對(duì)于絕大多數(shù)普通人來(lái)說(shuō)��,“風(fēng)險(xiǎn)評(píng)估”應(yīng)當(dāng)屬于健康與安全�、危險(xiǎn)化學(xué)品、高空作業(yè)等特殊領(lǐng)域的陌生工作�。當(dāng)然,這種想法也是非常正確的�����。但對(duì)于企業(yè)來(lái)說(shuō)�����,所面臨的風(fēng)險(xiǎn)會(huì)有很多種不同類(lèi)型�,并且所有部分都應(yīng)當(dāng)獲得有效的管理。而這里面就將包括了財(cái)務(wù)�����、人事、設(shè)施以及IT方面的風(fēng)險(xiǎn)�。理想狀態(tài)下,IT 風(fēng)險(xiǎn)管理應(yīng)當(dāng)屬于企業(yè)范圍內(nèi)廣泛活動(dòng)的組成部分;畢竟����,如果沒(méi)地方工作或者所有員工都病了,僅僅知道如何恢復(fù)數(shù)據(jù)也并沒(méi)有什么實(shí)際用途�����。不過(guò)在本文中���,我提到的風(fēng)險(xiǎn)管理模式就僅僅針對(duì)IT系統(tǒng)和數(shù)據(jù)�。對(duì)于規(guī)模較大的企業(yè)來(lái)說(shuō)����,也可以選擇設(shè)置專(zhuān)門(mén)人員并采用不同的模式來(lái)處理;但我們所做的至少可以達(dá)到積極主動(dòng)的目標(biāo),并為很多改進(jìn)工作的完成提供有力支持�����。
對(duì)IT風(fēng)險(xiǎn)進(jìn)行分類(lèi)處理
對(duì)IT風(fēng)險(xiǎn)進(jìn)行分類(lèi)處理可以將潛在問(wèn)題消除在萌芽階段,達(dá)到防范重大風(fēng)險(xiǎn)出現(xiàn)的目標(biāo)����。在這里,公司使用的分類(lèi)方式屬于可以隨意選擇的情況�����。表A中所顯示的���,就是我們所使用的分類(lèi)模式。
表A
當(dāng)然�����,我們?cè)谶M(jìn)行分類(lèi)的時(shí)間不可避免地會(huì)遇到內(nèi)容重疊方面的問(wèn)題;不過(guò)���,目前階段中最重要的問(wèn)題是防止風(fēng)險(xiǎn)被忽視����。
對(duì)風(fēng)險(xiǎn)情況進(jìn)行評(píng)估
在這里����,我們所采用的是類(lèi)似健康與安全風(fēng)險(xiǎn)評(píng)估的典型定性模式,利用可能性及影響的組合來(lái)表示風(fēng)險(xiǎn)控制或防范方面的具體情況。表B所顯示的就是具體架構(gòu)情況�。
表B
由此得出的風(fēng)險(xiǎn)水平等級(jí)將會(huì)在表C上顯示出來(lái)���。
表C
風(fēng)險(xiǎn)防范
防范的目標(biāo)就是降低某些問(wèn)題的發(fā)生概率——或者減少在事故發(fā)生后給業(yè)務(wù)帶來(lái)的消極影響�。為了實(shí)現(xiàn)有效防范����,我們需要很多種不同措施的全面支持。而在這里����,我們要做的第一件事情就是確認(rèn)依據(jù)評(píng)估風(fēng)險(xiǎn)等級(jí)所作出的緊急程度表(表D)。
表D
接下來(lái)�����,我們要做的第二件事情就是對(duì)IT風(fēng)險(xiǎn)進(jìn)行全面登記——該文件中應(yīng)當(dāng)包含有過(guò)去以及目前針對(duì)風(fēng)險(xiǎn)評(píng)估以及防范措施的跟蹤情況�。(最早它采用的格式是電子表格,但由于內(nèi)容增加體積變得非常臃腫��,所以最近我將其重新轉(zhuǎn)換為Word文件���。)
風(fēng)險(xiǎn)注冊(cè)第1部分中記錄的是風(fēng)險(xiǎn)類(lèi)別和典型常規(guī)風(fēng)險(xiǎn)防范措施等方面的內(nèi)容����。我們針對(duì)每個(gè)類(lèi)別都建立了具體的風(fēng)險(xiǎn)評(píng)估列表,而在第2部分中則給出詳細(xì)信息的鏈接�����。此列表允許對(duì)已完成��、存檔或進(jìn)行中的風(fēng)險(xiǎn)管理任務(wù)進(jìn)行簡(jiǎn)要總結(jié)�,并且可以突出顯示出那些到期需要復(fù)核的任務(wù)��。(審查周期長(zhǎng)度也屬于可以任意設(shè)置的項(xiàng)目;如果太長(zhǎng)的話(huà)���,就可能會(huì)導(dǎo)致沒(méi)有發(fā)覺(jué)系統(tǒng)或者公司發(fā)生的變化而面臨新風(fēng)險(xiǎn)的威脅;如果太短的話(huà)����,就可能會(huì)出現(xiàn)花費(fèi)所有時(shí)間來(lái)進(jìn)行審核����,結(jié)果風(fēng)險(xiǎn)評(píng)估標(biāo)記就一直都是"不變"的情形!)
第2部分中的具體內(nèi)容包括風(fēng)險(xiǎn)評(píng)估方面的詳細(xì)情況和可行狀況下的額外風(fēng)險(xiǎn)防范措施。表E顯示的就是我們所使用的模板����。
表E
“其它控件”中可以包括有系統(tǒng)調(diào)整、新程序、策略變化或強(qiáng)制執(zhí)行情況或者培訓(xùn)項(xiàng)目��。例如:
• 系統(tǒng)映像備份以及文件備份情況
• 備用單位采購(gòu)情況
• 密碼策略審核情況
• 數(shù)據(jù)泄漏監(jiān)測(cè)情況
• 使用策略接受度處理情況
• 系統(tǒng)文件改進(jìn)情況
• 選擇供應(yīng)商時(shí)所進(jìn)行的盡職調(diào)查
在撰寫(xiě)這篇文章的時(shí)間���,我建立的登記表中就包含有45處注冊(cè)風(fēng)險(xiǎn)���。而其中最近的一處就來(lái)自遠(yuǎn)程訪問(wèn)帶來(lái)的問(wèn)題,屬于發(fā)生事故后管理層討論得出的結(jié)果��。目前�,我們打算增加一套新策略和程序來(lái)降低這方面的風(fēng)險(xiǎn)。
最后����,我們會(huì)對(duì)風(fēng)險(xiǎn)進(jìn)行年度審查登記,檢查不完整評(píng)估或防范任務(wù)的處理情況�����,并將新風(fēng)險(xiǎn)添加進(jìn)去���。
總結(jié)
對(duì)于公司來(lái)說(shuō)�,IT風(fēng)險(xiǎn)管理屬于一項(xiàng)需要堅(jiān)持開(kāi)展下去的長(zhǎng)期工作���,而不應(yīng)當(dāng)僅僅是一次性任務(wù)����。具體到我們公司的情況來(lái)看,由于僅僅憑借一套簡(jiǎn)易架構(gòu)就可以實(shí)現(xiàn)有效工作�,這就意味著它所帶來(lái)的幫助會(huì)非常大。
