备战IT风险
IT风险已经无处不在。黑客、垃圾邮件发送者、病毒制造者和其它试图窃取数据和破坏系统的人,都可以成为制造风险的主角。个人隐身和信息安全毫无疑问已经处在了食物链的顶端。
美国Protiviti公司的技术风险执行总裁布拉特.布朗提出,在911事件之后,物理安全和信息安全的界限也开始变得越来越模糊。因此,在考虑到物理风险之外,政府CIO还必须考虑身份认证的管理风险。例如,不仅仅是对办公楼的物理保护,还有哪些人可以访问办公楼,哪些人既可以访问办公楼又可以访问网络,有哪些访问类型,如何分隔不同的访问类型等等。此外,公用电话网络和电力网格也在政府信息主管防御IT风险的考虑范围之内。
除开这些运营风险,政府CIO还需要处理各种项目风险。这涉及到开销花费、截至期限、技术专利的限制、不再受到支持的技术,以及项目的彻底失败等等。正如美国IT咨询公司Robert Frances集团主席卡尔.布劳恩斯坦所言:“IT风险其实是业务和运营风险的一部分”。
“就像医生也会生病、警察也有可能被攻击一样,IT风险是不可能避免的,关键要看怎样才能将风险出现的可能压缩到最小。”全球知名IT研究与顾问咨询公司Gartner的信息安全与风险研究副总裁里奇.莫古指出,通常在采取防范风险的行动之前,风险管理首先要做好三个步骤:
第一个步骤是定义风险容忍度。
它的关键在于定义哪些情况对本政府部门来说是可以接受的。通常来说,这项过程是由比信息主管更高级别的管理层来决定的。因为在这项过程中,需要详细列出各项后果,例如,花费开销、责任、政治问题。如果出现了状况,那么整个机构都需要接受这些后果。
第二个步骤是确定所有可能出现的风险。
正像政府的战略计划要列出本部门的每一项优势、劣势、机遇、危险一样,风险管理也要尽力找出每一项潜在的风险。只有在能够确认出所需要面对的风险的时候,风险管理计划才能够进行下去。
第三个步骤是对每个风险进行评估。
风险评估是指估算风险的构成、风险会如何出现以及会造成怎样的损失。信息主管可以参考一些形式化方法来协助风险评估过程,例如,由美国信息系统审计与控制协会(ISACA)制订的信息系统及技术控制目标(COBIT)标准。COBIT中的评估程序涉及的内容相当广泛。它可以帮助机构评估当前状态、发现消除或者减少特定风险的方法,欧洲、南非和澳大利亚的许多政府机构已经采用这套方法。
