그는 우리가 병원에 가서 검진을 받는 것처럼 평가했다. 우리는 병원이 전면적인 분석과 검사를 해야 우리의 신체 건강 상태를 자세히 알 수 있다. 기업은 또 다른 평가를 수행할 때 위험 평가 능력을 갖춘 전문 평가 기관이나 상급 주관 부서에 의뢰하여 자신의 보안 정책 및 보안 시스템에 대한 위험 평가 활동을 실시하여 직면한 정보 보안 위험에 대한 종합적인 이해를 제공합니다. 자체 평가, 기업의 경우 최소한의 자원 소비로 현재의 보안 상태, 보안 프로세스 및 보안 제어 조치의 효과를 이해해야 합니다.
자기평가' 우수' 와' 차이' 가 자신을 대하면 많은 불편이 생길 수 있다. 자기 평가도 마찬가지다. 자원과 평가자의 수준이 제한되어 있기 때문에, 깊이 들어가지 않고, 표준화되지 않고, 적절하지 않은 문제들이 많다. 도구 부족 주관적인 요소가 너무 많다. 그다지 권위가 없다. 물론 더 좋은 점도 있습니다. 외부 세계에 대한 의존도가 적습니다. 저렴한 비용 주기가 짧다 추가 위험은 작습니다. 기업의 안전 의식을 높일 수 있다.
실제로 다른 평가나 자기평가를 선택하는 것은 효율성과 비용 등에 달려 있다. 중소기업은 자기평가를 위주로 정기적인 자기평가를 보완할 수 있지만 대기업은 내부 선두 업체인 자기평가를 통해 기업 정보 보안 위험 평가를 수행해야 합니다. 이는 혼합형 자기평가입니다.
기업 정보 보안 위험에 대한 자체 평가는 기업 발전의 모든 단계를 거칩니다. 자체 평가에는 위험 자체, 기업 자산, 기업 취약성, 위협원, 통제 조치, 기업 보안 요구 사항 등 많은 평가 요소가 포함됩니다.
(기업 정보 보안 위험 평가 요소 다이어그램)
기업과 위협원의 대립관계는 인체와 병원체 사이의 관계처럼 서로 대립하고 있다. 기업은 자산을 보유하고 있어 통제 조치를 통해 자산의 취약성을 줄여야 위험 증가를 피할 수 있다. 기업은 위협의 원천을 막기 위해 보안 요구 사항을 충족하기 위한 적절한 통제 조치가 필요합니다.
기업 자체 평가 원칙:
표준화된 지침 원칙 (관련 국가 또는 국제 표준의 지도 하에 전체 평가 작업을 수행합니다. ) 을 참조하십시오
평가자의 다양성 (기업의 모든 관점에서)
관리와 기술 평가의 결합; (3 점 기술, 7 점 관리)
중점 평가 및 종합 평가 중요한 자원을 평가하는 동시에 조건이 허락한다면 가능한 한 많이 평가해야 한다. ) 을 참조하십시오
기업 효율성 및 평가 효율성을 종합적으로 고려하십시오. (평가 프로세스가 기업의 생산성에 영향을 미치는지 여부)
그의 평가를 보충하다. 자기 평가의 결과는 그가 참고할 수 있도록 표준화된 형식으로 보관해야 한다. ) 을 참조하십시오
기업 자체 평가의 프로세스 설계: 기업의 자체 평가 활동은 역동적인 과정이다. 기업이 발전함에 따라 기업의 안전 요구 사항을 충족하기 위해 끊임없이 자체 평가가 필요하다.
(기업 자체 평가 구현 프로세스)
위험 평가는 기업 정보 보안 관리의 첫 번째 단계로서 전체 보안 관리의 품질에 직접적인 영향을 미칩니다. 평가의 모든 요소가 끊임없이 변하기 때문에 기업의 안전 상태를 적시에 이해하는 것이 필요하며, 정기 평가는 안전 목표를 달성하는 데 없어서는 안 될 수단이다.