发布时间:2013-08-17 22:17:54作者:知识屋
当我们在考虑到“风险管理策略”时,其重要性真的是不言而喻的。在当前的信息时代,大多数的企业都应该具备一套相应的管理策略。然而,事实上,有相当一部分的企业却很随意的将风险管理策略制定的计划一拖再拖或者根本完全忽略了制定相关的管理政策。
对于那些风险管理策略早已过时、不完备、或者压根儿就没有制定过信息风险管理策略的企业来说,也许从这样一个最为基本的问题入手,会对他们对所帮助。即:到底何为信息风险管理策略?
咨询公司IPArchitects的总裁JohnPironti在接受采访时说:“我将其视为企业关于在遭受到相关信息丢失、中断或数据资产可用性问题等情况时的最大容忍度的对话。即当企业丢失这上述某些东西时,会遭受怎样严重的损失是企业所无法挽救的?”
有了这样的对话,就可以帮助企业定义处理的优先级,并以更明智的方法来保护和维护他们的信息。这将有助于当发生诸如财务损失、企业公关危机、生产力水平下降等等类似的事件时尽量减少其他潜在的麻烦。
在众多的信息风险管理在数字化时代是一款相当重要的工具的原因之中:一套全面的信息风险管理策略可以帮助企业捋清哪些信息是真正重要的;而哪些是次重要的。如果不能做出这样明确的区分,往往会导致资源的浪费,无效的策略或者决策不佳。
曾主持过Interop的信息安全和风险管理大会的Pironti先生为我们提出了这样几点关于企业如何建立高效的信息风险管理策略的建议。
1、注意区别“风险”和“威胁”之间的差异。
Pironti指出了关于信息风险管理领域的一个常见的误解:“我认为安全专家们,包括我自己在内,都花费了太多的时间,却没有很好的弄清楚“风险”和“威胁”之间的差异。虽然“威胁”可能适用于某些恶意软件或钓鱼诈骗等领域,但“风险”所涉及的应该包括数据丢失、损坏或停机等更为广泛的状况,而不管其引发的原因是什么。
一套完整的信息风险管理策略不只是针对那些有目标性的或不分青红皂白的安全攻击,同时还各种各样的风险:员工操作错误、技术故障、供应商的失误等。这些风险因素都会对企业的业务产生同样的恶劣影响。Pironti说。
2、企业的业务部门应该在风险管理策略过程中占据主导。
Pironti说:“你指望从那些业务部门的领导处获得关于:‘我们应该关心哪些风险问题及其原因’的资讯吗?”这可能说起来容易做起来难,Pironti补充说,因为通常这些企业的高管和经理们也承担着相当的风险。但Pironti的观点也得到了安全和隐私领域的其他人的认可。
虽然企业的信息安全专业人员应该引领该过程,但最终的具体操作应该是由业务部门来执行和维护的。“如果信息安全专业人员只是在业务部门转转,给出他们的观点,就期待业务部门能够遵照执行,他们的见解甚至可能不会被业务部门所采纳或视为是可信的。Pironti说:“其可能不会达到业务部门的高层领导或董事会层面,因为其将会被看作是一个业务回顾,而不是一个企业级审查”。
3、企业的信息风险管理需要选择合适的人选。
建立一套信息风险管理政策,企业需要涉及到雇佣合适的工作人员的问题。Pironti建议选择业务流程的主要负责人或数据所有者。如果你不确定在你的企业谁是业务流程的主要负责人,那就选择为业务的利润和损失承担责任的人。换句话说:如果发生信息相关事件,谁将最终对其负责?
4、目标并不是要包括一切。
对于那些资源有限的企业来说,试图兼顾到其所收集到的全部数据不仅是不明智的,而且甚至会是导致项目加速失败的快车道。不要忘记,建立信息风险管理政策就是要优先根据您企业的数据,及其对于企业营收的相对重要性、合规性和其他因素。
“找到那些关键业务流程,那些被认为是企业业务重要的操作;或影响到企业健康发展和安全的业务流程。”Pironti说。但这并不是说我们应该关注每件事物的每一个细节。
Pironti在这里强调了“适当照顾”的概念,例如:你的企业是否曾经采取过通过合理预期可以保护您企业数据的措施?“那是最起码的出发点,然后你的工作才能逐步推进。”Pironti说。如果我们能够通过采取某些预防措施来保护企业自身免于违法相关法律规定、遵循相关的合规性、免于遭受不良公众舆论的干扰,并确保我们的业务能够按我们期待的方式正常运转的话,不用其他人告诉我们,我们也知道这些预防措施是值得做的。
5、避免太多的麻烦事件。
没有人会愿意承认他们的数据或业务流程的优先级低于别的部门。在一个“出人头地”的文化大背景下,很少有人会心甘情愿地承认他们的职责范围从风险管理的角度来看并不重要。因此,企业在制定信息风险管理政策是需要有一位专业的信息安全专家来帮助您确定优先级,避免相关的麻烦。
Pironti提示:如果企业已经有一套业务连续性或灾难恢复计划,那么就从这里开始着手吧,其应该会带来一个很好的效果,因为其已经为企业的数据优先级进行了“排名”,它以帮助理顺任何麻烦的关系。
主流游戏畅玩 5700元AMD Ryzen5 1500X配GTX1060电脑配置推荐
2017年奔腾G4560配GTX1050电脑配置清单 逆战游戏配置平台
4500元AMD Ryzen5 1500X配GTX1050Ti电脑配置推荐 暑期爽玩游戏
4000元i3-7100配GTX1050Ti组装机游戏配置单 守望先锋电脑配置推荐
3500元i3-7100配GTX1050独显游戏电脑配置推荐 畅玩CSGO游戏
5000元i5-7500配GTX1060适合玩GTA5电脑配置推荐 畅玩GTA5大作
8000元左右i7-7700k配RX580高端游戏电脑配置推荐 全侧透水冷平台
3000元奔腾G4560配RX560游戏电脑配置推荐 爽玩英雄联盟配置推荐
2017主流游戏电脑配置 6000元酷睿i5-7500配GTX1060电脑组装配置单
4000元左右AMD锐龙R5-1400配RX560电脑配置推荐 新显卡来袭
2015-06-29
2015组装电脑教程:i5-4690/GTX770高端DIY装机教程
GTA5配置要求高吗 《GTA5》电脑配置要求
120G固态硬盘哪个好?6款高性价比128G固态硬盘推荐
开游戏直播的电脑配置要求高吗?
i5 6500和i5 4590的区别 i5 6500与i5 4590哪个好
哪一款GTX980Ti性能最强?8款不同品牌GTX980Ti对比评测
AMD 760K与AMD 860K哪个好 AMD 860K和760K区别对比
2015电脑组装教程:史上最全自己组装电脑教程
第六代i5 6600配什么主板好 i5-6600主板推荐