【IT168 编译】众所周知，企业部署有效的工具进行IT风险的评估是非常重要的，但同样重要的是企业进行风险评估的频率。即使企业在IT风险评估中涵盖了所有方面，但如果没有足够频繁地评估的话，仍然可能面临巨大的安全风险。

　　虽然很多法案法规(例如HIPAA)要求企业每年进行一次风险评估，但Neohapsis公司风险和咨询服务主管Gary Alterson表示，对于大多数企业来说，一年一次的风险评估并不够。 Alterson表示：“鉴于迅速变化的威胁环境以及IT的移动速度，我建议企业至少应该每季度进行一次风险评估。”

　　BestIT公司首席安全官Jim Mapes表示，现实情况是，现在大多数企业甚至很难有足够的时间来进行年度风险评估，这也是为什么他认为企业必须重新考虑他们评估风险的方式的原因。他表示，“更好的办法是在生命周期内更频繁的进行风险评估，一年四季不间断地进行评估，收集关于新漏洞的数据，修复旧漏洞，并识别漏洞无法修复的问题领域，以及记录业务决策来缓解对其他可接受水平的影响。”

　　Neohapsis公司首席安全顾问Nathaniel Couper-Noles表示，这种生命周期做法的关键是构建时间和资源到内部审计IT生命周期内。而我们从审计听到最常见的问题是他们太忙而没空进行内部审计。这可能是因为时间表过于紧张，或者项目陷入困境，企业应该尽早进行审计，并经常进行审计，让IT团队设计流程和系统，确保他们进行全面的有效的审计。

　　这部分设计应该包括对运营风险因素(影响着企业安全态势)的日常追踪。这对于追踪IT环境或威胁环境内的变化尤为重要。虽然这是一个艰巨的任务，但企业至少可以对任务进行优先排序，从更连续的评估开始。

　　Rook Consulting公司安全顾问Luke Klink表示：“不要以为一口气能够吃成胖子!企业应该专注于最重要的事情，例如知识产权、财务和客户数据等。”

　　最后，最关键的是企业不应该只是评估风险，还应该想办法在整个生命周期缓解这些风险，如果没有及时解决这些风险问题，这些问题只会像滚雪球一样越滚越大。