对于绝大多数普通人来说,“风险评估”应当属于健康与安全、危险化学品、高空作业等特殊领域的陌生工作。当然,这种想法也是非常正确的。但对于企业来说,所面临的风险会有很多种不同类型,并且所有部分都应当获得有效的管理。而这里面就将包括了财务、人事、设施以及IT方面的风险。理想状态下,IT 风险管理应当属于企业范围内广泛活动的组成部分;毕竟,如果没地方工作或者所有员工都病了,仅仅知道如何恢复数据也并没有什么实际用途。不过在本文中,我提到的风险管理模式就仅仅针对IT系统和数据。对于规模较大的企业来说,也可以选择设置专门人员并采用不同的模式来处理;但我们所做的至少可以达到积极主动的目标,并为很多改进工作的完成提供有力支持。
对IT风险进行分类处理
对IT风险进行分类处理可以将潜在问题消除在萌芽阶段,达到防范重大风险出现的目标。在这里,公司使用的分类方式属于可以随意选择的情况。表A中所显示的,就是我们所使用的分类模式。
表A
当然,我们在进行分类的时间不可避免地会遇到内容重叠方面的问题;不过,目前阶段中最重要的问题是防止风险被忽视。
对风险情况进行评估
在这里,我们所采用的是类似健康与安全风险评估的典型定性模式,利用可能性及影响的组合来表示风险控制或防范方面的具体情况。表B所显示的就是具体架构情况。
表B
由此得出的风险水平等级将会在表C上显示出来。
表C
风险防范
防范的目标就是降低某些问题的发生概率——或者减少在事故发生后给业务带来的消极影响。为了实现有效防范,我们需要很多种不同措施的全面支持。而在这里,我们要做的第一件事情就是确认依据评估风险等级所作出的紧急程度表(表D)。
表D
接下来,我们要做的第二件事情就是对IT风险进行全面登记——该文件中应当包含有过去以及目前针对风险评估以及防范措施的跟踪情况。(最早它采用的格式是电子表格,但由于内容增加体积变得非常臃肿,所以最近我将其重新转换为Word文件。)
风险注册第1部分中记录的是风险类别和典型常规风险防范措施等方面的内容。我们针对每个类别都建立了具体的风险评估列表,而在第2部分中则给出详细信息的链接。此列表允许对已完成、存档或进行中的风险管理任务进行简要总结,并且可以突出显示出那些到期需要复核的任务。(审查周期长度也属于可以任意设置的项目;如果太长的话,就可能会导致没有发觉系统或者公司发生的变化而面临新风险的威胁;如果太短的话,就可能会出现花费所有时间来进行审核,结果风险评估标记就一直都是"不变"的情形!)
第2部分中的具体内容包括风险评估方面的详细情况和可行状况下的额外风险防范措施。表E显示的就是我们所使用的模板。
表E
“其它控件”中可以包括有系统调整、新程序、策略变化或强制执行情况或者培训项目。例如:
• 系统映像备份以及文件备份情况
• 备用单位采购情况
• 密码策略审核情况
• 数据泄漏监测情况
• 使用策略接受度处理情况
• 系统文件改进情况
• 选择供应商时所进行的尽职调查
在撰写这篇文章的时间,我建立的登记表中就包含有45处注册风险。而其中最近的一处就来自远程访问带来的问题,属于发生事故后管理层讨论得出的结果。目前,我们打算增加一套新策略和程序来降低这方面的风险。
最后,我们会对风险进行年度审查登记,检查不完整评估或防范任务的处理情况,并将新风险添加进去。
总结
对于公司来说,IT风险管理属于一项需要坚持开展下去的长期工作,而不应当仅仅是一次性任务。具体到我们公司的情况来看,由于仅仅凭借一套简易架构就可以实现有效工作,这就意味着它所带来的帮助会非常大。