五大步驟加強信息風(fēng)險管理工作(五大步驟加強信息風(fēng)險管理是什么)

發(fā)布時間：2024-02-15

本文為大家介紹五大步驟加強信息風(fēng)險管理工作(五大步驟加強信息風(fēng)險管理是什么)，下面和小編一起看看詳細內(nèi)容吧。
當(dāng)我們想到“風(fēng)險管理策略”時，其重要性不言而喻。在當(dāng)今的信息時代，大多數(shù)企業(yè)都應(yīng)該有一套相應(yīng)的管理策略。但事實上，相當(dāng)一部分企業(yè)隨意拖延風(fēng)險管理戰(zhàn)略的制定，或完全忽視相關(guān)管理政策的制定。
對于那些風(fēng)險管理策略陳舊、不完善，或者根本沒有信息風(fēng)險管理策略的企業(yè)，從這樣一個基本問題入手或許會有幫助。即：信息風(fēng)險管理策略到底是什么？
咨詢公司ip architects 總裁john pironti 在接受采訪時表示：“我把它看作是一場關(guān)于企業(yè)在遭受相關(guān)信息丟失、中斷或數(shù)據(jù)資產(chǎn)可用性問題時的最大容忍度的對話。即當(dāng)企業(yè)失去一個上述的當(dāng)某些事情超出企業(yè)的能力范圍時，損失會有多嚴重？”
進行這樣的對話可以幫助企業(yè)定義處理優(yōu)先級，并采取更明智的方法來保護和保護他們的信息。當(dāng)諸如財務(wù)損失、公司公共關(guān)系危機、生產(chǎn)力水平下降等事件發(fā)生時，這將有助于最大程度地減少其他潛在麻煩。
信息風(fēng)險管理成為數(shù)字時代非常重要的工具的眾多原因包括：全面的信息風(fēng)險管理戰(zhàn)略可以幫助企業(yè)理清哪些信息是真正重要的；哪個不那么重要。未能做出如此明確的區(qū)分通常會導(dǎo)致資源浪費、策略無效或決策失誤。
曾主持過interop信息安全與風(fēng)險管理會議的pironti先生就如何為企業(yè)建立高效的信息風(fēng)險管理戰(zhàn)略為我們提出了一些建議。
1.注意“風(fēng)險”和“威脅”的區(qū)別。
pironti 指出了信息風(fēng)險管理領(lǐng)域的一個常見誤解：“我認為安全專業(yè)人員，包括我自己，花太多時間很好地弄清楚‘風(fēng)險’和‘威脅’之間的區(qū)別。雖然‘威脅’可能適用于某些在惡意軟件或網(wǎng)絡(luò)釣魚詐騙等領(lǐng)域，“風(fēng)險”應(yīng)指更廣泛的數(shù)據(jù)丟失、損壞或停機情況，無論原因是什么。
一套完整的信息風(fēng)險管理策略，不僅針對那些有針對性或無差別的安全攻擊，還針對各種風(fēng)險：員工操作失誤、技術(shù)故障、供應(yīng)商失誤等，這些風(fēng)險因素會對業(yè)務(wù)產(chǎn)生同樣不利的影響企業(yè)的。皮隆蒂說。
2.企業(yè)業(yè)務(wù)部門在風(fēng)險管理戰(zhàn)略制定過程中起帶頭作用。
“你是否希望從這些業(yè)務(wù)部門的領(lǐng)導(dǎo)那里聽到：‘我們應(yīng)該關(guān)心哪些風(fēng)險問題以及為什么，’？”皮隆蒂說。高管和經(jīng)理也承擔(dān)相當(dāng)大的風(fēng)險。但pironti 的觀點也得到了安全和隱私領(lǐng)域其他人的響應(yīng)。
雖然企業(yè)的信息安全專業(yè)人員應(yīng)主導(dǎo)流程，但最終操作應(yīng)由企業(yè)執(zhí)行和維護。 pironti 說：“如果信息安全專業(yè)人員只是繞過企業(yè)，發(fā)表他們的意見，并期望企業(yè)貫徹執(zhí)行，他們的見解甚至可能不會被企業(yè)采納或視為可信的，” pironti 說：“它可能無法傳達給高層領(lǐng)導(dǎo)業(yè)務(wù)部門或董事會級別的審查，因為它將被視為業(yè)務(wù)審查而不是企業(yè)級審查?！?
3、企業(yè)的信息風(fēng)險管理需要選對人。
要建立信息風(fēng)險管理政策，公司需要聘用合適的員工。 pironti 建議為業(yè)務(wù)流程選擇委托人或數(shù)據(jù)所有者。如果您不確定誰主要負責(zé)您企業(yè)的業(yè)務(wù)流程，請選擇負責(zé)企業(yè)損益的人。換言之：如果發(fā)生信息相關(guān)事件，最終責(zé)任歸誰？
4、目標不要包羅萬象。
對于資源有限的公司來說，試圖將他們收集到的所有數(shù)據(jù)都考慮進去不僅是不明智的，甚至可能導(dǎo)致快車道上的項目加速失敗。不要忘記，建立信息風(fēng)險管理政策就是確定業(yè)務(wù)數(shù)據(jù)的優(yōu)先級、其對業(yè)務(wù)收入的相對重要性、合規(guī)性和其他因素。
“找到那些關(guān)鍵的業(yè)務(wù)流程，那些被認為對業(yè)務(wù)很重要的操作；或影響業(yè)務(wù)健康和安全的業(yè)務(wù)流程，”pironti 說。但這并不是說我們應(yīng)該關(guān)注每件事的每一個細節(jié)。
在這里，pironti 強調(diào)了“適當(dāng)注意”的概念，例如：您的企業(yè)是否采取過合理預(yù)期的措施來保護您的業(yè)務(wù)數(shù)據(jù)？ pironti 說：“這是最低起點，然后你可以逐步提高?！比绻覀兡軌蛲ㄟ^采取一定的預(yù)防措施來保護自己免受違反相關(guān)法律法規(guī)、遵守相關(guān)規(guī)定、避免不利的公眾輿論并確保我們的業(yè)務(wù)能夠按照我們預(yù)期的方式正常運作來保護我們自己，我們知道這些在沒有其他人告訴我們的情況下，采取預(yù)防措施是值得的。
5.避免太多的麻煩事件。
沒有人愿意承認他們的數(shù)據(jù)或業(yè)務(wù)流程的優(yōu)先級低于其他部門。在“出人頭地”的文化中，很少有人愿意承認，從風(fēng)險管理的角度來看，他們的職責(zé)范圍并不重要。因此，企業(yè)在制定信息風(fēng)險管理政策時，需要專業(yè)的信息安全專家來幫助您確定優(yōu)先級，避免相關(guān)的麻煩。
pironti 提示：如果您已經(jīng)制定了業(yè)務(wù)連續(xù)性或災(zāi)難恢復(fù)計劃，那么從這里開始應(yīng)該會有回報，因為它已經(jīng)對您的數(shù)據(jù)優(yōu)先級進行了“排序”。它有助于理順任何陷入困境的關(guān)系。
好了，五大步驟加強信息風(fēng)險管理工作(五大步驟加強信息風(fēng)險管理是什么)的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。