當然����,我們在進行分類的時間不可避免地會遇到內(nèi)容重疊方面的問題;不過�,目前階段中最重要的問題是防止風險被忽視����。
對風險情況進行評估
在這里,我們所采用的是類似健康與安全風險評估的典型定性模式�����,利用可能性及影響的組合來表示風險控制或防范方面的具體情況。表B所顯示的就是具體架構(gòu)情況��。
表B
由此得出的風險水平等級將會在表C上顯示出來�。
表C
風險防范
防范的目標就是降低某些問題的發(fā)生概率——或者減少在事故發(fā)生后給業(yè)務(wù)帶來的消極影響。為了實現(xiàn)有效防范��,我們需要很多種不同措施的全面支持���。而在這里�����,我們要做的第一件事情就是確認依據(jù)評估風險等級所作出的緊急程度表(表D)���。
表D
接下來,我們要做的第二件事情就是對IT風險進行全面登記——該文件中應(yīng)當包含有過去以及目前針對風險評估以及防范措施的跟蹤情況����。(最早它采用的格式是電子表格,但由于內(nèi)容增加體積變得非常臃腫��,所以最近我將其重新轉(zhuǎn)換為Word文件���。)
風險注冊第1部分中記錄的是風險類別和典型常規(guī)風險防范措施等方面的內(nèi)容�����。我們針對每個類別都建立了具體的風險評估列表��,而在第2部分中則給出詳細信息的鏈接����。此列表允許對已完成�、存檔或進行中的風險管理任務(wù)進行簡要總結(jié),并且可以突出顯示出那些到期需要復核的任務(wù)�。(審查周期長度也屬于可以任意設(shè)置的項目;如果太長的話,就可能會導致沒有發(fā)覺系統(tǒng)或者公司發(fā)生的變化而面臨新風險的威脅;如果太短的話��,就可能會出現(xiàn)花費所有時間來進行審核�,結(jié)果風險評估標記就一直都是"不變"的情形!)
第2部分中的具體內(nèi)容包括風險評估方面的詳細情況和可行狀況下的額外風險防范措施。表E顯示的就是我們所使用的模板��。
表E
“其它控件”中可以包括有系統(tǒng)調(diào)整��、新程序����、策略變化或強制執(zhí)行情況或者培訓項目��。例如:
• 系統(tǒng)映像備份以及文件備份情況
• 備用單位采購情況
• 密碼策略審核情況
• 數(shù)據(jù)泄漏監(jiān)測情況
• 使用策略接受度處理情況
• 系統(tǒng)文件改進情況
• 選擇供應(yīng)商時所進行的盡職調(diào)查
在撰寫這篇文章的時間����,我建立的登記表中就包含有45處注冊風險����。而其中最近的一處就來自遠程訪問帶來的問題,屬于發(fā)生事故后管理層討論得出的結(jié)果��。目前����,我們打算增加一套新策略和程序來降低這方面的風險。
最后�����,我們會對風險進行年度審查登記����,檢查不完整評估或防范任務(wù)的處理情況,并將新風險添加進去�����。
總結(jié)
對于公司來說,IT風險管理屬于一項需要堅持開展下去的長期工作��,而不應(yīng)當僅僅是一次性任務(wù)����。具體到我們公司的情況來看��,由于僅僅憑借一套簡易架構(gòu)就可以實現(xiàn)有效工作��,這就意味著它所帶來的幫助會非常大�。
