科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网CIO与应用频道CIO学习员工管理之安全 风险 合规性

CIO学习员工管理之安全 风险 合规性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

安全、风险管理和合规性在很多方面相似,很大程度上是因为他们对于商业来说意义都非常重大。CIO们也在满足这三类事务需求方面面临着新的责任和挑战——比如说员工管理问题。

来源:IT专家网 2008年1月22日

关键字: CIO 员工管理 风险管理

  • 评论
  • 分享微博
  • 分享邮件

  安全、风险管理和合规性在很多方面相似,很大程度上是因为他们对于商业来说意义都非常重大。CIO们也在满足这三类事务需求方面面临着新的责任和挑战——比如说员工管理问题。

  安全、风险管理和合规性在很多方面相似,很大程度上是因为他们对于商业来说意义都非常重大。CIO们也在满足这三类事务需求方面面临着新的责任和挑战——比如说员工管理问题。在本月指南中,您将会在怎样招聘、管理和保留能够帮您完成安全、风险管理和合规性任务的熟练IT员工方面给出行业专家和从业者建议和经验。

  本指南是SearchCIO.com网站推出的经理人员指南系列的一部分。这一指南系列是为了给IT领导者在当前面临的管理和决策问题上给出战略性指导和建议而设计的。如果您想了解指南系列话题的完整目录,请访问经理人员指南区。

  [Matt Bolch, 投稿人 ]

  您的风险管理计划是否仅仅包含来自当前IT团队内部的员工需求呢?如果答案是肯定的,那么您就需要考虑从您的IT团队以外寻求合格人员来参与您的风险管理计划。

  “很多公司都认为一家IT风险管理公司是由持有安全方面行业认证的员工组成的,这种看法是一种很普遍的错误。”总部位于Wilmington, Mass的安全创新公司的首席执行官Ed Adams说,“为了理解一件或一系列事件的内在联系,人们必须从潜在的收入流失方面来理解商业运作及事件。”

  Adams还说,当理解已发生的事件时,人们既需要技术方面的知识,也需要商务方面的知识来解释事件的结果。一位理想的风险管理经理应该同时具备计算机科学的学士学位和商业管理的硕士学位,这样可以有效管理公司的风险管理计划。

  “IT不应该有风险决策,IT是向商务提供服务的,而风险评估需要应有的谨慎,这是从战略上以商务为中心。” Paul Davis补充说。Paul Davis是总部位于Blue,Bell,Pa的优利系统公司的副总裁及负责企业安全、全球外协和基础设施服务的规划经理。

[James Connolly, 投稿人]

  伴随着一家中端市场企业的成长,外部环境会逐渐复杂化。政府监管人员开始出现,电脑黑客也开始活动。也许到了该引进一名信息安全总监(CISO)的时候了。但是,一家中端企业从什么时候需要一名CISO呢?是什么引发了这种需求呢?这个问题的标准答案当然是因不同公司而异。但CISO和其他的专家们还是给出了一些建议。

  Gartner公司的John Pescatore说:“我们的经验准则是:公司需要一名财务总监的时候,也是需要一名信息安全总监的时候。如果您的财务已经复杂到需要有人专门负责,那么您的系统和数据安全也应该已经复杂到需要有人专门负责。”

  公司IT部门的规模也是是否需要全职信息安全总监的指示剂。“如果公司有1000名员工,一般至少需要20多名IT人员。在这么多的IT人员的情况下, IT部门的结构一般就已经复杂到需要一名信息安全总监了。”

 [Kate Evans-Correia, 新闻编辑]

  新奥尔良:安全和合规性需求推动了身份管理和内容监控方面的技术进步。但太多的企业是依赖技术而不是政策来处理风险管理问题。

  总部位于康涅狄格州斯坦福德市的Gartner公司的研究副总裁Paul Proctor 说:“有很多公司来电话咨询应该购买何种技术。而我总是先询问他们想要实现什么样的价值。风险管理必须从政策而不是技术开始。”

  一名合规性稽核员的主要目标是确保控制到位和预测风险,Paul Proctor说。

  Paul Proctor还告诫说,技术并不是问题的关键。在周三举行的Gartner公司合规性和风险管理峰会上,Paul Proctor和分析师Mark Nicolett还表示,如果一名稽核员发现了控制中的缺陷,很可能是因为政策或者程序执行方面出了问题,而不是因为选择了错误的技术。

  “风险评估是找到该做什么和该在哪方面花钱的关键,”Paul Proctor说。每天结束的时候,稽核员该检查员工是否做到了“应有的关注”,即是否做到了同业做到的事情。

  [Matt Bolch, 投稿人]

  在过去的20多年,联邦监管人员和国会已经颁布了超过114,000个商业管理方面的规章制度。当然,公司没有必要遵守所有的规定,但有许多还是适用的。而且当公司在国际范围内运作的时候,国际规章也需要考虑进来,合规性方面的责任就更加重要了。

  2002年的Sarbanes-Oxley法案(SOX)规定将合规性问题写入公司上市文件,从而将合规性问题提到了非常重要的位置。而后,当员工们感受到一种集体的安慰时,真正保持合规性却需要程序的不断重复才能实现。

  保持合规性的关键在于建立广泛的政策,包括:公司管理、设计合理的系统以达到在合规性的基础上共享数据和防止复制、划定清晰的责任界线以使人们了解哪些数据可以收集及何时可以收集并将所有程序转化为公司文化的一部分。但这些政策和程序大多实行起来比口头上艰难的多,所以很多公司都是处于一种被动模式,挣扎着努力保持合规性。(文萧编译)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章