【51CTO.com 独家特稿】跟着信息技术的快速开展和广泛运用，信息技术已深化到各行各业之中。越来越多的企业和安排运用信息技术为其事务供给支撑和服务，企业的信息化水平也在不断的进步，而信息安全问题也随之而来。

为了应对信息化给企业带来的各种安全危险，企业需求定时地对信息财物进行全面的危险评价作业。这项作业不只是企业树立ISO27001信息安全办理体系（ISMS）、取得ISO27001认证的必要途径，也是确保企业信息安全、事务安全的重要办法和有用手法。

关于处于ISMS体系建造阶段的企业来说，信息安全危险评价作业是树立ISMS体系的必要途径，其作业要点在于树立危险评价办法论、规划危险评价模型，搜集企业内部的信息财物，发现、评价而且操控这些信息财物带来的安全危险等等。而关于现已树立信息安全办理体系（ISMS）、或是已经过ISO27001认证的企业来说，信息安全危险评价是查验ISMS体系有用性、信息安全检查审计作业的重要组成部分，危险评价作业的要点在于实时保护企业信息财物，计算和比照信息安全操控办法对操控和下降信息安全危险的作用，定时的监控和发现新的信息安全危险，汇总和陈述信息安全危险或许带来的影响等等。

但是，企业信息安全危险评价作业是杂乱而繁琐的。笔者在与一些运营商、银行数据中心、证券交易所的信息安全办理人员沟通的过程中，殷切地感受到信息安全危险评价作业的重要性和杂乱性。例如，实时保护企业内部信息财物列表是一项需求和谐各个财物运用部分和人员的作业，假如简略的由信息安全办理人员手艺保护，不只作业量大，而且难以确保数据的有用性和实时性。再如，关于没有满足信息安全危险评价经历的评价人员来说，假如没有辅助工具的协助，难以发现信息财物的重要安全危险，而且信息财物品种、数量很多，难以精密的评价和操控。别的，信息安全办理人员运用Excel等作业软件进行危险评价作业，在进行危险评价的汇总和屡次危险评价成果的比对作业时较为杂乱，而制造生成危险评价陈述的作业也需求花费较大的作业量。据笔者了解，一般中型企业的一次信息安全危险评价作业将需求信息安全危险评价小组继续3到4个月的作业。由此可见，企业的信息安全危险评价作业亟待简化。

一种简化企业信息安全危险评价作业的办法是运用专业的信息安全危险办理工具。专业的信息安全危险办理工具通常是网络化的工具软件，将常见的危险评价模型和办法论集成到软件之中，一般包含有信息财物和运用体系辨认、危险辨认与评价、危险处置办法及监测、危险汇总与陈述生成、信息安全规范解析与实践等功用。

谷安全国的IT危险管控系列软件中的危险评价办理体系（GooRisk）便是一款专业的信息安全危险办理工具。在与多家大中型企业协作的过程中，GooRisk为客户的信息安全危险评价作业供给了简化之道。

信息财物搜集

运用GooRisk体系进行信息财物搜集作业，能够大大下降信息安全办理人员的作业量，而且能够施行坚持企业内部信息财物的实时性、准确性。依据多用户权限的体系渠道将答应各个部分保护其信息财物，当信息财物呈现改变或增加新的信息财物之时，各个部分能够自行保护其信息财物信息。信息安全办理人员则能够实时的了解企业内部信息财物的改变状况。GooRisk体系也供给信息财物的导入功用，便利信息财物的录入。

固化的危险评价办法论

GooRisk体系中固化了危险评价办法论和危险评价模型，为缺乏经历的信息安全办理人员供给了危险评价作业的理论依据和辅助工具。

常见危险辨认与引荐

GooRisk体系依据谷安全国多年信息安全咨询经历，依据各个职业范畴特征，拟定了依据信息财物类别的常见危险引荐常识库。信息安全办理人员能够经过“财物危险引荐”功用，取得这些咨询经历常识，轻松的辨认出企业信息财物的常见危险，再对详细信息财物进行危险调整之后，就能够完结了危险辨认与评价作业。

#p#

危险评价汇总和屡次危险评价成果比对

危险评价汇总是危险评价陈述的重要组成部分，经过GooRisk体系能够实时的检查到企业的信息安全危险，依照危险的严峻程度进行排序。

屡次危险评价成果的比对也是信息安全危险评价作业的重要组成部分，用来检查危险操控办法成效、调查信息安全危险改变趋势。运用GooRisk体系能够便利的进行屡次危险评价成果的比对。

多层次多维度报表和全流程危险评价陈述

GooRisk体系内置了几十种多层次多维度计算报表，而且能够主动生满足流程危险评价陈述。

计算报表包含了《财物信息报表》、《部分危险计算陈述》、《合规性距离剖析报表》、《危险散布图表》、《危险严峻程度报表》、《危险类别比照计算》、《剩下危险计算》、《剩下危险严峻程度》等等，根本涵盖了一般危险评价报表的规模。

主动生成的全流程危险评价陈述，体系性的对财物、危险、危险处理办法、危险处理办法和剩下危险进行全面计算和剖析。经过危险评价陈述，能够概括性的了解一个安排的信息财物构成和散布、危险散布趋势、危险操控办法概略，便于决策者从微观剖析信息安全危险，采纳相应的危险办理办法。GooRisk体系答应将成果导出 Word、Pdf 文件格局的陈述。

经过运用专业化的信息安全危险办理工具，相关企业的信息安全危险评价作业都得到了不同程度的简化，危险评价人员的作业量也都得到了必定的减轻。由此可见，运用专业信息安全危险办理工具能够有用地简化企业的信息安全危险评价作业，协助企业的信息安全办理人员完结杂乱的危险评价作业，然后进步企业的信息安全办理水平。