科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网CIO与应用频道针对IT行业及IT服务 如何做好风险管理?

针对IT行业及IT服务 如何做好风险管理?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这里所要说的风险管理,还是针对 IT 行业及 IT 服务来说。其实,从上面的例子你也不难发现:相同的资产以及相同的威胁,可能有产生多项弱点会被其利用。如果你能够针对这些资产及组件来分析风险,那服务的风险管理就基本上完成了。

来源:金蝶社区 2009年4月7日

关键字: 管理 风险 IT服务

  • 评论
  • 分享微博
  • 分享邮件

  这里所要说的风险管理,还是针对 IT 行业及 IT 服务来说。从 IT 服务管理的角度来看,服务供应商必须要有事先规划好的风险管理机制,也就是说:这些风险管理的机制,可以有效的控制,当风险发生时或是发生后,可以适当利用应变方案 ( Countermeasure ),将造成的伤害,降到最低,并且确保可以在计画的时间及范围之内,重新恢复相关服务的水平。

  所以没有错,你所想到的,比方说:数据的丢失、黑客的攻击,或甚至火灾、气候对于 IT 服务所造成的影响等等,这些都是 IT 风险管理 ( IT Risk Management ) 所研究的一个范畴之内。想想看:现在人类有很多业务都是需要 IT 来支撑的,这就意味着:如果 IT 服务的中断,可能也会某种程度的影响相关业务,所造成的损失,也就可能很大了。

  有一个风险管理的方法 CRAMM ( CCTA Risk Analysis &Management Method ),是目前 IT 行业常常使用的。CCTA 指的是:Center Computer Telecommunication Agency ,是英国政府以前的一个组织,估计是这一个组织所设计的方法。基于这一个方法,我们可以来研究一下,该如何应用。

  上图是 CRAMM 的图示。它说明了风险 ( Risks ) 是由三个关键事物进行分析 ( Analysis )所构成的:资产 ( Assets )、威胁 ( Threats ) 及弱点 ( Vulnerabilities )。然后被应变方案 ( Countermeasure ) 所管理 ( Management )。

  基于上面的图,我做一个解释:风险的发生,都是针对资产而来的,比方说:办公大楼是一个很重要的资产。任何的资产,都会有威胁的存在!而威胁是无所不在的,并且不会凭空消失的。比方说:发生火灾,火灾是人类无法避免的威胁,因为发生的因素很多,并且会造成重大的损失。弱点就会利用威胁来给大楼造成风险。比方说:自动化的消防系统故障,就是一个存在的弱点!火灾就可能利用这一个弱点来造成大楼的风险,因为起火之后的损失就很大了。因此,这里的应变方案就可能是立刻启动维修的机制,进行测试及演练,降低威胁利用弱点的各项途径。

  再举一个例子来看:重要的财务数据是你的资产,而黑客永远是你的威胁!因为,黑客不可能不存在,它永远威胁企业中的重要数据。此时,会被黑客利用的弱点可能是:密码的管理。因为密码管理不善,被黑客所利用,就有可能盗取重要的财务数据。因此,应变方案就是定期的密码变更,加强宣导,还有奖励及惩罚。

  其实,从上面的例子你也不难发现:相同的资产以及相同的威胁,可能有产生多项弱点会被其利用。黑客可能会利用密码管理的失误,也可能会利用某些系统的漏洞 ( 比方说木马程式的使用 ),也可能会利用防火墙配置得疏失。所以,从这里来看:这一个 CRAMM 的方法,不仅仅是帮你定义风险,更主要是给你一个方法,可以清查 ( Assessment ) 所有可能的威胁及弱点。

  每个企业都会有相关的资产清单,利用资产清单,再去对应威胁清单 ( Threats List ),就可以找出相关的弱点。比方说,需要用电力,威胁来自电力的,弱点就脱离不了相关的电力设施。比方说,重要数据的,威胁来自黑客的,弱点就脱离不了防堵黑客访问的相关设施。这个方法是很踏实的方法,可以一步步的依据资产,再依据威胁,一步步的发现相关弱点及风险!之后,应变方案就会自然的生成了。

  事实上,威胁清单 ( Threats List ) 是比较困难取得的。许多顾问公司,会自己总结这些清单,拿出来提供谘询服务。比方说:火灾、水灾、停电、黑客、小偷 …其实,如果日常能够慢慢的收集起来,针对相关的资产来想 ( 因为资产的清单是自己公司的 ),倒也不必依赖顾问公司。况且,有许多探讨安全 ( Security ) 及业务延续性 ( Business Continuity Management ) 的书籍,也帮大家整理了一些相关的威胁,你也可以阅读看看。

  说到这里,有人会问:不是说要探讨 IT ”服务“ 的风险管理吗?其实没有错的。IT 服务的构成,基本上缺不了资产及相关的 IT 配置及组件 ( IT configuration &component )。如果你能够针对这些资产及组件来分析风险,那服务的风险管理就基本上完成了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章