有效的IT風險管理需要將流程控管和技術控管與投資進行強有力的整合。最有效的IT風險管理計劃是使用精選技術結合最佳實務流程的明確控管。機構組織在技術控管上的能力較流程控管來得更為有效。但是IT員工與IT高層管理者在看待其組織的IT風險漏洞時有顯著差異，特別是與營運流程及法規(guī)遵從風險有關的風險認知。例如，有8%的IT高層管理者認為營運流程風險對IT作業(yè)是“嚴重風險”，而22%的IT總監(jiān)視其為“嚴重”；另外23%的IT高層管理者認為法規(guī)遵從風險對IT作業(yè)是“嚴重風險”，但有16%的IT總監(jiān)視其為“嚴重”。

　　ING Renault（雷諾） F1車隊IT經(jīng)理Graeme Hackland 表示：“ING Renault F1車隊的 IT基礎架構對我們與客戶和合作伙伴的關系來說至為重要，因此我們承諾將IT風險管理納入重大企業(yè)策略的一環(huán)。在今日的環(huán)境之中，切實了解我們的風險概況以及如何改善資源的優(yōu)先級以確保一套有效的IT風險管理策略，是我們的首要任務。

ING Renault F1

　　賽門鐵克認為，IT風險管理投資要取得成功，就要對所有IT領域及其業(yè)務之間進行有效校準。不同的內(nèi)部IT觀點甚至造成重要業(yè)務協(xié)調(diào)不良而產(chǎn)生風險。這樣一來，就可能高估或低估了對控管項目所做的投資，導致資源浪費及無效的IT風險管理計劃。

　　賽門鐵克全球服務部門執(zhí)行副總裁Greg Hughes表示：“隨著企業(yè)組織在執(zhí)行業(yè)務方面越來越依賴IT系統(tǒng)，IT風險已成為企業(yè)領導者的主要顧慮，并且應被視為重大營運風險管理策略的一環(huán)�！顿愰T鐵克 IT 風險管理研究報告》為企業(yè)機構提供一份來自全球不同組織對IT風險的完整觀點�！�

　　《賽門鐵克IT風險管理研究報告》（Symantec IT Risk Management Report）是2月9日賽門鐵克公司發(fā)布的。報告指出，多數(shù)受訪者預期于最近的1至5年內(nèi)將遭受某種安全或法規(guī)遵從事件的影響。其中，66%的受訪者預期每5年至少會發(fā)生一次重大法規(guī)遵從事件。此外，58%的受訪者預期每5年至少會發(fā)生一次重大資料流失（如由于數(shù)據(jù)中心停擺、數(shù)據(jù)毀損，或安全系統(tǒng)漏洞等事件而導致的數(shù)據(jù)流失）。

　　報告調(diào)查結果指出，在流程控管中，驗證（authentication）、授權（authorization）及存�。╝ccess）被評為有效性最高的項目， 68%的受訪者認為自己組織在驗證、授權及存取上有超過75 %的有效性。報告同時指出在判別、分類及管理IT資產(chǎn)上存有特定的流程控管問題。僅38 %的受訪者認為自己在施行資產(chǎn)盤點、分類及管理流程控管上具有超過75 %的有效性。這些管控對于制訂反映企業(yè)組織優(yōu)先級的IT風險管理計劃來說，是十分重要的基本原則。若缺乏謹慎的風險評估，所有資產(chǎn)極有可能被視為同等重要，因而造成某些資產(chǎn)過度保護，而有些資產(chǎn)反而保護不足的問題。

　　美國Enterprise Strategy Group高級分析師Jon Oltsik表示：“企業(yè)組織開始認知到采取主動而非被動管理手法對其IT風險管理策略的價值所在�！盝on Oltsik進一步指出，“有效的IT 風險管理需要企業(yè)組織兼顧技術和流程兩個部分，清楚地認知到會造成其系統(tǒng)甚至整體業(yè)務沖擊的各式不同風險，且具備相同共識。”

標簽： 安全 計劃 漏洞 美國 企業(yè) 問題 行業(yè)

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。