信息系统在其生命周期的各阶段都需要进行风险评估。
一个系统从设计到开发,再到正式投入使用,都应该将网络安全问题考虑在内。危险是不可预测的,但可以提前预防,然而预防的最佳方式则是进行全面检查,查漏补缺。
开展风险评估工作是为了更好地查找并发现信息系统或IT资产中存在的安全风险并进行修复,消除安全隐患,避免安全事件的发生。
1、风险评估不仅关乎信息系统,还应针对企业人员、企业网络安全管理相关制度以及设备设施等
2、风险评估不应为了评估而评估。网络安全是一项长久的工作,不应该为了应付安全检查或被迫整改而做,保持时刻有网络安全建设的意识,开展风险评估工作是为了不断提高企业的网络安全水平和网络安全程度。
