如何提高企業IT風險管理能力

it風險管理：企業法規遵從和長遠發展的需要

如今，企業面臨的風險的複雜性隨著市場全球化的發展而日益提高，推動企業風險管理的監管力度也隨之越來越大，不少行業為保護企業在不穩定的商業環境中穩定運轉而頒布了專門的法規。譬如，由十國主要金融服務相關機構牽頭發起的《巴塞爾第二號協定》

(basel

ⅱaccord)

中，不僅對資本風險進行約束，而且還涉及到經營風險，包括

it系統給公司帶來的風險。換句話說，該協定強制要求採用企業風險管理體系，並關注

it風險管理。作為一家旨在打擊欺詐性財務報告的組織，特里德威委員會下設的發起組織委員會

(coso)

頒布了企業風險管理框架。資訊系統審計和控制協會

(isaca)

也制訂了資訊和相關技術控制目標

(cobit)

，這份文件同樣概述了怎樣擬訂企業風險管理框架。而頒布這兩項方案的目的都是為了促進風險管理機制在企業的應用。

此外，還有著名的《薩班斯

-奧克斯利法案》

(sarbanes-oxley)

，其404

條款規定：所有在美上市企業都要建立內部控制體系，其中包括控制環境、風險評估、控制活動、資訊溝通以及監督

5個部分。而且，法案對企業建立的內部控制活動的記錄作了許多詳細而嚴格的細節上的規定。如此一來，

404條款就成為外國公司邁入美國**的

「高門檻

」，也是該法案中最難操作、最複雜、耗費成本最高的乙個。

事實上，隨著全球化的業務大集中、資料大集中趨勢，

it越來越滲透到企業運營的每乙個方面、環節和流程。與此同時，

it也成為企業業務運營面臨的主要風險之一。不僅僅是出於遵守行業法規的需要，不少企業從自身長遠發展的角度出發也已認識到需要採取更加有效的措施，來保護業務運營並提供出色的

it日常可用性。而企業中的

it管理者們往往被各種各樣的因素困擾。他們有的意識到自己正面臨的潛在風險，並且對風險有著較為深入的認識，但是由於成本的限制，總是無法圓滿地解決這些問題。另一些企業由於業務模式過於複雜，以至於

it部門雖然感知到風險的存在，但根本無從知道風險究竟在何處，何時會爆發，也無法對潛在風險進行評估。那麼，企業

it管理者到底應當如何清晰地了解潛在風險、需求和相應的投資額度，又如何有效規避風險呢?

扭轉觀念：整體布局實現業務連續性及高可用性

根據惠普在幫助企業進行

it風險管理方面多年來積累的經驗，對於複雜的

it環境，採用單一的解決方案處理

it運營風險問題的效果並不理想。業務連續性、可用性與安全性是乙個相互依存的整體，應該以整合、系統的方式進行處理。任何方面的漏洞與變化都會影響到業務運營所需要的服務級別。通過全盤規劃和考慮，採用整體化的解決方案，企業能夠構建可靠的基礎設施，從而根據業務發展情況靈活調整

it的可用性與效能。

在進行企業

it風險管理控制的過程中，技術固然是乙個重要組成部分，但要取得出色的

it運營效果，員工技能與最佳實踐同樣缺一不可。其中，將業務連續性、可用性與安全性的意識融入到企業文化和各種運營機制中，使其成為開展與維持業務運營的必不可少的組成部分，可能是最艱鉅的任務，但一旦實現，也就從觀念上和根本上提高了企業管控風險的能力。

正確評估：了解潛在風險的破壞力

企業在構建靈活安全的

it環境之前，首先要透徹地了解自身的業務需求、所面臨的威脅與風險、以及

it系統出現故障對各關鍵業務流程的影響等各方面因素。只有正確分析和面對可能存在的各類風險，並正確評估各類風險可能造成的影響，才能採取正確有效的措施來規避風險。

值得一提的是，一直被低估的停機成本事實上高得超乎想象。

infoneticsresearch

是一家國際市場調研公司，專門從事北美、歐洲與亞洲地區的資料網路與電信行業調研工作。

infonetics

近期實施了一項客戶調查專案，調查內容是關於網路

中斷

及其對於大型企業的影響。該調查的研究報告稱，美國大企業每年的

it停機成本佔其收入的

3.6%

，其中製造企業的停機成本在收入中所佔比例為

9%，金融服務機構則高達

16%。此外，停機還使企業面臨員工效率降低以及企業在客戶與股東中的聲譽受損等其它難以量化的潛在風險。停機對中國企業業務運營產生的不利影響究竟如何，目前還沒有特別準確的調研分析，但可以肯定的是，停機成本在中國企業中也是不容忽視的。

