安全领导者工作的基石之一是成功评估风险。一个风险评估是在一切可能影响一个组织的安全性进行彻底的样子。当CISO确定潜在问题及其严重性时，可以采取措施来防止伤害的发生。

要为您的业务选择合适的风险评估解决方案，您需要考虑多种因素。我们已经与几位网络安全专家进行了交谈，以获取他们对该主题的见解。

Jaymin德赛，产品经理，OneTrust

选择风险评估首先，考虑一下哪种类型的评估或控制内容（如框架，法律和标准）可轻松用于您的业务（例如NIST，ISO，CSA CAIQ，SIG，HIPAA，PCI DSS，NYDFS，GDPR，EBA，CCPA）。在此区域中，您可以利用模板绕过构建和更新自己的自定义记录。

其次，考虑评估格式。寻找一种可以使工作流程自动化以支持一致性和简化完成的技术。此级别的标准化有助于企业将风险评估扩展到企业用户。基于工作流的结构化评估的副产品是能够通过可靠，及时的见解来改进报告。

另一个主要考虑因素是风险评估解决方案如何随您的业务扩展？这对于评估您的加班效率很重要。评估是静态的出口还是卓越的，或者可以整合到实时风险登记簿中？您是否可以映射从响应中收集的见解，以调整资产，流程，供应商等的风险？考虑核心数据结构以及如何随着业务变化和风险管理程序的成熟而对其进行建模和调整。

该解决方案应使您能够在单个易于使用的仪表板中发现，补救和监控细微的风险，同时与业务的第一线进行互动，以使风险数据保持最新并具有当今信息的丰富上下文。

布伦达·费拉罗，第三方风险，副总裁，Prevalent

选择风险评估正确的风险评估解决方案将推动计划的成熟度，从合规性到避免数据泄露再到第三方风险管理。

必须考虑七个关键基础：

网络存储库：使用“一次填写，多次使用”快速获取风险信息意识。
供应商风险可见性：协调内部和外部由内而外的供应商风险，并主动共享可行的见解，以增强对优先级，补救和合规性的决策。
灵活的自动化：帮助企业快速，准确地将重点放在风险管理而非管理任务上，以减少第三方风险管理流程的成本。
实现可扩展性：适应不断变化的流程，风险和业务需求。
有形的投资回报：减少与供应商管理生命周期相关的时间和成本，以证明成本合理。
咨询和托管服务：具有主题专家，以利用解决方案来帮助您改进程序。
报告和仪表板：提供实时情报，以在每个业务级别内部和外部驱动更明智的基于风险的决策。
正确的风险评估解决方案选择将通过使用实时可见的供应商风险可视性，更多的自动化和集成来加快您的供应商评估，并采用敏捷的，流程驱动的方法来成功地适应和扩展规模，从而为您和您的供应商带来动态发展您的程序可以满足未来的需求。

Cyber​​GRX首席执行官Fred Kneip

选择风险评估企业应寻求一种可扩展的风险评估解决方案，该解决方案能够提供明智的降低风险的决策。为了真正有价值，风险评估需要超出冗长的问卷调查范围，而问卷调查不能提供洞察力，不能提供洞察力，它们还需要超越简单的外部评级，而这种评级本身可能会产生误导。

相反，风险评估应帮助您收集准确且经过验证的风险数据，以进行决策，并最终使您能够识别和减少个人以及投资组合级别的风险生态系统。

最佳解决方案将帮助您确定哪些供应商构成最大的风险并需要立即关注，以及您需要用来讲述有关组织的第三方网络风险工作的完整故事的工具和数据。他们还应帮助领导者了解风险管理工作是否正在改善组织的风险状况，以及组织是否比上个月更容易受到不良网络事件的影响。

杰克·奥尔科特（Jake Olcott），BitSight政府事务副总裁

选择风险评估现在，组织要对其网络安全计划的绩效负责，确保企业制定强有力的风险评估策略会产生重大影响。最佳的风险评估解决方案满足四个特定标准-它们是自动化，连续，全面且具有成本效益的。

利用自动化进行风险评估意味着该技术首当其冲，使安全团队有更多时间回头专注于业务的其他重要任务。风险评估也应该是连续的。采用时间点方法是不够的，并且不能提供全面的信息，因此，必须持续进行评估，这一点很重要。

风险评估还必须是全面的，并涵盖整个业务范围，包括第三方和第四方风险，并应对在家工作带来的不断扩大的攻击面。

最后，风险评估必须具有成本效益。由于全面审查预算，确保风险评估解决方案不需要大量资源会对业务产生重大影响，并允许组织最大限度地利用预算来解决其他安全领域。

Mads Pærregaard, CEO, Human Risks

选择风险评估选择风险评估工具时，应该寻找三个关键要素，以确保增值和有效的风险管理程序：

1.减少对手动流程的依赖
2.减少利益相关者的复杂性
3.改善沟通

依靠持续不断的手动数据输入，记住要进行更新以及复杂的风险方法的工具可能会导致过时的信息和错误，这意味着浪费了宝贵的时间，并且决策来得太迟或依据错误。

自动执行流程和数据收集的工具可让您更快地了解关键事件，从而缩短响应时间。它们还减少了对一些关键个人的依赖，这些关键个人否则可能负责更新信息，这可能是漏洞的主要问题。

通常，非风险管理专业人员会参与或负责实施缓解措施。寻找易于使用且直观的工具，这样只需很少的培训时间，团队就可以投入使用。

至关重要的是，您必须能够传达风险管理为组织提供的价值。正确的工具将帮助您保持简单，并使用最新数据传达关键信息。

RSA Security组合策略师 Steve Schlarman

选择风险评估考虑到风险的复杂性，风险管理计划必须依赖可靠的技术基础架构，而集中式平台是成功的关键因素。风险评估流程需要共享数据并建立可促进强大治理文化的流程。

选择一个不仅可以解决当今战术问题，而且可以为长期成功奠定基础的风险管理平台至关重要。

业务增长与技术战略交织在一起，因此风险评估应将业务和IT风险管理流程联系在一起。该技术解决方案应通过提供诸如数据分类法，工作流和报告之类的元素来加快您的战略。即使采用该技术的最佳实践，您仍会发现需要根据自己的独特需求修改平台的区域。

该技术应使之容易。当您与更多的一线员工和跨职能团队合作时，您将需要灵活地进行调整。实施风险评估策略有一些常见的切入点，但是您需要能够将技术基础结构朝着业务需求的方向发展。

您需要一个灵活的平台来管理多种风险，选择具有正确血统书的解决方案提供商是一个重要的考虑因素。如今的风险太复杂了，无法用“足够好”的解决方案来管理。

CyGov首席执行官 Yair Solow

选择风险评估任何企业的出发点都应该是从风险和合规性角度明确他们要涵盖的框架。您将需要明确平台可以有效解决哪些相关用例（内部风险，供应商风险，执行人员报告及其他）。

一旦澄清了这一点，就需要权衡多个参数。首先，您期望多快看到结果？它需要几天，几周，几个月甚至更长的时间吗？企业还应该权衡用户体验的质量，包括解决方案自定义和部署的难度。此外，值得考虑平台的项目管理功能，例如有效的票务和工作流分配。

除了可用性之外，对于输出本身，当然还有几个重要因素。解决方案产生的数据是否自动分析和可视化？自动工作流程是否取代了手动流程？最终，为了评估平台的实用性，企业还应该询问数据在多大程度上可操作，因为这是最重要的输出。

这并不是一个详尽的清单，但是这些肯定是任何企业在选择风险评估解决方案时都应该问的一些基本问题。