web-dev-qa-db-ja.com

何千もの資産を持つ組織で保守可能で重要なリスク評価を行うにはどうすればよいですか?

典型的なリスク評価で見られる問題は次のとおりです。

  • 更新されたアセットのリストを維持する

  • 更新された治療のステータスとそれに一貫したリスクレベルを維持します。

  • (サーバーなどの)無関係な資産が実際のリスクを負うように資産の依存関係を維持すること(サーバーが重要なプロセスの実行を許可しているため)。

私が目にする問題は、Excelを終了すると、結果が適切でなくなるということです。

4
Forced Port

Service Nowなど、アセットとその関係を自動検出する多くの商用アセット管理ソリューションがあります。

その後、検出スキャンは毎日または毎週スケジュールに従って実行され、最新の状態に保たれます。

もちろん、完璧なものは何もないので、サーバーとアプリの所有者の肩に直接入れて、定期的に、また変更コントロールの後に、不適切なデータを更新または修正したり、インベントリに不足しているデータを追加したりする必要があります。

例えば:

  • すべてのシステム、アプリ、およびそれらの関係が更新されるまで、プロジェクトはライブに移行できません

  • 新しいPCまたはサーバーは、インベントリに追加されるまで展開できません

  • システムは廃止され、インベントリから削除する必要があります

リスク評価者には、インベントリへのアクセス権が付与されるだけで、それを維持する必要はありません。