風險評估

列印

瞬息萬變的 IT 環境、缺乏資源以及複雜的風險分析方式增加了判斷 IT 安全風險的難度。更糟的是,法規機關與規範需求皆要求各公司必須維護風險計畫並定期執行風險評估。舉例來說:

  • PCI 12.1.2:包括辨識威脅與漏洞,並建立正式風險評估結果的年度程序
  • NCUA:IT 748 規範:需要一份「風險評估程序 IT 策略檢查清單」(Risk Assessment Process IT Policy Checklist) 與「配合風險評估的資訊安全計畫」(Information Security Program with Risk Assessments) 文件
  • COBIT PO 9.4:使用質化與量化方式,重複評估所有已辨識風險的可能性與影響
  • SOX: 要求公司必須具有風險評估架構與方式 (Risk Assessment Framework and Methodology)
  • ISO 27001 A.14.1.2 - 業務持續性與風險評估: 必須辨識出可能中斷業務程序的事件,以及此中斷的可能性、影響與對資訊安全造成的後果。

Allgress 利用來自技術漏洞掃描工具、IT 稽核以及安全評估的現有安全資料來解決這些挑戰,並產生以 NIST 為基礎的風險評估。

風險擷取畫面

Allgress 可顯示風險走向。您可以調整泡泡圖來對應對貴公司的重要評量標準:營收、病患數、產品售出數;這些設定完全任君選擇。

Allgress 解決方案提供:

  1. 效率: 大多數公司已擁有漏洞資料、IT 稽核以及安全評估,Allgress 可使用過去完成的工作來快速產生風險評估,不需花費額外的大量勞力資源。
  2. 報表與分析: 可以根據公司的業務單位、作業系統平台或是任何貴公司認為合理的分組方式來產生與自訂風險評估報表。另外,如有需要,可以手動修改補償控制與其他風險移轉因素。
  3. 趨勢: 顯示一段時間內降低的風險,或是解釋為何 IT 安全資源減少,風險卻增加的原因。
  4. 假設情景:建立假設情景將 IT 安全策略與業務目標建立關聯。是否有進入新市場的新措施?準備好的安全措施是否足以保護投入的資本與新客戶?新的併購案是否會增加風險?安全措施需要哪種資源來管理風險,這些資源又應該部署在哪裡?