随着网络安全产品、技术的不断发展,越来越多的管理者发现,若想对自己的业务、资产、风险有一个直观清晰的了解,对自己的信息基础设施安全性有一个清晰的认识,最有效的方法便是对整个组织系统做一次全面的风险评估。
笔者认为,聘请外部专业风险评估公司进行对自身的风险评估是比较切实有效的途径。这种公司起初并不清楚用户的系统,因此在评估时不会有偏见,而且它可以从攻击者的角度来全面考察用户信息系统的安全性,可以客观地发现系统漏洞、资产威胁、管理等一系列安全隐患。而用若是采用内部员工进行风险评估,由于对内部流程和操作太过熟悉以至于他们可能很容易地混淆技术风险和运行风险,且出现要么更多的关注业务流程带来的风险,要么过多的关注技术细节带来的风险。总之,专业风险评估公司能够努力屏蔽“不识庐山真面目,只缘身在此山中”的影响,较为容易地找到问题的症结所在。那么,应该选择什么样的外部公司进行风险评估呢?
…