對于絕大多數(shù)普通人來說��,“風(fēng)險評估”應(yīng)當(dāng)屬于健康與安全���、危險化學(xué)品�����、高空作業(yè)等特殊領(lǐng)域的陌生工作�。當(dāng)然,這種想法也是非常正確的�����。但對于企業(yè)來說��,所面臨的風(fēng)險會有很多種不同類型����,并且所有部分都應(yīng)當(dāng)獲得有效的管理���。而這里面就將包括了財務(wù)����、人事���、設(shè)施以及IT方面的風(fēng)險��。理想狀態(tài)下�����,IT 風(fēng)險管理應(yīng)當(dāng)屬于企業(yè)范圍內(nèi)廣泛活動的組成部分;畢竟��,如果沒地方工作或者所有員工都病了���,僅僅知道如何恢復(fù)數(shù)據(jù)也并沒有什么實際用途�����。不過在本文中����,我提到的風(fēng)險管理模式就僅僅針對IT系統(tǒng)和數(shù)據(jù)�����。對于規(guī)模較大的企業(yè)來說��,也可以選擇設(shè)置專門人員并采用不同的模式來處理;但我們所做的至少可以達(dá)到積極主動的目標(biāo)���,并為很多改進(jìn)工作的完成提供有力支持�����。
對IT風(fēng)險進(jìn)行分類處理
對IT風(fēng)險進(jìn)行分類處理可以將潛在問題消除在萌芽階段����,達(dá)到防范重大風(fēng)險出現(xiàn)的目標(biāo)。在這里����,公司使用的分類方式屬于可以隨意選擇的情況。表A中所顯示的���,就是我們所使用的分類模式�。
表A
當(dāng)然��,我們在進(jìn)行分類的時間不可避免地會遇到內(nèi)容重疊方面的問題;不過��,目前階段中最重要的問題是防止風(fēng)險被忽視����。
對風(fēng)險情況進(jìn)行評估
在這里���,我們所采用的是類似健康與安全風(fēng)險評估的典型定性模式����,利用可能性及影響的組合來表示風(fēng)險控制或防范方面的具體情況。表B所顯示的就是具體架構(gòu)情況�。
表B
由此得出的風(fēng)險水平等級將會在表C上顯示出來。
表C
風(fēng)險防范
防范的目標(biāo)就是降低某些問題的發(fā)生概率——或者減少在事故發(fā)生后給業(yè)務(wù)帶來的消極影響��。為了實現(xiàn)有效防范�,我們需要很多種不同措施的全面支持。而在這里���,我們要做的第一件事情就是確認(rèn)依據(jù)評估風(fēng)險等級所作出的緊急程度表(表D)���。
表D
接下來,我們要做的第二件事情就是對IT風(fēng)險進(jìn)行全面登記——該文件中應(yīng)當(dāng)包含有過去以及目前針對風(fēng)險評估以及防范措施的跟蹤情況��。(最早它采用的格式是電子表格�����,但由于內(nèi)容增加體積變得非常臃腫�,所以最近我將其重新轉(zhuǎn)換為Word文件。)
風(fēng)險注冊第1部分中記錄的是風(fēng)險類別和典型常規(guī)風(fēng)險防范措施等方面的內(nèi)容���。我們針對每個類別都建立了具體的風(fēng)險評估列表����,而在第2部分中則給出詳細(xì)信息的鏈接。此列表允許對已完成�、存檔或進(jìn)行中的風(fēng)險管理任務(wù)進(jìn)行簡要總結(jié),并且可以突出顯示出那些到期需要復(fù)核的任務(wù)����。(審查周期長度也屬于可以任意設(shè)置的項目;如果太長的話,就可能會導(dǎo)致沒有發(fā)覺系統(tǒng)或者公司發(fā)生的變化而面臨新風(fēng)險的威脅;如果太短的話����,就可能會出現(xiàn)花費所有時間來進(jìn)行審核,結(jié)果風(fēng)險評估標(biāo)記就一直都是"不變"的情形!)
第2部分中的具體內(nèi)容包括風(fēng)險評估方面的詳細(xì)情況和可行狀況下的額外風(fēng)險防范措施�。表E顯示的就是我們所使用的模板。
表E
“其它控件”中可以包括有系統(tǒng)調(diào)整���、新程序�����、策略變化或強(qiáng)制執(zhí)行情況或者培訓(xùn)項目�。例如:
• 系統(tǒng)映像備份以及文件備份情況
• 備用單位采購情況
• 密碼策略審核情況
• 數(shù)據(jù)泄漏監(jiān)測情況
• 使用策略接受度處理情況
• 系統(tǒng)文件改進(jìn)情況
• 選擇供應(yīng)商時所進(jìn)行的盡職調(diào)查
在撰寫這篇文章的時間����,我建立的登記表中就包含有45處注冊風(fēng)險。而其中最近的一處就來自遠(yuǎn)程訪問帶來的問題���,屬于發(fā)生事故后管理層討論得出的結(jié)果����。目前���,我們打算增加一套新策略和程序來降低這方面的風(fēng)險�����。
最后�����,我們會對風(fēng)險進(jìn)行年度審查登記��,檢查不完整評估或防范任務(wù)的處理情況���,并將新風(fēng)險添加進(jìn)去。
總結(jié)
對于公司來說���,IT風(fēng)險管理屬于一項需要堅持開展下去的長期工作�����,而不應(yīng)當(dāng)僅僅是一次性任務(wù)��。具體到我們公司的情況來看�,由于僅僅憑借一套簡易架構(gòu)就可以實現(xiàn)有效工作,這就意味著它所帶來的幫助會非常大�。
