項目管理資源網

您的位置:項目管理資源網 >> IT通信項目管理

CIO的挑戰:如何面對新興的風險管理

2011/1/17 14:50:29 |  4142次閱讀 |  來源:ZDnet   【已有0條評論】發表評論

[導讀]制定規則和處理風險已經成為現代意義上的首席信息官不可推卸的責任,他們必須保證企業能夠正常發展,而不受到暴露的薄弱環節或潛在的法律責任的影響。丹尼·布拉德伯里將為你詮釋他們的兩難處境。

IT和規則:孤獨的風險管理

制定規則和處理風險已經成為現代意義上的首席信息官不可推卸的責任,他們必須保證企業能夠正常發展,而不受到暴露的薄弱環節或潛在的法律責任的影響。丹尼·布拉德伯里將為你詮釋他們的兩難處境。

對于IT經理們來說,制定規則可以說是一項艱巨的工作,畢竟最終面臨的經營風險是非常廣闊的。因此,對于IT領導者來說,如何在空泛的法律基礎上滿足董事會的要求呢?

這就要感謝含糊的規則了。

貝寶的首席信息安全官邁克爾·貝瑞特宣稱,為數不多的相關法規在安全領域并不是普遍適用的。

舉例來說,支付卡行業強制執行的支付卡行業數據安全標準(PCI-DSS)可以為信用卡付款操作設定類似使用和配置個人防火墻之類的指定操作。但貝瑞特并不喜歡個人防火墻這種選擇,因為沒有培訓過的用戶,在收到“應用程序nettaxi.exe正試圖訪問142號外部端口 ”之類信息的時間,經常作出錯誤的決定。  “很多公司根本不會選擇使用它們,”貝瑞特說。“這樣的話,你將面臨大量敲詐的威脅。”

為了解決這些問題,貝寶加入了PCI advisory council的董事會。

埃森哲英國的安全主管斯圖爾特·歐肯認為,即使有了更多的規則,但如果不進行協調的話,也會造成很多的問題。當分布在不同地區的時間,它們之間可能產生矛盾。歐肯說,為了消除差異,“必須決定什么是需要保護的最重要的部分,再確定如何去進行保護。”

在購買解決方案加強基礎設施之前,在公司戰略和執行層面上必須對相關的情況進行確認。

IT服務公司Getronics的首席風險策略官,信息系統審計與控制協會教育統籌部的成員約翰·潘隆特解釋說,技術不應該是出發點。

“第一步是對公司的信息基礎設施進行威脅和脆弱性分析,這包括了過程、程序、標準、人員和技術支持,使用、傳輸和儲存的數據和資料等方方面面。”他說,完成這一步后,就可以進入脆弱性管理計劃了。

位于嚴格監管的銀行界的貝寶在對IT部門作完分析后,已經開始對全公司進行相應的操作。貝瑞特說,在他的企業風險‘熱點圖’中,IT已經不屬于高風險區。

他說:“然后,無論是否有系統的標準,我們都將深入信息安全領域的應用。我們將使用ISO 17799和ISO 27001等標準來對安全管理方案進行改善。”

ISO 17799 (預計今年將改名為ISO 27002 )提供了一套最佳的安全方案,可以對企業安全進行有效的管理。為了確保其效果,ISO 27001被設定為一個認證標準。

“沒人能百份之百的確定,因為你不可能覆蓋整個過程。”他警告道。“這是關于如何在要求的范圍內,將風險降低到可接受的程度。”這個過程涉及到了保護數據安全的費用情況。

但如何對所有的運作過程施加影響?潘隆特認為,加密對于保護數據來說是一個普遍的選擇,公司可以對類似移動數據那樣不易控制的情況進行保護。這樣可以避免象全國建筑商協會那樣,收到接近一百萬英鎊的罰款;僅僅是由于一臺含有未加密數據的筆記本電腦被人從一名雇員的家中偷去。

從另外的方面來說,利用ITIL和CoBIT的服務和管理策略對IT活動進行管理,也是可以提高安全水平的。潘隆特認為,這些策略可以對補丁管理一類的基本操作提供幫助。

即使這些方案并沒有強制應用,對于安全管理來說,了解更多的東西也是很有用處的。

埃森哲的歐肯說:“三四年前,人們對補丁管理這樣的事情并不了

    項目經理勝任力免費測評PMQ上線啦!快來測測你排多少名吧~

    http://www.kouhis.tw/pmqhd/index.html

“項目管理生根計劃”
企業項目經理能力培養和落地發展方案下載>>

分享道


網站文章版權歸原作者所有,如有認為侵權請聯系我們,將于1個工作日內作出處理!
網友評論【 發表評論 0條 】
網友評論(共0 條評論)..
驗證碼: 點擊刷新

請您注意護互聯網安全的決定》及中華人民共和國其他各項有關法律法規或間接導致的民事或刑事法律責任
·您在項目管理資源網新聞評論發表的作品,項目管理資源網有權在網站內保留、轉載、引用或者刪除
·參與本評論即表明您已經閱讀并接受上述條款
香港赛马会一肖中特