企业开展风险评估,应当准确识别

风险评估，顾名思义，就是评估可能出现的风险并给出解决方案，尤其是信息系统。如果系统的拥有者不了解自己的信息系统，那么潜在的风险就无法得到控制和解决，相关企业或政府机构的网络安全就会岌岌可危，系统中存储的信息也会被泄露。

其实最通俗的理解就是风险评估就是了解和掌握系统的网络安全防御能力，根据标准判断是否存在隐患，提前做好应对预案或防范措施。这对企业规避信息安全风险有很大的帮助，其中蕴含着丰富的安全检测手段。那么，为了达到这些效果，我们需要解决两个关键问题，一是风险评估最合适的阶段，二是风险评估的预算。

先说第一个问题，这也是一般企业或者政府用户最头疼的问题。风险评估应该在什么时候进行？它应该在信息系统生命周期的所有阶段完成。从最初的设计和开发，到系统的测试，再到正式交付使用，都需要考虑安全问题。威胁是不确定和不可预测的，但它们可以提前得到保护。就像人的体检一样，风险评估就是对信息系统的体检。这种方式可以在威胁发生之前预防、处理和消除威胁，需要注意两个细节:

信息系统的风险评估不仅是信息系统本身的风险，还包括企业安全管理、人员、系统和基础设施的风险。

不能单纯为了通过风险评估而评估。信息安全是一个线性的工作，不可能一蹴而就，具有持久性。不能简单的为了应付上级部门的检查，或者为了通过检测。任何时候都要有风险意识。风险评估是为了不断提高企业的网络安全能力和程度。

第二个问题其实和第一个问题有关系，因为上面提到了风险评估需要在信息系统整个生命周期的各个阶段进行，而且是时效性和线性的，所以要么一次通过，要么永远安全。每一个信息系统的安全周期都是不一样的，也就是频率和频率无法精确计算。当然高频肯定比低频好，因为风险的种类每天都在增加和变化。风险评估需要专业人士来做，所以自然需要不低的成本。对于预算不足的中小企业，最好在系统上线前进行一次彻底的安全检查和测试，并进行季度或年度安全评估，及时发现安全隐患；对于大型企业或单位、信息系统及其重要情况，尽可能增加评估频率，加强安全等级。

一般来说，风险评估对于不同的对象是不确定的，所以根据自己的需求和能力进行投资，而不是盲目跟风，制定出适合自己的长期信息系统安全建设规划，并对预热系统进行评估，才是最重要的。