完整考慮企業(yè)IT風(fēng)險(xiǎn)管理的需求及其實(shí)現(xiàn)方式,可以幫助企業(yè)更準(zhǔn)確地估計(jì)業(yè)務(wù)保護(hù)的成本����,從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿足風(fēng)險(xiǎn)管理的需要。
項(xiàng)目管理培訓(xùn)師康路晨總結(jié)每個(gè)企業(yè)在經(jīng)營(yíng)中都有可能發(fā)生風(fēng)險(xiǎn)�����,如何化解和減少風(fēng)險(xiǎn)是企業(yè)經(jīng)營(yíng)者必須研究的�,因此���,企業(yè)的風(fēng)險(xiǎn)管理非常重要。隨著企業(yè)對(duì)信息技術(shù)的依賴(lài)性不斷增強(qiáng)�����,加強(qiáng)IT風(fēng)險(xiǎn)管理�,成為越來(lái)越多的企業(yè)關(guān)注的焦點(diǎn)�����。
風(fēng)險(xiǎn)管理不容回避
如今,企業(yè)面臨的風(fēng)險(xiǎn)的復(fù)雜性隨著市場(chǎng)全球化的發(fā)展而日益提高�����,推動(dòng)企業(yè)風(fēng)險(xiǎn)管理的監(jiān)管力度也隨之越來(lái)越大,不少行業(yè)為保護(hù)企業(yè)在不穩(wěn)定的商業(yè)環(huán)境中穩(wěn)定運(yùn)轉(zhuǎn)而頒布了專(zhuān)門(mén)的法規(guī)���。
由十國(guó)主要金融服務(wù)相關(guān)機(jī)構(gòu)牽頭發(fā)起的《巴塞爾第二號(hào)協(xié)定》(Basel Ⅱ Accord)中,不僅對(duì)資本風(fēng)險(xiǎn)進(jìn)行約束�,而且還涉及到經(jīng)營(yíng)風(fēng)險(xiǎn),包括IT系統(tǒng)給公司帶來(lái)的風(fēng)險(xiǎn)�。換句話說(shuō),該協(xié)定強(qiáng)制要求采用企業(yè)風(fēng)險(xiǎn)管理體系�����,并關(guān)注IT風(fēng)險(xiǎn)管理�。
信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(Isaca)也制訂了信息和相關(guān)技術(shù)控制目標(biāo)(Cobit)���,這份文檔同樣概述了怎樣擬訂企業(yè)風(fēng)險(xiǎn)管理框架。而頒布這兩項(xiàng)方案的目的都是為了促進(jìn)風(fēng)險(xiǎn)管理機(jī)制在企業(yè)的應(yīng)用����。
此外,還有著名的《薩班斯-奧克斯利法案》(Sarbanes-Oxley)��,其404條款規(guī)定:所有在美上市企業(yè)都要建立內(nèi)部控制體系���,其中包括控制環(huán)境����、風(fēng)險(xiǎn)評(píng)估����、控制活動(dòng)�����、信息溝通以及監(jiān)督5個(gè)部分。而且��,法案對(duì)企業(yè)建立的內(nèi)部控制活動(dòng)的記錄作了許多詳細(xì)而嚴(yán)格的細(xì)節(jié)上的規(guī)定���。如此一來(lái)��,404條款就成為外國(guó)公司邁入美國(guó)股市的“高門(mén)檻”。
事實(shí)上��,隨著全球化的業(yè)務(wù)大集中、數(shù)據(jù)大集中趨勢(shì)����,IT越來(lái)越滲透到企業(yè)運(yùn)營(yíng)的每一個(gè)方面�、環(huán)節(jié)和流程�����。與此同時(shí)�����,IT也成為企業(yè)業(yè)務(wù)運(yùn)營(yíng)面臨的主要風(fēng)險(xiǎn)之一�。
企業(yè)中的IT管理者們往往被各種各樣的因素困擾�����,譬如由于成本的限制��,總是無(wú)法圓滿地解決這些問(wèn)題。另一些企業(yè)由于業(yè)務(wù)模式過(guò)于復(fù)雜���,以至于IT部門(mén)雖然感知到風(fēng)險(xiǎn)的存在,但根本無(wú)從知道風(fēng)險(xiǎn)究竟在何處����,何時(shí)會(huì)爆發(fā),也無(wú)法對(duì)潛在風(fēng)險(xiǎn)進(jìn)行評(píng)估���。
那么����,企業(yè)IT管理者到底應(yīng)當(dāng)如何清晰地了解潛在風(fēng)險(xiǎn)、需求和相應(yīng)的投資額度��,又如何有效規(guī)避風(fēng)險(xiǎn)呢�����?
