充分利用网络安全评估的提示

尝试寻找新的服务器提供者时，进行风险评估很明智。在受到严格监管的部门，这被认为是强制性的。例如，医疗机构和代表他们处理敏感健康记录的供应商都需要进行风险评估。

当您对提议的新解决方案进行有针对性的网络安全风险评估时，您希望能够将详细的调查表交给潜在的提供商。通常，问题来自模板。当您查看各种模板并考虑评估过程时，这里有一些提示可帮助您收集关键数据，而又不会使这一重要过程变得太笨拙。

一、了解评估目标

当您准备进行评估时，您的意图是确定网络中的任何潜在漏洞，准确找出问题的严重程度，并评估您当前已实施的保护措施；反过来，您可以使用调查结果量化地衡量您的总体风险。

但是，您的评估并不总是您系统中的一项全面的评估；相反，您可能在与新的IT提供商合作之前进行了风险评估。无论分析的总体范围如何，针对任何弱点的缓解计划都应该是该过程的理想结果。

二、高度警惕人为因素

人为错误是当今企业中的一个巨大问题。加上越来越多的恶意员工问题，您就会明白为什么自己的员工是您的主要关注点。英特尔2015年的一份报告发现，43％的数据泄露是由内部威胁造成的。

根据进行的2018年研究，令人难以置信的是，内部威胁是造成大多数医疗数据泄露的原因，高达58％。这些统计数据表明了严格培训的重要性，并且始终保持内部警惕。

三、获得高级管理层批准流程

您可能会发现自己认为是前进的坚实框架。但是，重要的是（与任何IT安全措施一样）让高级管理层支持您的工作。确保您获得了一个模板或定义了您认为效果良好的系统。然后，尝试与组织的领导者聚会，讨论如何实施它，并根据任何顾虑进行修改。当您与高级管理层讨论风险评估方法时，请说明您需要他们的支持才能继续进行此过程。

如果您希望高层管理人员为您提供支持，请尝试从财务角度来承担风险。 

四、对合规性要求直截了当

当组织对第三方进行风险评估时，他们可能有某些与合规性相关的需求。在这种情况下，它可以帮助具体沟通，在这种情况下，第三方可能会提供符合该法律或标准（通过独立审核机构的合法性提供尽职调查）的证明。关于认证参与标准18（SSAE 18）审核的声明。

五、每两年进行一次风险评估

风险评估“应该是一个例行程序，无论您有多大，或身处哪个行业。”虽然小企业可能认为他们无需担心黑客攻击，但入侵者通常是针对中小型企业，要么是因为他们瞄准的目标是小型企业，要么是因为他们希望利用小型公司作为与之合作的大型公司的桥梁。

监视和分析安全系统应该是一个持续的过程。全面的信息安全风险评估既耗时又分散精力，因此许多公司都想知道必须多久执行一次。

六、网络安全风险评估：商业基础

无论您是否处于需要定期进行监管的行业中，风险评估都是一项安全最佳实践。通过使用上述建议，您可以充分利用流程，利用发现的结果来减轻漏洞并减少违规的可能性-同时阐明并指导新的供应商选择。

原文链接：https://www.gntele.com/news/content/450.html