《企业网D1Net》11月4日讯

企业信息安全保护涉及的工作有很多，其中IT安全风险评估是非常重要的一项，它会直接影响后期企业对于信息安全方面的投入和运营决策，因此不可马虎。而企业在实际操作时往往会犯错，这些错误将大大影响评估结果。根据归纳总结，企业主要需避免以下五条错误，也就是五大“雷区”。

1. 忘记评估第三方风险

大多数IT安全风险专家都认为，现在大部分企业都没有评估供应商和其他合作伙伴的基础设施的风险，而这些基础设施通常会触及企业最敏感的的数据。

很多企业做得不够的方面是管理与第三方供应商的关系。当企业没有真正进行其尽职调查(无论是在签订合同之前还是之后)，他们势必将错过关键的细节信息，这将提高风险。举例来说，客户公司可能不知道其供应商将其受规管的数据存储在公共云中。

2.评估的目光过于短浅

大多数大型企业往往在其风险评估中忽略关键资产和评估指标。其中最常见的问题是识别漏洞为‘风险’，而没有其他信息，例如可能提供对数据的访问权限或者被利用，也可能将个人标记为‘风险’，而没有对特定风险资产进行标记。

大多数企业没有追踪其基础设施资产来很好地评估它们。更重要的是，即使他们经常评估的完整的数据集，但这通常是在单独的孤岛进行，使其难以了解相互依存关系。

3. 评估没有考虑业务背景

IT安全风险评估完全是关于背景知识，无论是上文提到的系统情况还是业务情况。如果企业没有将漏洞和威胁加入到信息资产的背景知识中，其对业务的重要性就不能真正反映在风险评估中。

在评估风险时，很多时候，首席信息安全官缺乏对业务背景的了解。换句话说，他们需要询问：什么数据被访问了以及这它对业务的影响力?没有考虑业务方面的分析结果提供了一个技术观点，而不是业务加技术的观点。

4.过于依赖评估工具

帮助企业持续监测IT资产的自动化工具不应该是风险评估的全部。因为有些风险必须要通过手动渗透测试深入挖掘才能够被发现。通常情况下，最重要的风险只能通过专门的手动分析被发现，例如网站的逻辑缺陷。首席信息安全官应该注意这个问题，因为过于依赖风险评估工具会给带来虚假的安全感，不能找出某些漏洞。

5.忘记考虑设备的物理安全性

当企业运行其评估时，经常被忽视的一个问题是物理安全性。设施的物理安全通常会直接影响内部的技术资产。物理安全性不仅影响着员工的安全、设备或硬拷贝数据资产的安全，而且还可能被用来植入秘密设备来允许攻击者远程发动攻击。

D1Net评论：

文中提到的5点确实是企业在实际进行IT安全风险评估时非常容易走入的误区。当然，这里面有涉及到管理的，也有涉及技术方面的问题。如果在技术方面遇到问题，可以求助更专业的评估服务团队，但是管理方面的问题则必须由企业管理者来着手解决，这些问题反而显得更关键。