估，作为企业信息安全管理的第一步，它的评估结果直接影响着整个安全管理的质量。由于评估的各个要素又是处于不断变化之中，所以及时了解企业的安全状态是十分必要的，而定期评估是达到安全目的的必不可少的手段。