信息安全管理是以风险管理为核心的，预管理风险必须先知道风险，知道风险的最佳途径是进行风险评估。然而对很多企业来说这个看似非常成熟、或者不应该存在困难的风险评估，却总不能达到预期的效果。

风险评估结论普遍存在的问题是：战略性风险肉眼凡胎也能看出一些端倪，战术性风险又不疼不痒。这样的结论对风险控制策略的设计是无足轻重的，甚至实际的风险控制措施并没有针对真实存在的风险，而仅仅因为那是一般性安全架构需要而已。

实践表明造成风险评估效果不佳的主要原因有以下三点：

• 一是评估工作的组织与机制不健全，一般来说企业信息安全管理部门是评估工作的发起部门，但由于人力专业性的限制使得评估在很多内控与业务部门进行时，不能有效开展；
• 二是工作计划松散，这与第一点问题有关联，正是因为人力专业性的限制、评估组织与机制的欠缺才导致计划模糊，评估部门没有信心去索求评估结论的完备性；
• 三是评估方法僵化，当首次建立评估方法后，工作的惯性使得评估部门缺乏决心去实现方法的优化。以上问题几乎会形成一种不良循环，越是评估效果不好，越是在组织、计划和方法论改进中信心不足、畏首畏尾。

怎样提升风险评估的效果呢？自然是针对以上的三个问题去改变。实施风险评估时，评估组织或者团队可以是临时的，但他们应当覆盖一切需要的专业，管理、技术不可或缺。在评估周期内需要把评估工作纳入他们的日常作业中，这可能需要从治理上给予激励。制定评估计划时应当考虑评估前的培训，其中包括过程细节，局限于概念的培训是无助于效果的。只有评估细节确定了，计划才能有序，才能有必要的时间去争取结果。

最后再说说方法。

当前基于资产评估风险仍然是最可靠和符合逻辑的。企业的资产个体成千上万，理论上需要逐一评估他们，实践中我们可以对资产进行归一，同配置、同环境的资产可以只评估其中的代表，但前提条件是需要有细致的资产配置管理。资产价值依附的安全属性点应当与评估漏洞的安全属性点存在对应关系，否则容易出现结论的偏颇。

例如，一个对可用性要求极高而机密性要求极低的资产，评估出机密性漏洞并且风险还很高是无法接受的，又怎么能指导风险控制呢？其中原由是混合计算资产的机密性、完整性和可用性导致资产价值过高而影响了结论。

相关阅读

基于风险评估来做安全对企业意味着什么？

作者：沈海峰