完整考慮企業(yè)IT風(fēng)險管理的需求及其實(shí)現方式，可以幫助企業(yè)更準確地估計業(yè)務(wù)保護的成本，從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿(mǎn)足風(fēng)險管理的需要。

　　每個(gè)企業(yè)在經(jīng)營(yíng)中都有可能發(fā)生風(fēng)險，如何化解和減少風(fēng)險是企業(yè)經(jīng)營(yíng)者必須研究的，因此，企業(yè)的風(fēng)險管理非常重要。隨著(zhù)企業(yè)對信息技術(shù)的依賴(lài)性不斷增強，加強IT風(fēng)險管理，成為越來(lái)越多的企業(yè)關(guān)注的焦點(diǎn)。

　　風(fēng)險管理不容回避

　　如今，企業(yè)面臨的風(fēng)險的復雜性隨著(zhù)市場(chǎng)全球化的發(fā)展而日益提高，推動(dòng)企業(yè)風(fēng)險管理的監管力度也隨之越來(lái)越大，不少行業(yè)為保護企業(yè)在不穩定的商業(yè)環(huán)境中穩定運轉而頒布了專(zhuān)門(mén)的法規。

　　由十國主要金融服務(wù)相關(guān)機構牽頭發(fā)起的《巴塞爾第二號協(xié)定》（Basel Ⅱ Accord）中，不僅對資本風(fēng)險進(jìn)行約束，而且還涉及到經(jīng)營(yíng)風(fēng)險，包括IT系統給公司帶來(lái)的風(fēng)險。換句話(huà)說(shuō)，該協(xié)定強制要求采用企業(yè)風(fēng)險管理體系，并關(guān)注IT風(fēng)險管理。

　　信息系統審計和控制協(xié)會(huì )（Isaca）也制訂了信息和相關(guān)技術(shù)控制目標（Cobit），這份文檔同樣概述了怎樣擬訂企業(yè)風(fēng)險管理框架。而頒布這兩項方案的目的都是為了促進(jìn)風(fēng)險管理機制在企業(yè)的應用。

　　此外，還有著(zhù)名的《薩班斯－奧克斯利法案》（Sarbanes-Oxley），其404條款規定：所有在美上市企業(yè)都要建立內部控制體系，其中包括控制環(huán)境、風(fēng)險評估、控制活動(dòng)、信息溝通以及監督5個(gè)部分。而且，法案對企業(yè)建立的內部控制活動(dòng)的記錄作了許多詳細而嚴格的細節上的規定。如此一來(lái)，404條款就成為外國公司邁入美國股市的“高門(mén)檻”。

　　事實(shí)上，隨著(zhù)全球化的業(yè)務(wù)大集中、數據大集中趨勢，IT越來(lái)越滲透到企業(yè)運營(yíng)的每一個(gè)方面、環(huán)節和流程。與此同時(shí)，IT也成為企業(yè)業(yè)務(wù)運營(yíng)面臨的主要風(fēng)險之一。

　　企業(yè)中的IT管理者們往往被各種各樣的因素困擾，譬如由于成本的限制，總是無(wú)法圓滿(mǎn)地解決這些問(wèn)題。另一些企業(yè)由于業(yè)務(wù)模式過(guò)于復雜，以至于IT部門(mén)雖然感知到風(fēng)險的存在，但根本無(wú)從知道風(fēng)險究竟在何處，何時(shí)會(huì )爆發(fā)，也無(wú)法對潛在風(fēng)險進(jìn)行評估。

　　那么，企業(yè)IT管理者到底應當如何清晰地了解潛在風(fēng)險、需求和相應的投資額度，又如何有效規避風(fēng)險呢？

　　扭轉觀(guān)念

　　任何方面的漏洞與變化都會(huì )影響到業(yè)務(wù)運營(yíng)所需要的服務(wù)級別。通過(guò)全盤(pán)規劃和考慮，采用整體化的解決方案，企業(yè)能夠構建可靠的基礎設施，從而根據業(yè)務(wù)發(fā)展情況靈活調整IT的可用性與性能。

　　在進(jìn)行企業(yè)IT風(fēng)險管理控制的過(guò)程中，技術(shù)固然是一個(gè)重要組成部分，但要取得出色的IT運營(yíng)效果，員工技能與最佳實(shí)踐同樣缺一不可。

　　其中，將業(yè)務(wù)連續性、可用性與安全性的意識融入到企業(yè)文化和各種運營(yíng)機制中，使其成為開(kāi)展與維持業(yè)務(wù)運營(yíng)的必不可少的組成部分，可能是最艱巨的任務(wù)，但一旦實(shí)現，也就從觀(guān)念上和根本上提高了企業(yè)管控風(fēng)險的能力。

