ING Renault F1車(chē)隊(duì)IT經(jīng)理Graeme Hackland 表示：“ING Renault F1車(chē)隊(duì)的 IT基礎(chǔ)架構(gòu)對(duì)我們與客戶和合作伙伴的關(guān)系來(lái)說(shuō)至為重要，因此我們承諾將IT風(fēng)險(xiǎn)管理納入重大企業(yè)策略的一環(huán)。在今日的環(huán)境之中，切實(shí)了解我們的風(fēng)險(xiǎn)概況以及如何改善資源的優(yōu)先級(jí)以確保一套有效的IT風(fēng)險(xiǎn)管理策略，是我們的首要任務(wù)?！?br />

企業(yè)機(jī)構(gòu)預(yù)期會(huì)有安全漏洞存在與意外事件的發(fā)生

《賽門(mén)鐵克 IT 風(fēng)險(xiǎn)管理研究報(bào)告》調(diào)查結(jié)果指出，多數(shù)受訪者預(yù)期于最近的1至5年內(nèi)將遭受某種安全或法規(guī)遵從事件的影響。其中，66%的受訪者預(yù)期每5年至少會(huì)發(fā)生一次重大法規(guī)遵從事件。此外，58%的受訪者預(yù)期每5年至少會(huì)發(fā)生一次重大資料流失（如由于數(shù)據(jù)中心停擺、數(shù)據(jù)毀損，或安全系統(tǒng)漏洞等事件而導(dǎo)致的數(shù)據(jù)流失）。

流程控管之推行落后技術(shù)控管

有效的IT風(fēng)險(xiǎn)管理需要將流程控管和技術(shù)控管之專(zhuān)業(yè)與投資做強(qiáng)而有力的整合。最有效的IT風(fēng)險(xiǎn)管理計(jì)劃使用精選技術(shù)結(jié)合最佳實(shí)務(wù)流程的明確控管。《賽門(mén)鐵克 IT 風(fēng)險(xiǎn)管理研究報(bào)告》顯示，這次調(diào)查所訪問(wèn)的專(zhuān)家們，無(wú)論是位于組織內(nèi)的各個(gè)層級(jí)、還是橫跨各產(chǎn)業(yè)、規(guī)模、區(qū)域，都認(rèn)為其組織在技術(shù)控管上的能力較流程控管來(lái)得更為有效。

報(bào)告調(diào)查結(jié)果指出，在流程控管中，驗(yàn)證（authentication）、授權(quán)（authorization）及存?。╝ccess）被評(píng)為有效性最高的項(xiàng)目， 68%的受訪者認(rèn)為自己組織在驗(yàn)證、授權(quán)及存取上有超過(guò)75 %的有效性。報(bào)告同時(shí)指出在判別、分類(lèi)及管理IT資產(chǎn)上存有特定的流程控管問(wèn)題。僅38 %的受訪者認(rèn)為自己在施行資產(chǎn)盤(pán)點(diǎn)、分類(lèi)及管理流程控管上具有超過(guò)75 %的有效性。這些管控對(duì)于制訂反映企業(yè)組織優(yōu)先級(jí)的IT風(fēng)險(xiǎn)管理計(jì)劃來(lái)說(shuō)，是十分重要的基本原則。若缺乏謹(jǐn)慎的風(fēng)險(xiǎn)評(píng)估，所有資產(chǎn)極有可能被視為同等重要，因而造成某些資產(chǎn)過(guò)度保護(hù)，而有些資產(chǎn)反而保護(hù)不足的問(wèn)題。

美國(guó)Enterprise Strategy Group高級(jí)分析師Jon Oltsik表示：“企業(yè)組織開(kāi)始認(rèn)知到采取主動(dòng)而非被動(dòng)管理手法對(duì)其IT風(fēng)險(xiǎn)管理策略的價(jià)值所在。”Jon Oltsik進(jìn)一步指出，“有效的IT 風(fēng)險(xiǎn)管理需要企業(yè)組織兼顧技術(shù)和流程兩個(gè)部分，清楚地認(rèn)知到會(huì)造成其系統(tǒng)甚至整體業(yè)務(wù)沖擊的各式不同風(fēng)險(xiǎn)，且具備相同共識(shí)?！?br />

