本篇文章版权由ECF和HP所有
作者:童继龙
都说企业信息安全很重要,许多企业的IT主管们都想方设想地去实现企业的信息安全,但总归是有一次次突发的事件,使得IT主管们认识到,越来越庞大的IT资产管理难度越来越大,特别是对于持续运行的大型IT系统而言,需要有一个清晰而明确的管理策略,而这些策略还需要前置,也就是IT系统的风险管理体系去支撑IT系统的运营。
一般来说,企业信息系统的安全主要有如下四个来源:人、流程、技术和其它因素,需要重点说明的一点是,在IT系统部署中,采用了太新的技术,往往也是一件高风险的事情,特别是这项技术没有经过充分验证的情况下,IT系统的风险会成几何倍数的增长。同时,一个过于复杂的IT系统也是风险的源头之一,太过于复杂的系统,往往对于运营与维护的要求就非常高,在这个过程中往往容易出错,再者对操作人员的能力水平要求也较高,这又是另一个难题。
而IT系统的风险往往会对业务带来如下影响:
1、 性能:IT系统风险有的时候是致命的,但有的时候看起来也不是特别致命,无非是系统的性能慢一些,导致一线的许多操作人员是“人等系统”,在这里IT系统的性能就影响到了人员的绩效,正好在英语中,性能与绩效是同一个词,看来这两者之间还真的是有非常大的关联。
2、 安全:IT风险最大的风险,也是最直接的风险就是安全,这也会影响到业务的安全,如IT系统的数据由于服务器出问题全面丢失了,企业会面临着怎么样的问题?或者都有可能导致企业的关门大吉也不为过。
3、 成本:包括金钱成本和时间成本:在不久之前,我就某房地产企业的ERP系统,由于性能问题,无法按照计划进行开盘,导致当天损失了上亿的交易额的问题,一怒之下直接将原有IT系统废除,重新构建的案例,在这个例子中就出现了典型的成本代价。
下图是一个典型的风险管理模型,在这个风险管理模型中,我们可以看到,企业信息系统的风险管理是由识别、分析、计划、跟踪、控制五大过程组成的闭环,在这个闭环中一个核心成果必须全程管理,也就是我们常说的《风险登记册》。在这个闭环的过程中,需要IT人员定期的、或是通过事件触发的进行IT风险线索进行识别定义,明确了风险之后进行整体分析,并给出相应的应对策略和计划,在风险爆发的时候通过有效跟踪,确保风险得到控制,最终平息该风险。
本篇文章版权由ECF和HP所有
1696
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
