i博士对钱经理说:“全面的风险评估和风险管理系统,不是单纯的仅仅对于一些系统软件的技术型评估和管理,更多的还是应该是对管理和技术两个角度进行评估和管理。”
风险管理系统主要功能应该具备:能够收集来自不同资产和漏洞评估软件的原始风险情况;在进行风险综合分析的时候可以将资产实际情况考虑进来以减少误报;将确认的风险通过内部工单的方式进行派发;对于所有进行处理的工单进行跟踪,同时可以评价人员的工作效率等功能。
钱经理说:“对于我的网络来说,风险评估是不是不仅局限于技术上的评估,还需要有包含管理体系上的评估是否具备这方面的评估能力和方法。需要平台化的管理体系,支持多用户分权限的管理,能够进行多任务的处理。”
i博士解释说,管理平台建立详细完整的知识库实现内部工作区域的最大化资源和经验共享,全面的风险管理系统需要结合企业实际网络组成情况。例如企业当前的管理维护人员的组织结构、网络中特有的应用业务系统等等。
真正要做好风险管理平台,就需要走入用户网络中进行专门的需求调研和产品软件定制。而高端的风险管理系统应该走一条定制化的开发路线,产品厂商应该具备深厚的产品技术研发实力。
风险管理进行拆分后又包含资产管理、脆弱性管理、威胁管理,所以选择产品的时候要认真查看是否包含了这些功能与它们的收集评估方法是否完善。
对于选购来说,企业需要智能化的风险管理系统,首先需要对于各种原始安全事件与漏洞信息进行归并,可以将风险与资产责任人进行关联进行管理任务下发的工单系统,同时可以对于确认的风险信息与处理情况进行变化跟踪。(T228)