內(nèi)部 IT 組織各職務(wù)對(duì)風(fēng)險(xiǎn)認(rèn)知缺乏共識(shí)

《賽門(mén)鐵克 IT 風(fēng)險(xiǎn)管理研究報(bào)告》顯示，IT員工與IT高層管理者在看待其組織的IT風(fēng)險(xiǎn)漏洞時(shí)有顯著差異，特別是與營(yíng)運(yùn)流程及法規(guī)遵從風(fēng)險(xiǎn)有關(guān)的風(fēng)險(xiǎn)認(rèn)知。例如，有8%的IT高層管理者認(rèn)為營(yíng)運(yùn)流程風(fēng)險(xiǎn)對(duì)IT作業(yè)是“嚴(yán)重風(fēng)險(xiǎn)”，而22%的IT總監(jiān)視其為“嚴(yán)重”；另外23%的IT高層管理者認(rèn)為法規(guī)遵從風(fēng)險(xiǎn)對(duì)IT作業(yè)是“嚴(yán)重風(fēng)險(xiǎn)”，但有16%的IT總監(jiān)視其為“嚴(yán)重”。

賽門(mén)鐵克相信，IT風(fēng)險(xiǎn)管理投資要取得成功，就要對(duì)所有IT領(lǐng)域及其業(yè)務(wù)之間進(jìn)行有效校準(zhǔn)。不同的內(nèi)部IT觀點(diǎn)甚至造成重要業(yè)務(wù)協(xié)調(diào)不良而產(chǎn)生風(fēng)險(xiǎn)。這樣一來(lái)，就可能高估或低估了對(duì)控管項(xiàng)目所做的投資，導(dǎo)致資源浪費(fèi)及無(wú)效的IT風(fēng)險(xiǎn)管理計(jì)劃。

賽門(mén)鐵克全球服務(wù)部門(mén)執(zhí)行副總裁Greg Hughes表示：“隨著企業(yè)組織在執(zhí)行業(yè)務(wù)方面越來(lái)越依賴(lài)IT系統(tǒng)，IT風(fēng)險(xiǎn)已成為企業(yè)領(lǐng)導(dǎo)者的主要顧慮，并且應(yīng)被視為重大營(yíng)運(yùn)風(fēng)險(xiǎn)管理策略的一環(huán)?！顿愰T(mén)鐵克 IT 風(fēng)險(xiǎn)管理研究報(bào)告》為企業(yè)機(jī)構(gòu)提供一份來(lái)自全球不同組織對(duì)IT風(fēng)險(xiǎn)的完整觀點(diǎn)?！?br />

全面性的風(fēng)險(xiǎn)管理方法能減少意外事件的發(fā)生

《賽門(mén)鐵克 IT 風(fēng)險(xiǎn)管理研究報(bào)告》資料指出一項(xiàng)與標(biāo)竿企業(yè)相關(guān)的趨勢(shì)。報(bào)告中，賽門(mén)鐵克將標(biāo)竿企業(yè)定義為在16種實(shí)際施行控管領(lǐng)域的效度中，排名前25%的受訪者。這些標(biāo)竿企業(yè)雖遭遇較高程度的法規(guī)遵從及營(yíng)運(yùn)流程風(fēng)險(xiǎn)，但發(fā)生IT意外事件的頻率較低。一份詳細(xì)的分析顯示標(biāo)竿企業(yè)于不同的控件（包括流程控制）間具有高效率的表現(xiàn)，其產(chǎn)生之管理方法較具全面性。此數(shù)據(jù)亦指出績(jī)效較低的組織通常著重于一小部份較具技術(shù)性的控制，而非施行大范圍的控制領(lǐng)域。

《賽門(mén)鐵克 IT 風(fēng)險(xiǎn)管理研究報(bào)告》提供企業(yè)組織所需要評(píng)估企業(yè)內(nèi)部之IT風(fēng)險(xiǎn)管理策略有效性的指標(biāo)與建議。

《賽門(mén)鐵克 IT 風(fēng)險(xiǎn)管理研究報(bào)告》可于賽門(mén)鐵克網(wǎng)站 www.symantec.com/riskreport 獲得。

多易