【摘要】信息科技日益普及的今天簿煌,企業(yè)的科技服務(wù)也如同企業(yè)的新生命線一樣日復(fù)一日的支撐著各種業(yè)務(wù)的日常運(yùn)轉(zhuǎn)氮唯,業(yè)務(wù)一旦發(fā)生了重要性中斷,不僅給客戶帶來了極大的不便姨伟,損害了客戶對(duì)企業(yè)的信賴您觉,降低了企業(yè)的信譽(yù),也給企業(yè)帶來了一定的經(jīng)濟(jì)損失授滓。IT常青樹今天將向大家介紹一般性的企業(yè)風(fēng)險(xiǎn)的來源和出處:
企業(yè)的科技風(fēng)險(xiǎn)的來源一般來說包含以下幾個(gè)方面:
在安全意識(shí)方面
很多敏感信息的遺失和截取琳水,往往是因?yàn)槠髽I(yè)信息安全意識(shí)缺失所造成的,擁有信息的人員和使用信息的人員在很多無意識(shí)的活動(dòng)中般堆,就把企業(yè)的寶貴的在孝、稀缺的,甚至是賴以生存的業(yè)務(wù)信息或者知識(shí)產(chǎn)權(quán)進(jìn)行了泄密淮摔。經(jīng)過蓄意的加工和交易私沮,就演變成為影響企業(yè)聲譽(yù)、經(jīng)濟(jì)和競(jìng)爭力的重要生產(chǎn)資料和橙。
在業(yè)務(wù)連續(xù)性管理方面
相關(guān)業(yè)務(wù)發(fā)生中斷仔燕,難以在短時(shí)間內(nèi)快速恢復(fù),并采取有效的措施積極應(yīng)對(duì)突發(fā)的事件魔招,突出反應(yīng)企業(yè)在業(yè)務(wù)連續(xù)性管理上的不足晰搀,具體可能體現(xiàn)在業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急預(yù)案办斑、應(yīng)急資源外恕、應(yīng)急演練杆逗、災(zāi)難恢復(fù)及內(nèi)部溝通和對(duì)外發(fā)布等環(huán)節(jié)存在執(zhí)行不到位或者存在缺陷。其中任何一個(gè)環(huán)節(jié)的斷層都可能導(dǎo)致業(yè)務(wù)難以及時(shí)恢復(fù)鳞疲,加大了企業(yè)的損失罪郊,擴(kuò)大了安全事件對(duì)企業(yè)的負(fù)面影響。
在信息科技建設(shè)管理方面
企業(yè)信息系統(tǒng)建設(shè)由很多個(gè)系統(tǒng)尚洽、模塊悔橄、接口和團(tuán)隊(duì)構(gòu)成,不同團(tuán)隊(duì)運(yùn)用不同的方法協(xié)同合作腺毫,最終上系統(tǒng)上線運(yùn)行橄维,產(chǎn)生價(jià)值。但在系統(tǒng)的開發(fā)過程中拴曲,由于開發(fā)人員技能多樣性争舞、技能不足、經(jīng)驗(yàn)潰泛澈灼、意識(shí)缺失導(dǎo)致了應(yīng)用程序漏洞在所難免竞川,同時(shí)從測(cè)試的角度,上線周期緊導(dǎo)致測(cè)試案例不完整叁熔、測(cè)試不充分等原因?qū)е碌陌踩┒次幢槐O(jiān)測(cè)出來也是造成開發(fā)安全風(fēng)險(xiǎn)的主要原因委乌。這種漏洞被逐級(jí)的傳遞并暴露于生產(chǎn)環(huán)境,最終導(dǎo)致的風(fēng)險(xiǎn)發(fā)生荣回。
在信息科技變更方面
企業(yè)信息系統(tǒng)多了其承擔(dān)的責(zé)任也會(huì)越來越多遭贸,一方面業(yè)務(wù)部門越來越多的依賴于它們進(jìn)行業(yè)務(wù)的操作和流程的系統(tǒng),一方面也會(huì)因?yàn)闃I(yè)務(wù)需求的不斷變化帶來各個(gè)組件的修改和維護(hù)工作心软。安全事件大都發(fā)生在企業(yè)對(duì)其系統(tǒng)進(jìn)行升級(jí)或變更之后壕吹,反映了企業(yè)在信息系統(tǒng)變更投產(chǎn)流程上的不足,具體可能體現(xiàn)在系統(tǒng)變更計(jì)劃删铃、系統(tǒng)變更測(cè)試耳贬、系統(tǒng)變更回退、系統(tǒng)發(fā)布及驗(yàn)收等存在缺陷猎唁。系統(tǒng)的變更缺少明確的計(jì)劃咒劲、未進(jìn)行徹底的測(cè)試、系統(tǒng)發(fā)布前未經(jīng)過全面的驗(yàn)收和審核诫隅,都可能直接導(dǎo)致系統(tǒng)上線的失敗腐魂,無法盡快有效地進(jìn)行回退,保障業(yè)務(wù)的正常逐纬、穩(wěn)定運(yùn)行蛔屹。
