ING Renault F1車隊IT經理Graeme Hackland 表示：“ING Renault F1車隊的 IT基礎架構對我們與客戶和合作伙伴的關系來說至為重要，因此我們承諾將IT風險管理納入重大企業(yè)策略的一環(huán)。在今日的環(huán)境之中，切實了解我們的風險概況以及如何改善資源的優(yōu)先級以確保一套有效的IT風險管理策略，是我們的首要任務?！?br />

企業(yè)機構預期會有安全漏洞存在與意外事件的發(fā)生

《賽門鐵克 IT 風險管理研究報告》調查結果指出，多數受訪者預期于最近的1至5年內將遭受某種安全或法規(guī)遵從事件的影響。其中，66%的受訪者預期每5年至少會發(fā)生一次重大法規(guī)遵從事件。此外，58%的受訪者預期每5年至少會發(fā)生一次重大資料流失（如由于數據中心停擺、數據毀損，或安全系統漏洞等事件而導致的數據流失）。

流程控管之推行落后技術控管

有效的IT風險管理需要將流程控管和技術控管之專業(yè)與投資做強而有力的整合。最有效的IT風險管理計劃使用精選技術結合最佳實務流程的明確控管。《賽門鐵克 IT 風險管理研究報告》顯示，這次調查所訪問的專家們，無論是位于組織內的各個層級、還是橫跨各產業(yè)、規(guī)模、區(qū)域，都認為其組織在技術控管上的能力較流程控管來得更為有效。

報告調查結果指出，在流程控管中，驗證（authentication）、授權（authorization）及存?。╝ccess）被評為有效性最高的項目， 68%的受訪者認為自己組織在驗證、授權及存取上有超過75 %的有效性。報告同時指出在判別、分類及管理IT資產上存有特定的流程控管問題。僅38 %的受訪者認為自己在施行資產盤點、分類及管理流程控管上具有超過75 %的有效性。這些管控對于制訂反映企業(yè)組織優(yōu)先級的IT風險管理計劃來說，是十分重要的基本原則。若缺乏謹慎的風險評估，所有資產極有可能被視為同等重要，因而造成某些資產過度保護，而有些資產反而保護不足的問題。

美國Enterprise Strategy Group高級分析師Jon Oltsik表示：“企業(yè)組織開始認知到采取主動而非被動管理手法對其IT風險管理策略的價值所在?！盝on Oltsik進一步指出，“有效的IT 風險管理需要企業(yè)組織兼顧技術和流程兩個部分，清楚地認知到會造成其系統甚至整體業(yè)務沖擊的各式不同風險，且具備相同共識。”

內部 IT 組織各職務對風險認知缺乏共識

《賽門鐵克 IT 風險管理研究報告》顯示，IT員工與IT高層管理者在看待其組織的IT風險漏洞時有顯著差異，特別是與營運流程及法規(guī)遵從風險有關的風險認知。例如，有8%的IT高層管理者認為營運流程風險對IT作業(yè)是“嚴重風險”，而22%的IT總監(jiān)視其為“嚴重”；另外23%的IT高層管理者認為法規(guī)遵從風險對IT作業(yè)是“嚴重風險”，但有16%的IT總監(jiān)視其為“嚴重”。

賽門鐵克相信，IT風險管理投資要取得成功，就要對所有IT領域及其業(yè)務之間進行有效校準。不同的內部IT觀點甚至造成重要業(yè)務協調不良而產生風險。這樣一來，就可能高估或低估了對控管項目所做的投資，導致資源浪費及無效的IT風險管理計劃。

賽門鐵克全球服務部門執(zhí)行副總裁Greg Hughes表示：“隨著企業(yè)組織在執(zhí)行業(yè)務方面越來越依賴IT系統，IT風險已成為企業(yè)領導者的主要顧慮，并且應被視為重大營運風險管理策略的一環(huán)?！顿愰T鐵克 IT 風險管理研究報告》為企業(yè)機構提供一份來自全球不同組織對IT風險的完整觀點?！?br />

全面性的風險管理方法能減少意外事件的發(fā)生

《賽門鐵克 IT 風險管理研究報告》資料指出一項與標竿企業(yè)相關的趨勢。報告中，賽門鐵克將標竿企業(yè)定義為在16種實際施行控管領域的效度中，排名前25%的受訪者。這些標竿企業(yè)雖遭遇較高程度的法規(guī)遵從及營運流程風險，但發(fā)生IT意外事件的頻率較低。一份詳細的分析顯示標竿企業(yè)于不同的控件（包括流程控制）間具有高效率的表現，其產生之管理方法較具全面性。此數據亦指出績效較低的組織通常著重于一小部份較具技術性的控制，而非施行大范圍的控制領域。

《賽門鐵克 IT 風險管理研究報告》提供企業(yè)組織所需要評估企業(yè)內部之IT風險管理策略有效性的指標與建議。

《賽門鐵克 IT 風險管理研究報告》可于賽門鐵克網站 www.symantec.com/riskreport 獲得。

多易