巧妙平衡：規避風險與保護成本

企業在進行風險的規避和管控的過程中，往往要面臨著如何平衡風險管理與業務保護成本的挑戰。根據惠普多年來在該領

域

的經驗，我們建議企業

it管理者採取分層次、分步驟的方式來做出合理決策，實現風險規避與成本之間的巧妙平衡。

一般情況下，我們會建議企業首先認真分析每個業務流程可能遭遇的風險及其影響，力求解決下列關鍵問題： ·

需要何種級別的可用性?

· 一旦發生重大停機事故，業務對資料損失的承受能力有多大?

· 業務流程能夠承受的停機時間極限?

· 需要何種級別的安全性?

作為業務連續性及高可用性解決方案方面的資深專家，惠普通常會和企業客戶一起，從業務連續性與可用性研討會入手來解決上述問題。在這個互動會議上，惠普顧問專家們將與企業團隊合作，對企業的機會、風險、優勢與劣勢進行評估，協助企業制訂無

中斷

的、可用的

it計畫。

然而，風險管理是乙個系統性的工作，上述的分析、諮詢只是企業規避

it風險的第一步。基於多年大量的實踐基礎，惠普專家採用一套完整的方**，以企業的業務使用者需求為出發點，幫助企業

it管理者了解目前的

it風險管理狀況，以及要構建靈活安全的基礎設施還需解決的問題。同時，惠普推薦相應的解決方案，並提供高度可用的

it基礎設施，幫助企業實現恢復時間、資料損失、安全性與可用性方面的目標。

一般來說，一套完整的

it風險管理方法包括以下

4個步驟。步驟

1：確定業務需求。對整個企業內所有涉及合規性、可用性、安全性和業務連續性的業務流程和應用的要求進行評估。衡量停機對各業務應用與流程的影響。步驟

2：評估風險等級。對可用性、安全性與持續性進行全面且深入的評估，以確定風險領域，制定保護

it環境、改善

it服務的策略。將企業目前現行的實踐與

「最佳資訊科技基礎設施資訊庫

(itil)」

推薦的最佳實踐進行比較，了解差距，根據業務影響確定風險等級。步驟

3：設計與實施解決方案。將需求轉化為切實可行的技術與服務解決方案，其中包括儲存、資料庫、應用、系統、網路和環境基礎設施等。制定持續性服務改進計畫。步驟

4：監控、管理與發展。制定

it服務管理政策，建立培訓機制，採用最佳實踐調整人員與優化流程。在業務發展過程中，對持續性與可用性計畫進行再評估、監控、審計與測試。

通過以上

4步驟，完整考慮企業

it風險管理的需求及其實現方式，可以幫助企業更準確地估計業務保護的成本，從而確保企業的投資水平在成本最優的前提下滿足風險管理的需要。

此外值得一提的是，擁有充足資源，能夠自己實施全面戰略的企業並不多。此種情形下，借助一些專業公司的經驗往往比企業純粹自己摸索，閉門造車要更經濟，更有效。惠普公司在業務持續性與可用性諮詢及解決方案方面積累了非常豐富的經驗，並且形成了一套相對科學完整的方**和工具體系。惠普還擁有全面的解決方案，可以幫助企業應對資料保護與完整性

;應用的冗餘與備份

;資料庫、系統與網路、資料中心的物理安全性與備份

;身份認證和管理

;入侵檢查、病毒防範

;漏洞檢測和主動修補

;現場和辦公場所備份與恢復

;廣泛領域內的災難恢復等業務風險。在惠普的幫助下，企業不僅可以有效利用具有相似需求的行業客戶在數十年中總結積累的經驗，還可以利用惠普已經通過最佳實踐驗證的工具與方式，獲取做出正確投資決策所必需的精確資料。因此，選擇與專業公司合作，往往也是巧妙平衡風險管理與保護成本的有效方法之一。

(出處:it專家網)

如何提高企業IT風險管理能力

如何提高團隊管理能力2

如何提高團隊管理能力6

如何提高團隊管理能力7

如何提高企業IT風險管理能力

如何提高團隊管理能力2

如何提高團隊管理能力6

如何提高團隊管理能力7

相關推薦