引言：企業(yè)中的風(fēng)險(xiǎn)無處不在，并會(huì)以多種方式影響到企業(yè)運(yùn)行。如果IT想真正地減輕風(fēng)險(xiǎn)并避免問題，業(yè)務(wù)和IT團(tuán)隊(duì)就需要協(xié)同工作，加強(qiáng)交流。保障公司安全的首要一步就是，確保所有部門中的雇員都理解自己在風(fēng)險(xiǎn)管理過程中的作用。為有助于解決問題，公司需要使信息安全成為一種需要優(yōu)先考慮的影響業(yè)務(wù)質(zhì)量的問題，并且理解信息安全并不是簡(jiǎn)單地由技術(shù)解決的問題。

企業(yè)中的風(fēng)險(xiǎn)幾乎無處不在，并會(huì)以多種方式影響到企業(yè)運(yùn)行。如果IT想真正地減輕風(fēng)險(xiǎn)并避免問題，業(yè)務(wù)和IT團(tuán)隊(duì)就需要協(xié)同工作，加強(qiáng)交流。保障公司安全的首要一步就是，確保所有部門中的雇員都理解自己在風(fēng)險(xiǎn)管理過程中的作用。

為有助于解決問題，公司需要使信息安全成為一種需要優(yōu)先考慮的影響業(yè)務(wù)質(zhì)量的問題，并且理解信息安全并不是簡(jiǎn)單地由技術(shù)解決的問題。公司需要確保風(fēng)險(xiǎn)是一個(gè)優(yōu)先考慮的問題，并且將其包含在每一個(gè)策略和過程中，從而在最大程度上減輕風(fēng)險(xiǎn)。

理解風(fēng)險(xiǎn)

在業(yè)務(wù)和IT團(tuán)隊(duì)的會(huì)話開始之后，企業(yè)就可以著手確定風(fēng)險(xiǎn)的定義，并將其擴(kuò)展到整個(gè)企業(yè)。

首要的一步，是理解風(fēng)險(xiǎn)和安全實(shí)際上是業(yè)務(wù)問題，而不是軟件或技術(shù)問題。為此，企業(yè)不妨考慮站在IT之外看安全，將安全從IT中遷移出來，并使其成為企業(yè)功能的一部分。利用這種方法，企業(yè)就可以查明風(fēng)險(xiǎn)，而IT也可以部署軟件和技術(shù)，從而使這些風(fēng)險(xiǎn)最小化。終極的安全和風(fēng)險(xiǎn)責(zé)任必須在業(yè)務(wù)線上確立。業(yè)務(wù)線上的員工必須負(fù)有最終責(zé)任，正是這些人將開發(fā)、運(yùn)營(yíng)、安全人員招集到一起解決其產(chǎn)品、服務(wù)以及最終的業(yè)務(wù)安全問題。

建議企業(yè)準(zhǔn)備好業(yè)務(wù)培訓(xùn)項(xiàng)目，從而使安全和運(yùn)營(yíng)人員可以全面深入地理解其產(chǎn)品、服務(wù)、顧客、競(jìng)爭(zhēng)者、市場(chǎng)。然后，企業(yè)可以利用培訓(xùn)和教育資源來確保每個(gè)人都專注于保護(hù)業(yè)務(wù)。這樣做還可以促進(jìn)社交協(xié)作項(xiàng)目，其中業(yè)務(wù)線的雇員與IT雇員可以更好地交流，并就如何管理風(fēng)險(xiǎn)交換意見。

不遵循基于風(fēng)險(xiǎn)的方法招致的危險(xiǎn)

