ING Renault F1車隊IT經(jīng)理Graeme Hackland 表示：“ING Renault F1車隊的 IT基礎(chǔ)架構(gòu)對我們與客戶和合作伙伴的關(guān)系來說至為重要，因此我們承諾將IT風(fēng)險管理納入重大企業(yè)策略的一環(huán)。在今日的環(huán)境之中，切實了解我們的風(fēng)險概況以及如何改善資源的優(yōu)先級以確保一套有效的IT風(fēng)險管理策略，是我們的首要任務(wù)。”

企業(yè)機構(gòu)預(yù)期會有安全漏洞存在與意外事件的發(fā)生

《賽門鐵克 IT 風(fēng)險管理研究報告》調(diào)查結(jié)果指出，多數(shù)受訪者預(yù)期于最近的1至5年內(nèi)將遭受某種安全或法規(guī)遵從事件的影響。其中，66%的受訪者預(yù)期每5年至少會發(fā)生一次重大法規(guī)遵從事件。此外，58%的受訪者預(yù)期每5年至少會發(fā)生一次重大資料流失（如由于數(shù)據(jù)中心停擺、數(shù)據(jù)毀損，或安全系統(tǒng)漏洞等事件而導(dǎo)致的數(shù)據(jù)流失）。

流程控管之推行落后技術(shù)控管

有效的IT風(fēng)險管理需要將流程控管和技術(shù)控管之專業(yè)與投資做強而有力的整合。最有效的IT風(fēng)險管理計劃使用精選技術(shù)結(jié)合最佳實務(wù)流程的明確控管。《賽門鐵克 IT 風(fēng)險管理研究報告》顯示，這次調(diào)查所訪問的專家們，無論是位于組織內(nèi)的各個層級、還是橫跨各產(chǎn)業(yè)、規(guī)模、區(qū)域，都認為其組織在技術(shù)控管上的能力較流程控管來得更為有效。

報告調(diào)查結(jié)果指出，在流程控管中，驗證（authentication）、授權(quán)（authorization）及存?。╝ccess）被評為有效性最高的項目， 68%的受訪者認為自己組織在驗證、授權(quán)及存取上有超過75 %的有效性。報告同時指出在判別、分類及管理IT資產(chǎn)上存有特定的流程控管問題。僅38 %的受訪者認為自己在施行資產(chǎn)盤點、分類及管理流程控管上具有超過75 %的有效性。這些管控對于制訂反映企業(yè)組織優(yōu)先級的IT風(fēng)險管理計劃來說，是十分重要的基本原則。若缺乏謹慎的風(fēng)險評估，所有資產(chǎn)極有可能被視為同等重要，因而造成某些資產(chǎn)過度保護，而有些資產(chǎn)反而保護不足的問題。

美國Enterprise Strategy Group高級分析師Jon Oltsik表示：“企業(yè)組織開始認知到采取主動而非被動管理手法對其IT風(fēng)險管理策略的價值所在?！盝on Oltsik進一步指出，“有效的IT 風(fēng)險管理需要企業(yè)組織兼顧技術(shù)和流程兩個部分，清楚地認知到會造成其系統(tǒng)甚至整體業(yè)務(wù)沖擊的各式不同風(fēng)險，且具備相同共識?！?br />

內(nèi)部 IT 組織各職務(wù)對風(fēng)險認知缺乏共識

《賽門鐵克 IT 風(fēng)險管理研究報告》顯示，IT員工與IT高層管理者在看待其組織的IT風(fēng)險漏洞時有顯著差異，特別是與營運流程及法規(guī)遵從風(fēng)險有關(guān)的風(fēng)險認知。例如，有8%的IT高層管理者認為營運流程風(fēng)險對IT作業(yè)是“嚴重風(fēng)險”，而22%的IT總監(jiān)視其為“嚴重”；另外23%的IT高層管理者認為法規(guī)遵從風(fēng)險對IT作業(yè)是“嚴重風(fēng)險”，但有16%的IT總監(jiān)視其為“嚴重”。

賽門鐵克相信，IT風(fēng)險管理投資要取得成功，就要對所有IT領(lǐng)域及其業(yè)務(wù)之間進行有效校準。不同的內(nèi)部IT觀點甚至造成重要業(yè)務(wù)協(xié)調(diào)不良而產(chǎn)生風(fēng)險。這樣一來，就可能高估或低估了對控管項目所做的投資，導(dǎo)致資源浪費及無效的IT風(fēng)險管理計劃。

賽門鐵克全球服務(wù)部門執(zhí)行副總裁Greg Hughes表示：“隨著企業(yè)組織在執(zhí)行業(yè)務(wù)方面越來越依賴IT系統(tǒng)，IT風(fēng)險已成為企業(yè)領(lǐng)導(dǎo)者的主要顧慮，并且應(yīng)被視為重大營運風(fēng)險管理策略的一環(huán)?！顿愰T鐵克 IT 風(fēng)險管理研究報告》為企業(yè)機構(gòu)提供一份來自全球不同組織對IT風(fēng)險的完整觀點?！?br />

全面性的風(fēng)險管理方法能減少意外事件的發(fā)生

《賽門鐵克 IT 風(fēng)險管理研究報告》資料指出一項與標(biāo)竿企業(yè)相關(guān)的趨勢。報告中，賽門鐵克將標(biāo)竿企業(yè)定義為在16種實際施行控管領(lǐng)域的效度中，排名前25%的受訪者。這些標(biāo)竿企業(yè)雖遭遇較高程度的法規(guī)遵從及營運流程風(fēng)險，但發(fā)生IT意外事件的頻率較低。一份詳細的分析顯示標(biāo)竿企業(yè)于不同的控件（包括流程控制）間具有高效率的表現(xiàn)，其產(chǎn)生之管理方法較具全面性。此數(shù)據(jù)亦指出績效較低的組織通常著重于一小部份較具技術(shù)性的控制，而非施行大范圍的控制領(lǐng)域。

《賽門鐵克 IT 風(fēng)險管理研究報告》提供企業(yè)組織所需要評估企業(yè)內(nèi)部之IT風(fēng)險管理策略有效性的指標(biāo)與建議。

《賽門鐵克 IT 風(fēng)險管理研究報告》可于賽門鐵克網(wǎng)站 www.symantec.com/riskreport 獲得。

多易