观F1车队IT经理看待IT风险管理

有效的IT风险管理需要将流程控管和技术控管与投资进行强有力的整合。最有效的IT风险管理计划是使用精选技术结合最佳实务流程的明确控管。机构组织在技术控管上的能力较流程控管来得更为有效。但是IT员工与IT高层管理者在看待其组织的IT风险漏洞时有显著差异，特别是与营运流程及法规遵从风险有关的风险认知。例如，有8%的IT高层管理者认为营运流程风险对IT作业是“严重风险”，而22%的IT总监视其为“严重”；另外23%的IT高层管理者认为法规遵从风险对IT作业是“严重风险”，但有16%的IT总监视其为“严重”。

　　ING Renault（雷诺） F1车队IT经理Graeme Hackland 表示：“ING Renault F1车队的 IT基础架构对我们与客户和合作伙伴的关系来说至为重要，因此我们承诺将IT风险管理纳入重大企业策略的一环。在今日的环境之中，切实了解我们的风险概况以及如何改善资源的优先级以确保一套有效的IT风险管理策略，是我们的首要任务。

ING Renault F1

　　赛门铁克认为，IT风险管理投资要取得成功，就要对所有IT领域及其业务之间进行有效校准。不同的内部IT观点甚至造成重要业务协调不良而产生风险。这样一来，就可能高估或低估了对控管项目所做的投资，导致资源浪费及无效的IT风险管理计划。

　　赛门铁克全球服务部门执行副总裁Greg Hughes表示：“随着企业组织在执行业务方面越来越依赖IT系统，IT风险已成为企业领导者的主要顾虑，并且应被视为重大营运风险管理策略的一环。《赛门铁克 IT 风险管理研究报告》为企业机构提供一份来自全球不同组织对IT风险的完整观点。”

　　《赛门铁克IT风险管理研究报告》（Symantec IT Risk Management Report）是2月9日赛门铁克公司发布的。报告指出，多数受访者预期于最近的1至5年内将遭受某种安全或法规遵从事件的影响。其中，66%的受访者预期每5年至少会发生一次重大法规遵从事件。此外，58%的受访者预期每5年至少会发生一次重大资料流失（如由于数据中心停摆、数据毁损，或安全系统漏洞等事件而导致的数据流失）。

　　报告调查结果指出，在流程控管中，验证（authentication）、授权（authorization）及存取（access）被评为有效性最高的项目， 68%的受访者认为自己组织在验证、授权及存取上有超过75 %的有效性。报告同时指出在判别、分类及管理IT资产上存有特定的流程控管问题。仅38 %的受访者认为自己在施行资产盘点、分类及管理流程控管上具有超过75 %的有效性。这些管控对于制订反映企业组织优先级的IT风险管理计划来说，是十分重要的基本原则。若缺乏谨慎的风险评估，所有资产极有可能被视为同等重要，因而造成某些资产过度保护，而有些资产反而保护不足的问题。

　　美国Enterprise Strategy Group高级分析师Jon Oltsik表示：“企业组织开始认知到采取主动而非被动管理手法对其IT风险管理策略的价值所在。”Jon Oltsik进一步指出，“有效的IT 风险管理需要企业组织兼顾技术和流程两个部分，清楚地认知到会造成其系统甚至整体业务冲击的各式不同风险，且具备相同共识。”

标签： 安全 计划 漏洞 美国 企业 问题 行业

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。