风险

在 IT 环境不断变化、资源稀缺、风险分析方法复杂的情况下，确定 IT 安全风险可能会很困难。更不利的是，监管机构和遵从规定要求企业必须维护风险计划，并定期执行风险评估。例如：

• PCI 12.1.2：包含一个年度工作流程，即通过一次正式的风险评估确定威胁、漏洞并提供结果
• NCUA：IT 748 遵从规定：需要一份存档的风险评估流程 IT 政策核对表和带有风险评估的信息安全计划
• COBIT PO 9.4：使用定性和定量方法，循环评定所有已确定风险复发的可能性及其影响。
• SOX：要求企业拥有一套风险评估框架和方法
• ISO 27001 A.14.1.2 – 业务连续性和风险评估： 确定可导致业务流程中断的事件、此类中断的可能性与影响，以及在信息安全方面产生的后果。

为解决这些难题，Allgress 充分采用技术漏洞扫描工具、IT 审计和安全评估当前所提供的安全数据，生成基于 NIST 的风险评估。

Allgress 可显示能为您带来风险的趋势。您可以调整气泡，使之与企业的重要度量数据相对应：年收入、病人数量、产品销量：一切由您选择。

Allgress 解决方案的优势在于：

1. 效率： 多数企业都拥有漏洞数据、IT 审计和安全评估，Allgress 可以利用这些已经完成的工作来快速生成风险评估，您不必再投入大量的人力。
2. 报告和分析： 可根据组织业务单元、操作系统平台或其他任何对企业来说有意义的组合来生成并定制风险评估报告。此外，也可以在需要时手动调整补偿控制和其他风险抑制因素。
3. 趋势： 显示一段时间内风险的下降情况，或解释 IT 安全资源的减少为何会导致风险上升。
4. 基于假设的场景： 建立基于假设的场景，根据业务目标调整 IT 安全战略。有什么新的策略可以用来进军新市场？安全部门是否准备好保护这些投资和新客户？新的收购和兼并是否会增加风险？安全部门需要哪些资源来管理风险？这些资源应该部署在哪里？