有关专家对银行风险评估的看法之论述

fanshan

无锡-张梁(40539334) 2011-04-05 9:18:10
       对于专家的说法，记者有一些同感。2004年记者有幸参加了银行重大系统的专家组验收会，对整个验收的过程有一些了解和感觉，虽说谈不上腐败，但是那种走过场和流于形式的现象还是挺有感触的。
　　该专家认为，评估工作正确的做法是把评估的重点放在信息资产的价值评估上，给出信息资产和风险资产价值化的评分与定价的标准。评估工作除实行价值评估外，还要实行效益或有效性的再评估。
　　现在的信息安全已经逐渐变成一个独立的学科，一些信息化主管认为，信息安全需要有专业人员提供服务，包括风险分析、咨询服务等。在国家尚未对安全服务进行规划化管理时，金融业可以先行一步，对提供安全服务的企业进行行业资质管理，依靠政策和市场相调控的原则，来弥补银行安全人才缺乏的短板。
　　就算评估工作是真实的，且在通过评估之后，由有关部门发放证书，证明其符合要求与标准。但评估之后，要使被评估的工作还能保持评估时的标准要求，就必须对被评估企业进行监管。

上文为网友摘录专家所言，对此，提一些个人看法于下，与各位共同探讨：
1、我觉得，评估的重点应该是风险对机构业务的影响以及影响带来的损失的价值。有钱的不一定是重点资产，这个问题在于资产的重要程度的定义方式。
2、风险评估有自评估和第三方评估，在评估途径中又有基线评估、详细评估和组合评估，一个机构没有足够信息安全专业人员的时候，首次实施评估的评估机构应该在评估培训中引导客户掌握基线评估法，能够满足机构的基础评估工作。乙方过度的隐藏技术，一方面不利于评估工作的开展；另一方面一厢情愿的想把持客户的技术要素，这种做法本身就是评估的缺陷。所以，机构开展自评估工作人员不应该成为一个借口；
3、评估后的持续保持可以通过审计手段来维持风险的级别，而不是通过监管部门，从中国的现实情况来看，监管部门没有足够精力、能力和足够的责任感去实施监督，而机构建立完善的IS审计团队是保持风险级别的最佳途径。
上述意见请各位同道指正。

网路游侠

企业其实不需要信息安全风险评估
信息安全风险评估只是为了保障企业核心资产保密性、完整性、可用性的一个途径。

如上所说，风险评估必须和应用、业务结合
否则，仅仅是对资产、风险的评估，无法打动企业
或者说，即使能成功忽悠客户，但是作为评估者，自己都无法说服自己。

大的企业建议首先通过外包的方式做评估
然后逐步提高，最终打造属于自己的，和业务结合的风险评估团队

sukieso

希望和大家一起学习，共同成长，顶一个

deepblue

顶，支持下~~辛苦了~学习下

冬季

企业真的很难需要风险评估