目前,大多数单位都认识到单纯依靠技术和
安全设备带不来真正的安全,但在具体的信息系统风险管理中“偏技术、轻管理”的现象还普遍存在。很多单位的主管片面地认为,风险管理就是由单位信息中心请安全公司进行检查,然后根据给出的评估报告购买设备,制定管理制度,就基本上完成了风险管理过程。这样的风险管理过程是不完善的,效果也并不明显。风险管理不能与业务脱节在信息系统安全风险管理过程中,应该紧紧围绕着一条主线,那就是信息系统所承载的业务应用,脱离业务的风险管理过程是没有意义的。系统安全风险管理不仅仅是对信息系统自身的风险进行管理,更重要的是对整个单位业务的风险进行管理。我们要保护的不是孤立的终端、服务器、网络,而是运行在其上的数据和它们所提供的服务。因此,对系统所承载业务分析的透彻程度是风险管理有效性能否得到保证的决定因素。这一点即使是资深的安全测评人员都是力不从心的。所以,系统风险管理需要由一个团队实施完...