怎么样才能简化企业信息安全风险评估工作呢？

为了应对信息化带来的各种安全风险，企业需要定期对信息资产进行全面的风险评估。这项工作不仅是企业建立ISMS ISO27001信息安全管理体系、获得ISO27001认证的必要途径，也是保障企业信息安全和业务安全的重要有效手段。

对于处于ISMS系统建设阶段的企业，信息安全风险评估是建立ISMS系统的必要途径。其工作重点是建立风险评估方法论，设计风险评估模型，收集企业内部的信息资产，发现、评估和控制这些信息资产带来的安全风险等等。对于已经建立ISMS或通过ISO27001认证的企业，信息安全风险评估是检查ISMS体系和信息安全审计有效性的重要内容。风险评估的重点在于实时维护企业信息资产，统计和比较信息安全控制措施对控制和降低信息安全风险的效果，定期监测和发现新的信息安全风险，总结和报告信息安全风险可能造成的影响，等等。

然而，企业信息安全的风险评估是复杂而繁琐的。笔者在与一些运营商、银行数据中心、证券交易所的信息安全管理人员交流的过程中，深刻感受到信息安全风险评估的重要性和复杂性。例如，企业内部信息资产清单的实时维护是一项需要协调使用资产的部门和人员的任务。如果单纯由信息安全管理人员手工维护，不仅工作量大，而且难以保证数据的有效性和实时性。再比如，对于没有足够信息安全风险评估经验的评估人员来说，如果没有辅助工具的帮助，很难发现信息资产的重要安全风险，而且信息资产的种类和数量非常多，很难进行细致的评估和控制。此外，信息安全管理人员使用Excel等办公软件进行风险评估，在汇总风险评估和比较多个风险评估的结果方面比较复杂，制作和生成风险评估报告需要大量的工作。据笔者了解，一般中型企业的信息安全风险评估，需要信息安全风险评估团队工作3到4个月。因此，企业的信息安全风险评估需要简化。

简化企业信息安全风险评估的一种方法是使用专业的信息安全风险管理工具。专业的信息安全风险管理工具通常是网络化工具，将常用的风险评估模型和方法集成到软件中，一般包括信息资产和应用系统识别、风险识别和评估、风险处置措施和监控、风险汇总和报告生成、信息安全标准分析和实践等功能。

GooRisk management system (GORISK)是Antioch的一系列IT风险管控软件，是一款专业的信息安全风险管理工具。在与多家大中型企业的合作过程中，GooRisk为客户的信息安全风险评估提供了一种简化的方式。

信息资产收集

使用GooRisk系统收集信息资产可以大大减轻信息安全管理人员的工作量，并可以保持企业信息资产的实时性和准确性。基于多用户权限的系统平台将允许每个部门维护其信息资产。当信息资产发生变化或增加新的信息资产时，各部门可以自行维护其信息资产。信息安全管理者可以实时了解企业信息资产的变化。GooRisk系统还提供了信息资产的导入功能，方便信息资产的输入。

固化的风险评估方法

GooRisk系统固化了风险评估方法论和风险评估模型，为缺乏经验的信息安全管理者提供了理论基础和辅助工具。

常见风险的识别和建议

根据固安天下多年的信息安全咨询经验和各行业特点，GooRisk system开发了基于信息资产类别的通用风险推荐知识库。信息安全管理者可以通过“资产风险推荐”功能获取这些咨询经验和知识，轻松识别企业信息资产的共性风险，进而调整具体信息资产的风险，进而完成风险识别和评估。

风险评估总结和多个风险评估结果的比较

风险评估总结是风险评估报告的重要组成部分。通过GooRisk系统，可以实时查看企业的信息安全风险，并根据风险的严重程度进行排序。

多个风险评估结果的比较也是信息安全风险评估的重要组成部分，用于检查风险控制措施的有效性，观察信息安全风险的变化趋势。GooRisk系统可用于方便地比较多个风险评估的结果。

多层次多维度报告和全流程风险评估报告

GooRisk系统内置了数十种多层次、多维度的统计报告，可以自动生成全流程风险评估报告。

统计内容包括资产信息报告、部门风险统计报告、合规差距分析报告、风险分布图、风险严重程度报告、风险类别对比统计、剩余风险统计、剩余风险严重程度等，基本涵盖了一般风险评估报告的范围。

自动生成全流程风险评估报告，系统地对资产、风险、风险处理方法、风险处理措施和剩余风险进行全面统计和分析。通过风险评估报告，可以大致了解一个机构信息资产的构成和分布情况、风险分布趋势、风险控制措施的大致情况，便于决策者从宏观角度分析信息安全风险，采取相应的风险管理方法。GooRisk系统允许将结果导出为Word和Pdf文件格式的报告。

通过使用专业的信息安全风险管理工具，不同程度地简化了相关企业的信息安全风险评估，也在一定程度上减轻了风险评估人员的工作量。可以看出，使用专业的信息安全风险管理工具，可以有效简化企业的信息安全风险评估，帮助企业信息安全管理者完成复杂的风险评估，从而提高企业的信息安全管理水平。