在信息科技運(yùn)維管理方面
企業(yè)的IT運(yùn)維都配備相應(yīng)的監(jiān)控系統(tǒng)來監(jiān)控各種應(yīng)用、主機(jī)风题、網(wǎng)絡(luò)及存儲(chǔ)等的狀態(tài)判导,而且有專人負(fù)責(zé)。從系統(tǒng)故障的產(chǎn)生到處理的整個(gè)過程來看沛硅,也暴露了企業(yè)可能在信息科技運(yùn)維管理上還不夠完善眼刃,具體可能體現(xiàn)在系統(tǒng)可用性管理、服務(wù)水平管理摇肌、事件管理擂红、監(jiān)控管理上等存在缺陷。運(yùn)維管理存在缺陷围小,使得系統(tǒng)中的故障難以被及時(shí)發(fā)現(xiàn)并采取有效措施昵骤,影響了系統(tǒng)的可靠性,降低了服務(wù)水平肯适,放大了系統(tǒng)產(chǎn)生的風(fēng)險(xiǎn)变秦。
在信息科技風(fēng)險(xiǎn)評(píng)估方面
可能在業(yè)務(wù)運(yùn)營的監(jiān)測(cè)機(jī)制及工具、運(yùn)營中斷事件的風(fēng)險(xiǎn)預(yù)警體系及信息科技風(fēng)險(xiǎn)的溝通上不夠完善框舔。在業(yè)務(wù)功能蹦玫、關(guān)鍵資源、系統(tǒng)運(yùn)行等發(fā)生重大變更時(shí)刘绣,無法監(jiān)測(cè)信息科技風(fēng)險(xiǎn)發(fā)展趨勢(shì)樱溉,預(yù)防信息科技風(fēng)險(xiǎn)事件的發(fā)生。在安全事件發(fā)生時(shí)纬凤,風(fēng)險(xiǎn)監(jiān)控和預(yù)警業(yè)務(wù)條線部門與信息科技部門等相關(guān)部門之間缺乏信息溝通福贞、風(fēng)險(xiǎn)提示,無法協(xié)同做好應(yīng)急準(zhǔn)備停士,將安全事件損失降低到最小挖帘。
在外包管理方面
一般性的企業(yè)信息服務(wù)范圍很廣,外包的分類和層次也是多樣的恋技,有的負(fù)責(zé)方案規(guī)劃肠套,有的負(fù)責(zé)軟件開發(fā),有的負(fù)責(zé)系統(tǒng)集成猖任,有的負(fù)責(zé)服務(wù)運(yùn)維你稚,各方面的外包團(tuán)隊(duì)與內(nèi)部團(tuán)隊(duì)緊密結(jié)合形成龐大的IT服務(wù)運(yùn)轉(zhuǎn)體系。從服務(wù)供應(yīng)商的業(yè)務(wù)運(yùn)行角度朱躺,其自身規(guī)牡罄担化發(fā)展和專業(yè)化發(fā)展需要借助于已有的經(jīng)驗(yàn)進(jìn)行業(yè)務(wù)開拓,同時(shí)也要提升某領(lǐng)域的資源復(fù)用率长搀,這些都是有助于其積累經(jīng)驗(yàn)宇弛、提高效率和增強(qiáng)營收的,但在與本企業(yè)進(jìn)行合作是源请,就難免會(huì)有知識(shí)產(chǎn)權(quán)相關(guān)內(nèi)容的相互博弈枪芒。
幾年來彻况,科技風(fēng)險(xiǎn)發(fā)生的案例層出不窮,已經(jīng)給企業(yè)造成了造成的相當(dāng)大的損害舅踪,而這其中直接性的損失是經(jīng)濟(jì)和聲譽(yù)損失纽甘,而間接性的損失則包括時(shí)間被延誤、修復(fù)的成本抽碌、可能造成的法律訴訟的成本悍赢、商業(yè)機(jī)會(huì)的損失等等。通過上述的常見風(fēng)險(xiǎn)來源的總結(jié)與分析货徙,企業(yè)應(yīng)當(dāng)意識(shí)到從源頭上開始加強(qiáng)風(fēng)險(xiǎn)管理工作左权,要通過加強(qiáng)信息科技的治理能力、提升信息技術(shù)服務(wù)水平和加強(qiáng)風(fēng)險(xiǎn)管理能力逐步避免和減弱風(fēng)險(xiǎn)的發(fā)生概率和影響度痴颊。
本文引自微信公眾號(hào)IT常青樹赏迟,歡迎訂閱