扭轉(zhuǎn)觀念
任何方面的漏洞與變化都會(huì)影響到業(yè)務(wù)運(yùn)營(yíng)所需要的服務(wù)級(jí)別。通過(guò)全盤(pán)規(guī)劃和考慮���,采用整體化的解決方案,企業(yè)能夠構(gòu)建可靠的基礎(chǔ)設(shè)施��,從而根據(jù)業(yè)務(wù)發(fā)展情況靈活調(diào)整IT的可用性與性能�����。
在進(jìn)行企業(yè)IT風(fēng)險(xiǎn)管理控制的過(guò)程中,技術(shù)固然是一個(gè)重要組成部分����,但要取得出色的IT運(yùn)營(yíng)效果,員工技能與最佳實(shí)踐同樣缺一不可�����。
其中���,將業(yè)務(wù)連續(xù)性�、可用性與安全性的意識(shí)融入到企業(yè)文化和各種運(yùn)營(yíng)機(jī)制中��,使其成為開(kāi)展與維持業(yè)務(wù)運(yùn)營(yíng)的必不可少的組成部分����,可能是最艱巨的任務(wù),但一旦實(shí)現(xiàn)�,也就從觀念上和根本上提高了企業(yè)管控風(fēng)險(xiǎn)的能力。
正確評(píng)估
企業(yè)在構(gòu)建靈活安全的IT環(huán)境之前�����,首先要透徹地了解自身的業(yè)務(wù)需求、所面臨的威脅與風(fēng)險(xiǎn)、以及IT系統(tǒng)出現(xiàn)故障對(duì)各關(guān)鍵業(yè)務(wù)流程的影響等各方面因素�。只有正確分析和面對(duì)可能存在的各類(lèi)風(fēng)險(xiǎn)���,并正確評(píng)估各類(lèi)風(fēng)險(xiǎn)可能造成的影響���,才能采取正確有效的措施來(lái)規(guī)避風(fēng)險(xiǎn)。
值得一提的是��,一直被低估的停機(jī)成本事實(shí)上高得超乎想像���。Infonetics Research是一家國(guó)際市場(chǎng)調(diào)研公司,專(zhuān)門(mén)從事北美���、歐洲與亞洲地區(qū)的數(shù)據(jù)網(wǎng)絡(luò)與電信行業(yè)調(diào)研工作。
Infonetics近期實(shí)施了一項(xiàng)客戶調(diào)查項(xiàng)目,調(diào)查內(nèi)容是關(guān)于網(wǎng)絡(luò)中斷及其對(duì)于大型企業(yè)的影響�����。該調(diào)查的研究報(bào)告稱(chēng)�����,美國(guó)大企業(yè)每年IT停機(jī)成本占其收入的3.6%��,其中制造企業(yè)的停機(jī)成本在收入中所占比例為9%,金融服務(wù)機(jī)構(gòu)則高達(dá)16%。此外�,停機(jī)還使企業(yè)面臨員工效率降低以及企業(yè)在客戶與股東中的聲譽(yù)受損等其它難以量化的潛在風(fēng)險(xiǎn)。
巧妙平衡
企業(yè)在進(jìn)行風(fēng)險(xiǎn)的規(guī)避和管控的過(guò)程中�����,往往要面臨著如何平衡風(fēng)險(xiǎn)管理與業(yè)務(wù)保護(hù)成本的挑戰(zhàn)。根據(jù)惠普多年來(lái)在該領(lǐng)域的經(jīng)驗(yàn),建議企業(yè)IT管理者采取分層次�、分步驟的方式來(lái)做出合理決策�����,實(shí)現(xiàn)風(fēng)險(xiǎn)規(guī)避與成本之間的巧妙平衡。
一般情況下��,我們會(huì)建議企業(yè)首先認(rèn)真分析每個(gè)業(yè)務(wù)流程可能遭遇的風(fēng)險(xiǎn)及其影響�,力求解決下列關(guān)鍵問(wèn)題:
◆ 需要何種級(jí)別的可用性�����?
