如何让信息安全风险评估工作变得轻松

近年来, 我国各监管部门不断就IT风险领域推出监管要求,例如:
2002年,美国国会发布了SOX《萨班斯—奥克斯利法案》;
2004年9月30日,中国银监会发布了《商业银行内部控制评价办法》;
2006年,银监会发布《电子银行安全评估指引》 《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》;
2006年6月,国务院国资委出台了《中央企业全面风险管理指引》;
2006年6月,上海证券交易所发布了《上海证券交易所上市公司内部控制指引》;
2006年9月,深圳证券交易所发布《深圳证券交易所上市公司内部控制指引》;
2007年,公安部明确了《信息系统等级保护基本要求与实施指南》;
2007年4月,保监会发布了《保险公司风险管理指引(试行)》;
2008年9月,财政部审计署银监会证监会保监会联合发布《企业内部控制基本规范》;
2008年底,证券协会发布《证券期货经营机构信息技术治理工作指引》;
2009年3月,银监会发布《商业银行信息系统风险管理指引》。

谷安天下作为国内知名IT风险管理专家,开发了GooAnn——IT风险管理软件:风险评估、体系建立、运营管理、知识库与审计五大功能模块,并在此基础上结合多年的行业IT风险管理服务案例,陆续推出了各大行业版本的IT风险管控系列软件系统(以下简称“ITRM”),填补了国内IT风险管理领域的空白。经过几年的完善和积累,目前已经在国内形成了广泛的应用范围和客户群,在金融、能源、运营商、大企业等行业均有成功的应用。

该IT风险管理软件包含以下几大特点:
1、信息安全风险评估软件模块提供了系统化的风险评估方法论和行业风险知识库,包括评估范围定义、安全现状调查、资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能,与多种第三方的扫描工具集成,可将对网络扫描的弱点直接导入到系统中,帮助客户快速自动化的评估自身的资产风险与流程风险,并方便将结果导出,可以让技术人员从繁杂的资产统计、风险评估的工作中解脱出来,还可以完成一些人力无法完成的工作;极大的简化了工作量及技术难度。
2、提供完整的行业知识库支持,并且对知识库进行持续更新;知识库包括行业业务流程、业务系统、信息资产、威胁类型、漏洞类别、风险指标、安全策略、管理流程、行业法规等,目前支持电信、银行、保险、证券、能源、电力、政府和软件等行业。
3、同时此软件的研发过程紧密结合企业信息安全与内部控制要求,遵从ISO27001、等级保护、COBIT等标准,导入2000多个标准控制措施,引导公司信息安全与IT控制工作,协助信息安全与内部控制体系建立,并管理文档记录、测评、评估、改进、测试等阶段的工作。
 
如需了解更多信息请点击http://www.gooann.com