作業風險評估資料庫

A. 企業安全風險評估怎麼做

目前，國內外的企業信息安全風險評估大致分為兩種模式：自評估和他評估。一般只有企業在發生較大變化時，主要業務系統發生重大改變時，才會進行他評估。而大多數情況下，企業只進行自評估，所以，自評估已成為企業信息安全風險評估的基本模式。

他評估，就像我們去醫院體檢。我們為了詳細地了解自己的身體健康狀況而需要醫院做全面的分析和檢查。企業在進行他評估的時候，也是為了全面了解其面臨的信息安全風險而委託具有風險評估能力的專業評估機構或上級主管部門，對自己的安全策略、安全制度進行的風險評估活動。自評估，對於企業來講，要用最小的資源消耗來了解企業當前的安全狀態、安全流程以及安全控制措施的有效性。

自評估的「優」與「劣」如果你給自己看病，會有很多的不方便。自評估也是一樣的道理。由於資源、評估人員的水平有限，存在許多的問題: 不深入、不規范、不到位；缺乏工具；主觀因素太多；權威性小。當然了，也有比較好的方面：對外界的依賴少；費用低廉；周期較短；額外的風險小；能提高企業對自身的安全認識。

其實，選擇他評估還是自評估都取決於效率和成本等因素。小企業可以通過自評估為主，以周期性他評估為輔的方式進行，但是大企業就需要以內部主導的廠商他評估，來進行企業信息安全風險評估，這是一種混合式的自評估。

企業信息安全風險的自評估貫穿企業發展的每個階段。自評估涉及的評估要素也很多：風險本身、企業資產、企業的脆弱點、威脅源、控制措施和企業的安全需求等。

(企業自評估的實施流程)

風險評估，作為企業信息安全管理的第一步，它的評估結果直接影響著整個安全管理的質量。由於評估的各個要素又是處於不斷變化之中，所以及時了解企業的安全狀態是十分必要的，而定期評估是達到安全目的的必不可少的手段。