管理IT风险的诀窍

1. 了解风险

    Enterprise Management Associates(EMA)的安全专家暨研究主管Scott Crawford指出，IT管理不当可能会造成营运风险。知道那些风险为何，是管理它们的第一步。面对日益普遍的内部威胁，应该透过控制与身分识别管理系统的方式应付。

2. 将IT风险管理视为营运上的投资

    Crawford表示，将IT风险与营运需求进行整合，能协助企业适切地分配资源给所必须管理的那些风险。

3. 定期重新评估风险

    周期性地重新进行风险与管控评估，应该是所有企业IT管控策略中的一部份，而不是当问题发生时才实施。不过，假如你的管控失效的话，你应该再重新衡量你的风险管理策略，就像法国兴业银行所发生的情况那样。

4. 运用适当且值得信赖的管控机制

    即便企业IT有了管控，假如方式错误或不足，在管理风险上，仍旧有很大的风险会遇上麻烦。Crawford建议，企业应部署适当的管控，并且只授权给适当的人存取系统，而后再进行监控与持续地重新评估。

5. 法规遵循不等同于安全

    系统与数据的保护需求可能会督促你遵循法规，但是遵循法规却不必然能让你安全无虞。假如你的控制能够满足管理上的要求，但是却不能降低风险，那么它们仍是不能满足需求的。