Home / Resources / News and Trends / Industry News / 2023 / 再思考IT资产评估、风险评估与控制实施

再思考IT资产评估、风险评估和控制实施

Rethinking IT Asset Valuation
Author: Shemlse Gebremedhin Kassa, CISA, CEH
Date Published: 20 June 2023

风险管理和评估对每个澳门赌场官方下载的信息安全战略规划至关重要. Any risk presented, whether by business processes, people, physical infrastructure, or information systems, must be assessed. 安全风险评估应包括评估资产的价值,以预测任何损害的影响和后果. 但专业人士在试图为澳门赌场官方下载提供资产估值保证时,往往面临挑战, 风险管理和控制实施实践. 这是由于不存在明确的、普遍接受的模型和程序. Fortunately, there are several proposed simple, 这里的适用模型可供专业人员用于度量和管理资产, 风险和控制在组织中的实施.

Asset Identification, Valuation and Categorization

Identification, 信息系统资产的评估和分类是正确开发和部署指定IT资产所需的安全控制流程的关键任务.g., data, their container). 能够通过使用此模型实现资产安全性的组织或个人必须首先识别和分类需要在安全流程中保护的组织IT资产.

将信息资产(如数据)映射到它的所有关键容器会导致技术资产, 物理记录和重要的存储人员, transporting and processing the asset.1 信息资产的映射用于确定驻留在特定容器上的所有信息资产. In addition, 容器的价值取决于在该特定容器中处理和传输(通过网络)或存储(驻留)的数据. 安全审计应该评估数据或信息的处理方式, transferred and stored in a secure manner.2

Risk Assessment and Management

风险评估包括对个体风险的定性评估和定量测量, including the interrelationship of their effects. 风险管理是一种避免损失和利用现有机会的策略, rather, opportunities potentially arising from risk areas.3 通常没有单一的策略可以解决所有的IT资产风险领域, but rather, 一套平衡的策略通常会提供最有效的解决方案. 一旦确定了风险区域,就可以评估它们是否可接受. If the risk is acceptable, 除了沟通和监控风险之外,不需要进一步的行动, but if the risk is not acceptable, 必须通过4种不同的预防和/或缓解措施加以控制:

  1. Reduce the impact.
  2. Reduce the likelihood.
  3. 转移风险(给保险公司或分包商).
  4. Avoid the risk. (暂时使目标与威胁保持距离总结了安全目标的潜在影响定义.)
通常没有单一的策略可以解决所有的IT资产风险领域, but rather, 一套平衡的策略通常会提供最有效的解决方案.

Conclusion

信息安全规划和安全控制实现的第一步是管理组织IT资产的风险和评估. 客观地衡量脆弱性等概念, threat, risk impact, 降低风险和实现对资产的控制可能是流程中最困难的部分. 这是因为在评级选择过程中主观判断缺乏统一性(高), low, 中等),结果的质量和准确性高度依赖于评估人员的专业经验. 这里描述的模型可以最大限度地减少错误,并引入由不同的个人及其组织执行的活动和过程结果的一致性.

Editor’s Note

这篇文章节选自一篇发表在 ISACA® Journal. Read the full article, “IT资产评估、风险评估与控制实施模型,” in vol. 3, 2017, of the ISACA Journal.

Endnotes

1 Caralli, R. A.; J. F. Stevens; L. R. Young; W. R. Wilson; “介绍八度快板:改进资讯安全风险评估流程,卡内基梅隆大学,美国宾夕法尼亚州匹兹堡,2007年5月
2 Olivia, “信息系统审计与信息安全审计的区别,” DifferenceBetween.com, 16 April 2011
3 Foroughi, F., “信息技术安全风险评估中的信息资产评估方法,“世界工程大会论文集2008,卷. I

Shemlse Gebremedhin Kassa, CISA, CEH

Is a systems and IT auditor for United Bank S.C. 也是埃塞俄比亚MASSK咨询公司的安全顾问. 他在商业和IT方面拥有多学科的学术和实践背景,在会计方面拥有10多年的经验, budgeting, auditing, 银行和金融行业的控制和安全咨询. Kassa积极参与IT安全项目和研究, 他致力于更新当前的系统和IT审计发展,以跟上动态变化的世界和不断增加的网络犯罪和黑客挑战. 他曾在本地及国际刊物发表文章,包括 ISACA Journal.