| 摘要:在您的企业制定风险管理策略时,请务必确保您雇佣了合适的员工,并拥有正确的业务流程。 |
对于那些风险管理策略早已过时、不完备、或者压根儿就没有制定过信息风险管理策略的企业来说,也许从这样一个最为基本的问题入手,会对他们对所帮助。即:到底何为信息风险管理策略?
咨询公司IPArchitects的总裁JohnPironti在接受采访时说:“我将其视为企业关于在遭受到相关信息丢失、中断或数据资产可用性问题等情况时的最大容忍度的对话。即当企业丢失这上述某些东西时,会遭受怎样严重的损失是企业所无法挽救的?”
有了这样的对话,就可以帮助企业定义处理的优先级,并以更明智的方法来保护和维护他们的信息。这将有助于当发生诸如财务损失、企业公关危机、生产力水平下降等等类似的事件时尽量减少其他潜在的麻烦。
在众多的信息风险管理在数字化时代是一款相当重要的工具的原因之中:一套全面的信息风险管理策略可以帮助企业捋清哪些信息是真正重要的;而哪些是次重要的。如果不能做出这样明确的区分,往往会导致资源的浪费,无效的策略或者决策不佳。
曾主持过Interop的信息安全和风险管理大会的Pironti先生为我们提出了这样几点关于企业如何建立高效的信息风险管理策略的建议。
1、注意区别“风险”和“威胁”之间的差异。
Pironti指出了关于信息风险管理领域的一个常见的误解:“我认为安全专家们,包括我自己在内,都花费了太多的时间,却没有很好的弄清楚“风险”和“威胁”之间的差异。虽然“威胁”可能适用于某些恶意软件或钓鱼诈骗等领域,但“风险”所涉及的应该包括数据丢失、损坏或停机等更为广泛的状况,而不管其引发的原因是什么。
一套完整的信息风险管理策略不只是针对那些有目标性的或不分青红皂白的安全攻击,同时还各种各样的风险:员工操作错误、技术故障、供应商的失误等。这些风险因素都会对企业的业务产生同样的恶劣影响。Pironti说。
2、企业的业务部门应该在风险管理策略过程中占据主导。
Pironti说:“你指望从那些业务部门的领导处获得关于:‘我们应该关心哪些风险问题及其原因’的资讯吗?”这可能说起来容易做起来难,Pironti补充说,因为通常这些企业的高管和经理们也承担着相当的风险。但Pironti的观点也得到了安全和隐私领域的其他人的认可。
虽然企业的信息安全专业人员应该引领该过程,但最终的具体操作应该是由业务部门来执行和维护的。“如果信息安全专业人员只是在业务部门转转,给出他们的观点,就期待业务部门能够遵照执行,他们的见解甚至可能不会被业务部门所采纳或视为是可信的。Pironti说:“其可能不会达到业务部门的高层领导或董事会层面,因为其将会被看作是一个业务回顾,而不是一个企业级审查”。
评论表单加载中...