　　正確評估

　　企業(yè)在構建靈活安全的IT環(huán)境之前，首先要透徹地了解自身的業(yè)務(wù)需求、所面臨的威脅與風(fēng)險、以及IT系統出現故障對各關(guān)鍵業(yè)務(wù)流程的影響等各方面因素。只有正確分析和面對可能存在的各類(lèi)風(fēng)險，并正確評估各類(lèi)風(fēng)險可能造成的影響，才能采取正確有效的措施來(lái)規避風(fēng)險。

　　值得一提的是，一直被低估的停機成本事實(shí)上高得超乎想像。Infonetics Research是一家國際市場(chǎng)調研公司，專(zhuān)門(mén)從事北美、歐洲與亞洲地區的數據網(wǎng)絡(luò )與電信行業(yè)調研工作。

　　Infonetics近期實(shí)施了一項客戶(hù)調查項目，調查內容是關(guān)于網(wǎng)絡(luò )中斷及其對于大型企業(yè)的影響。該調查的研究報告稱(chēng)，美國大企業(yè)每年IT停機成本占其收入的3.6％，其中制造企業(yè)的停機成本在收入中所占比例為9％，金融服務(wù)機構則高達16%.此外，停機還使企業(yè)面臨員工效率降低以及企業(yè)在客戶(hù)與股東中的聲譽(yù)受損等其它難以量化的潛在風(fēng)險。

　　巧妙平衡

　　企業(yè)在進(jìn)行風(fēng)險的規避和管控的過(guò)程中，往往要面臨著(zhù)如何平衡風(fēng)險管理與業(yè)務(wù)保護成本的挑戰。根據惠普多年來(lái)在該領(lǐng)域的經(jīng)驗，建議企業(yè)IT管理者采取分層次、分步驟的方式來(lái)做出合理決策，實(shí)現風(fēng)險規避與成本之間的巧妙平衡。

　　一般情況下，我們會(huì )建議企業(yè)首先認真分析每個(gè)業(yè)務(wù)流程可能遭遇的風(fēng)險及其影響，力求解決下列關(guān)鍵問(wèn)題：

　　需要何種級別的可用性？

　　一旦發(fā)生重大停機事故，業(yè)務(wù)對數據損失的承受能力有多大？

　　業(yè)務(wù)流程能夠承受的停機時(shí)間極限？

　　需要何種級別的安全性？

　　然而，風(fēng)險管理是一個(gè)系統性的工作。一般來(lái)說(shuō)，一套完整的IT風(fēng)險管理方法包括以下4個(gè)步驟。

　　步驟1：確定業(yè)務(wù)需求。對整個(gè)企業(yè)內所有涉及合規性、可用性、安全性和業(yè)務(wù)連續性的業(yè)務(wù)流程和應用的要求進(jìn)行評估。衡量停機對各業(yè)務(wù)應用與流程的影響。

　　步驟2：評估風(fēng)險等級。對可用性、安全性與持續性進(jìn)行全面且深入的評估，以確定風(fēng)險領(lǐng)域，制定保護IT環(huán)境、改善IT服務(wù)的策略。將企業(yè)目前現行的實(shí)踐與“最佳信息技術(shù)基礎設施信息庫（ITIL）”推薦的最佳實(shí)踐進(jìn)行比較，了解差距，根據業(yè)務(wù)影響確定風(fēng)險等級。

　　步驟3：設計與實(shí)施解決方案。將需求轉化為切實(shí)可行的技術(shù)與服務(wù)解決方案，其中包括存儲、數據庫、應用、系統、網(wǎng)絡(luò )和環(huán)境基礎設施等。制定持續性服務(wù)改進(jìn)計劃。

　　步驟4：監控、管理與發(fā)展。制定IT服務(wù)管理政策，建立培訓機制，采用最佳實(shí)踐調整人員與優(yōu)化流程。在業(yè)務(wù)發(fā)展過(guò)程中，對持續性與可用性計劃進(jìn)行再評估、監控、審計與測試。

　　通過(guò)以上4步驟，完整考慮企業(yè)IT風(fēng)險管理的需求及其實(shí)現方式，可以幫助企業(yè)更準確地估計業(yè)務(wù)保護的成本，從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿(mǎn)足風(fēng)險管理的需要。

　　美國大企業(yè)每年的IT停機成本占其收入的3.6％，其中制造企業(yè)的停機成本在收入中所占比例為9％，金融服務(wù)機構則高達16％。