◆ 一旦發(fā)生重大停機(jī)事故,業(yè)務(wù)對(duì)數(shù)據(jù)損失的承受能力有多大���?
◆ 業(yè)務(wù)流程能夠承受的停機(jī)時(shí)間極限?
◆ 需要何種級(jí)別的安全性����?
然而,風(fēng)險(xiǎn)管理是一個(gè)系統(tǒng)性的工作��。一般來(lái)說(shuō),一套完整的IT風(fēng)險(xiǎn)管理方法包括以下4個(gè)步驟�����。
步驟1:確定業(yè)務(wù)需求�。對(duì)整個(gè)企業(yè)內(nèi)所有涉及合規(guī)性��、可用性��、安全性和業(yè)務(wù)連續(xù)性的業(yè)務(wù)流程和應(yīng)用的要求進(jìn)行評(píng)估。衡量停機(jī)對(duì)各業(yè)務(wù)應(yīng)用與流程的影響�����。
步驟2:評(píng)估風(fēng)險(xiǎn)等級(jí)。對(duì)可用性��、安全性與持續(xù)性進(jìn)行全面且深入的評(píng)估,以確定風(fēng)險(xiǎn)領(lǐng)域,制定保護(hù)IT環(huán)境�����、改善IT服務(wù)的策略。將企業(yè)目前現(xiàn)行的實(shí)踐與“最佳信息技術(shù)基礎(chǔ)設(shè)施信息庫(kù)(ITIL)”推薦的最佳實(shí)踐進(jìn)行比較�����,了解差距�,根據(jù)業(yè)務(wù)影響確定風(fēng)險(xiǎn)等級(jí)。
步驟3:設(shè)計(jì)與實(shí)施解決方案�。將需求轉(zhuǎn)化為切實(shí)可行的技術(shù)與服務(wù)解決方案�,其中包括存儲(chǔ)�、數(shù)據(jù)庫(kù)、應(yīng)用����、系統(tǒng)����、網(wǎng)絡(luò)和環(huán)境基礎(chǔ)設(shè)施等。制定持續(xù)性服務(wù)改進(jìn)計(jì)劃�����。
步驟4:監(jiān)控、管理與發(fā)展。制定IT服務(wù)管理政策�,建立培訓(xùn)機(jī)制,采用最佳實(shí)踐調(diào)整人員與優(yōu)化流程。在業(yè)務(wù)發(fā)展過(guò)程中����,對(duì)持續(xù)性與可用性計(jì)劃進(jìn)行再評(píng)估��、監(jiān)控���、審計(jì)與測(cè)試����。
通過(guò)以上4步驟�,完整考慮企業(yè)IT風(fēng)險(xiǎn)管理的需求及其實(shí)現(xiàn)方式,可以幫助企業(yè)更準(zhǔn)確地估計(jì)業(yè)務(wù)保護(hù)的成本�����,從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿足風(fēng)險(xiǎn)管理的需要�����。
美國(guó)大企業(yè)每年的IT停機(jī)成本占其收入的3.6%�����,其中制造企業(yè)的停機(jī)成本在收入中所占比例為9%��,金融服務(wù)機(jī)構(gòu)則高達(dá)16%���。
浙公網(wǎng)安備 33010802003509號(hào)