浅论风险评估的几个误区
Leon321
看过,更要原谅我耽误您的时间 :-)
在BBS上看到有人发表一篇文章,说中小企业的风险评估不需要流程和标准,用自己去帮一个小公司做风险评估为例来说明这家公司的安全做得如何如何差,他
们必须要先自己做了改善后才能找人来做风险评估。言外之意就是我这么高端的风险评估,用来评估这么烂的信息安全状况,简直就是大才小用了。你先回去改改
好之后再来找我吧,当然这是我的揣度。其实此前就在论坛上大家热谈风险评估,有用论,无用论,标准论,定制论,量化论,定性论,莫衷一是,但是很多人的
观点里都透出一种感觉,就是风险评估是个很深奥的东西,动辄就以RA,风评名之。俺颇不以为然,今天有空,也来说一下我对于风险评估的看法。
我觉得首先不要神化风险评估,风险评估本质就是对企业风险进行原因分析和诊断的过程,这个活动的目的是为了对风险处理提供支持材料。很多人会在自己的方
法中引经据典,说自己的方法论如何符合某某国际标准,说自己方法的如何如何定量,像我们去看病时医生一般都要先诊断,再开处方。风险评估就是帮企业进行
诊断,后面的风险处理是开处方。诊断的重点不在于你用多先进的仪器,而在于找出病因,以便能对症下药,开出合理的药方。风险评估也一样,重点不在于你使
用的方法有多高深,你引用的标准有多权威,而在于你要找到问题的原因,为合理的风险处理提供足够的支持材料。
当然,我们也不要觉得自己的风险评估如何高端,对于小公司请自己去做风险评估就觉得如何不值。如果我们去看病时医生说"你的身体状况太差了,不值得我
看,自己先回家调理一下,身体好点了之后再来找我",你会不会觉得有些荒谬?
其次,像看病必须要诊断一样,风险评估是企业做信息安全的一个必须的过程,无论这个过程是自己进行还是请第三方的顾问公司来实施。至于风险评估的流程、
标准可以有多种多样,但是这个过程必须符合企业自己的实际情况。
想起一个笑话,说得是一个眼科医生摘下自己的眼镜,坚持要给前来看病的患者试戴,说"这个眼镜我用了几十年,用得非常好,你戴也一定能行"。
处方之前要先诊断,这个道理我想大家都明白。而对于企业进行安全治理/管理来说,风险评估就是对企业的安全状况进行诊断,后面的改善计划、控制措施就是
我们开出的处方。很多时候我觉得我们自己都是被自己创造出来的种种名词给忽悠了,觉得这个风险评估,RA,有多么神秘,有多么高高在上。其实说白了就是
诊断,病人最关心的东西是处方,但是如果没有合理的诊断,哪来合理的处方?当然,也有人不关心处方,国家干部要疗养,为得就是逍遥快活,随便诊疗一下,
弄点补药吃吃就好了。这种情况不在我们讨论之列:)
最后,我觉得在实际操作中要把握风险评估的本质和目的,不能以辞害意。风险评估无论流程复杂或者简单,定性还是定量,我们都不要忘了它的目的,那就是找
到信息安全风险的原因、优先级和紧急程度,为合理的风险处理提供足够的支持。我们如何对进行风险评估,也就是采用什么样的方法、流程和标准,这个我觉得
是仁者见仁,智者见智的事情。看病时中医要望闻切诊,西医要化验、拍片,他们的目的都是为了能够开出适合病人的药方。
借用大家常说的一句话来收尾,风险评估不是目的,而是手段。希望我们都能够在实际的项目中能够理解并实践这句话。毕竟,合理的解决问题才是领导最关心的
内容。