项目管理需要避免的多风险评估错误

　　工程项目管理软件供应商。

　　就目前的状态而言，虽然许多企业进行了风险评估，但他们经常犯一些错误，这大大降低了风险评估的效果。接下来，金石软件将与您分享企业需要避免的几个风险评估错误。

　　1.评估过于量化。

　　诚然，分析和数字对风险评估非常重要。但企业需要明白，这款数字游戏并不需要太完美，尤其是在评估安全泄露事故的影响时。

　　对安全事故影响的评估可以让企业更容易地讨论和关注如何缓解风险，而不是花很多时间讨论这种影响是价值2000万美元还是21000美元。当你确定事故的影响是灾难性的，痛苦的，或者没什么大不了的，你可以讨论你想花多少钱来缓解最严重的风险。

　　过度分析可能会拖累整个评估过程，企业应避免花费太长时间进行风险分类。还有一些定性的风险因素，企业需要找到一种方法来纳入评估。过于狭隘的焦点。采用严格的定量测量。没有框架，没有足够的定期计划是企业需要避免的错误。

　　2.忘记评估第三方风险。

　　大多数IT风险专家认为，大多数企业没有评估供应商和其他合作伙伴的基础设施风险，而这些基础设施通常触及企业最敏感的数据。

　　许多企业做得不够的是管理与第三方供应商的关系。当企业没有真正进行尽职调查(无论是在签订合同之前还是之后)时，他们必然会错过关键的细节，这将增加风险。例如，客户公司可能不知道其供应商将其监管数据存储在公共云中。

　　3.评价的目光太短浅。

　　大多数大型企业往往忽视其风险评估中的关键资产和评估指标。最常见的问题之一是识别漏洞是风险，而没有其他信息，如可能提供访问数据或使用，或个人可能被标记为风险，而不标记特定的风险资产。

　　大多数公司没有跟踪他们的基础设施资产来很好地评估他们。更重要的是，即使他们经常评估完整的数据集，这通常是在一个单独的岛屿上进行的，这使得他们很难理解相互依存。

　　有时评估侧重于非常特定的应用程序，但不关注整个基础设施。例如，评估可能只检查保护数据库的应用程序，而不检查整个计算控制，如加密、防火墙、身份验证和授权。

　　4.IT风险评估未纳入企业评估。

　　同样，企业也需要了解IT风险与所有其他风险之间的相互作用。通常，企业将IT风险视为自己的风险类别，而不考虑其更广泛的影响。

　　越来越多的风险意识到IT是其业务成功的一部分，他们试图确保IT参与业务风险谈话，许多企业有跨职能团队，他们从整体检查风险，更好地了解依赖关系，这些团队将建议企业从业务的角度应该关注风险。

　　5.评估不考虑业务背景。

　　IT风险评估完全是关于背景知识，无论是上述系统情况还是业务情况。如果企业不在信息资产的背景知识中添加漏洞和威胁，其对业务的重要性就不能真正反映在风险评估中。

　　在评估风险时，首席信息安全官往往缺乏对业务背景的理解。换句话说，他们需要问，哪些数据被访问并对业务产生影响?没有考虑业务分析结果，而不是业务和技术。