洛阳新闻,党建新农村建设,蔷靖潞影,杨雨婷 张书记
 
位置: 亚洲金融智库网 > 风险管控 > 正文

针对IT行业及IT服务 如何做好风险管理?

时间:2021-05-16 14:31
本文关于针对IT行业及IT服务 如何做好风险管理?,据亚洲金融智库2021-05-16日讯:

从 IT 服务管理的角度来看,服务供应商必须要有事先规划好的风险管理机制,也就是说:这些风险管理的机制,可以有效的控制,当风险发生时或是发生后,可以适当利用应变方案 ( Countermeasure ),将造成的伤害,降到最低,并且确保可以在计画的时间及范围之内,重新恢复相关服务的水平。 所以没有错,你所想到的,比方说:数据的丢失、黑客的攻击,或甚至火灾、气候对于 IT 服务所造成的影响等等,这些都是 IT 风险管理 ( IT Risk Management ) 所研究的一个范畴之内。想想看:现在人类有很多业务都是需要 IT 来支撑的,这就意味着:如果 IT 服务的中断,可能也会某种程度的影响相关业务,所造成的损失,也就可能很大了。 有一个风险管理的方法 CRAMM ( CCTA Risk Analysis &Management Method ),是目前 IT 行业常常使用的。CCTA 指的是:Center Computer Telecommunication Agency ,是英国政府以前的一个组织,估计是这一个组织所设计的方法。基于这一个方法,我们可以来研究一下,该如何应用。 上图是 CRAMM 的图示。它说明了风险 ( Risks ) 是由三个关键事物进行分析 ( Analysis )所构成的:资产 ( Assets )、威胁 ( Threats ) 及弱点 ( Vulnerabilities )。然后被应变方案 ( Countermeasure ) 所管理 ( Management )。 基于上面的图,我做一个解释:风险的发生,都是针对资产而来的,比方说:办公大楼是一个很重要的资产。任何的资产,都会有威胁的存在!而威胁是无所不在的,并且不会凭空消失的。比方说:发生火灾,火灾是人类无法避免的威胁,因为发生的因素很多,并且会造成重大的损失。弱点就会利用威胁来给大楼造成风险。比方说:自动化的消防系统故障,就是一个存在的弱点!火灾就可能利用这一个弱点来造成大楼的风险,因为起火之后的损失就很大了。因此,这里的应变方案就可能是立刻启动维修的机制,进行测试及演练,降低威胁利用弱点的各项途径。 再举一个例子来看:重要的财务数据是你的资产,而黑客永远是你的威胁!因为,黑客不可能不存在,它永远威胁企业中的重要数据。此时,会被黑客利用的弱点可能是:密码的管理。因为密码管理不善,被黑客所利用,就有可能盗取重要的财务数据。因此,应变方案就是定期的密码变更,加强宣导,还有奖励及惩罚。 其实,从上面的例子你也不难发现:相同的资产以及相同的威胁,可能有产生多项弱点会被其利用。黑客可能会利用密码管理的失误,也可能会利用某些系统的漏洞 ( 比方说木马程式的使用 ),也可能会利用防火墙配置得疏失。所以,从这里来看:这一个 CRAMM 的方法,不仅仅是帮你定义风险,更主要是给你一个方法,可以清查 ( Assessment ) 所有可能的威胁及弱点。 每个企业都会有相关的资产清单,利用资产清单,再去对应威胁清单 ( Threats List ),就可以找出相关的弱点。比方说,需要用电力,威胁来自电力的,弱点就脱离不了相关的电力设施。比方说,重要数据的,威胁来自黑客的,弱点就脱离不了防堵黑客访问的相关设施。这个方法是很踏实的方法,可以一步步的依据资产,再依据威胁,一步步的发现相关弱点及风险!之后,应变方案就会自然的生成了。 事实上,威胁清单 ( Threats List ) 是比较困难取得的。许多顾问公司,会自己总结这些清单,拿出来提供谘询服务。比方说:火灾、水灾、停电、黑客、小偷 …其实,如果日常能够慢慢的收集起来,针对相关的资产来想 ( 因为资产的清单是自己公司的 ),倒也不必依赖顾问公司。况且,有许多探讨安全 ( Security ) 及业务延续性 ( Business Continuity Management ) 的书籍,也帮大家整理了一些相关的威胁,你也可以阅读看看。 说到这里,有人会问:不是说要探讨 IT ”服务“ 的风险管理吗?其实没有错的。IT 服务的构成,基本上缺不了资产及相关的 IT 配置及组件 ( IT configuration &component )。


专题推荐:风险管理(421)做好(110)针对(8)
打印此文】 【关闭窗口】【返回顶部
·上一篇:管控点的岗位职责? ·下一篇:没有了
风险管理(421)做好(110)针对(8)相关文章
推荐文章
最新图文


亚洲金融智库网版权所有
  亚洲金融智库网主要提供风险管控,网络安全,舆论公关,金融法务,金融培训等相关资讯。