如果沒有準(zhǔn)備好一套適當(dāng)?shù)娘L(fēng)險(xiǎn)管理策略，公司就會(huì)面臨大量的潛在問題，因而在不同方面影響到企業(yè)和業(yè)務(wù)。例如，不管理風(fēng)險(xiǎn)的最明顯和最基本的結(jié)果就是經(jīng)濟(jì)損失，其表現(xiàn)形式可能是業(yè)務(wù)損失、喪失客戶信任、無法在最后期限交付產(chǎn)品或服務(wù)、被競(jìng)爭(zhēng)者擊潰等。經(jīng)濟(jì)損失還會(huì)導(dǎo)致品牌認(rèn)可度和信任的丟失。如果攻擊者攻擊了公司并竊取了信息，公司的聲譽(yù)和品牌將遭受沉重打擊。除了經(jīng)濟(jì)損失和商譽(yù)損失，你還要考慮由于不正確的風(fēng)險(xiǎn)管理而導(dǎo)致的故障會(huì)影響到工作團(tuán)隊(duì)。由于風(fēng)險(xiǎn)的發(fā)生造成的故障會(huì)促使企業(yè)采取大量行動(dòng)，從而影響到公司的效率。所以，公司中的每個(gè)人不管其職位如何，都應(yīng)當(dāng)持續(xù)地關(guān)注風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理的概念建立在這個(gè)觀念的基礎(chǔ)上：你做出的每一個(gè)決策、部署的每個(gè)策略、實(shí)施的每個(gè)方案都應(yīng)當(dāng)是為了以某種方式來減輕風(fēng)險(xiǎn)。即使你認(rèn)為有些問題就如搭一條電話線一樣簡(jiǎn)單，企業(yè)在部署這種技術(shù)時(shí)也要避免客戶或顧客無法聯(lián)系的風(fēng)險(xiǎn)。這聽起來也許簡(jiǎn)單明確，但是不將風(fēng)險(xiǎn)管理作為業(yè)務(wù)過程的一部分就會(huì)使企業(yè)易于遭受攻擊、數(shù)據(jù)泄露或其它安全風(fēng)險(xiǎn)。例如，如果貴公司屬于健康保健行業(yè)，而公司又沒有部署DLP（數(shù)據(jù)泄露預(yù)防）系統(tǒng)，公司就有可能存在你并不了解的漏洞。數(shù)據(jù)泄露并不總是以病毒竊取信息或某人攻擊企業(yè)系統(tǒng)和查看敏感數(shù)據(jù)為表現(xiàn)形式。數(shù)據(jù)泄露有時(shí)也可能是人為錯(cuò)誤的結(jié)果。所以，筆者建議無論是什么項(xiàng)目或過程，公司都要牢記風(fēng)險(xiǎn)觀念。

你的一切操作都應(yīng)當(dāng)是為了減輕風(fēng)險(xiǎn)。你面臨風(fēng)險(xiǎn)就必須減輕風(fēng)險(xiǎn)，并創(chuàng)建一種控制。然后，就需要審計(jì)和測(cè)試，看看這種控制是否可以減輕風(fēng)險(xiǎn)。如果控制并不能與風(fēng)險(xiǎn)實(shí)現(xiàn)關(guān)聯(lián)，你實(shí)施控制有何意義呢？而這正是采用基于風(fēng)險(xiǎn)的方法所招致的安全問題。

需要考慮的技術(shù)和策略

在確立了大方向和概念后，就可以關(guān)注一些有助于風(fēng)險(xiǎn)管理過程的技術(shù)。有些公司使用調(diào)查工具從雇員得到關(guān)于哪些系統(tǒng)、過程或潛在的問題使其憂心忡忡的反饋。員工們會(huì)向公司反饋一些事實(shí)和材料，而你作為管理員只需將這些材料整理一下，并著手探查那些要求你關(guān)注的領(lǐng)域，然后再考慮使用什么技術(shù)。

例如，如果公司必須考慮合規(guī)問題，你可能需要實(shí)施GRC（治理風(fēng)險(xiǎn)合規(guī)）平臺(tái)來監(jiān)視工作流程和進(jìn)行事件管理，并在整個(gè)過程中實(shí)施跟蹤。你還可以發(fā)現(xiàn)一些包含財(cái)務(wù)處理和安全事務(wù)監(jiān)視的GRC平臺(tái)，這可以使你深入地監(jiān)視企業(yè)和潛在的風(fēng)險(xiǎn)。這些GRC平臺(tái)根據(jù)行業(yè)的不同而不同，還有一些平臺(tái)卻可以使企業(yè)用于應(yīng)對(duì)各種潛在的問題。

但軟件并不能解決一切問題。如果企業(yè)部署了風(fēng)險(xiǎn)管理系統(tǒng)，內(nèi)部卻沒有人可以驗(yàn)證或理解如何使用這種系統(tǒng)，那么企業(yè)未必可以收獲其真正的價(jià)值。對(duì)有些公司來說，IT部門有著舉足輕重的地位,公司都需要強(qiáng)大的QA（質(zhì)量保證）功能以及一套結(jié)構(gòu)化的程序質(zhì)量標(biāo)準(zhǔn)，并且在開發(fā)、測(cè)試、生產(chǎn)過程的整個(gè)階段都進(jìn)行檢查。

還要強(qiáng)調(diào)將QA作為業(yè)務(wù)連續(xù)性過程的一部分，其中還可能涉及到你對(duì)基礎(chǔ)架構(gòu)做出改變時(shí)會(huì)發(fā)生的問題。你必須能夠評(píng)估這些改變對(duì)運(yùn)營(yíng)或應(yīng)用程序或?qū)χ卮髽I(yè)務(wù)過程的改變，評(píng)估這些改變影響到公司從問題中恢復(fù)的能力，例如，軟件或服務(wù)器的故障，或是存儲(chǔ)陣列空間不足，或是一個(gè)與數(shù)據(jù)中心有關(guān)的重大問題，或是斷電問題。