白皮书 IT风险管理入门 减轻和管理风险的前瞻性流程的6个核心组成部分 IT领导者和网络安全专业人员的工作可能看起来很简单,但实际上,情况很少如此。即使有最好的意图,并发症也经常在最糟糕的时间出现。 许多IT领导者都在努力对问题采取被动态度,而不是扮演更具战略性的角色。对风险采取被动或被动的方法可能会给业务带来不利后果 。 以下某些情况听起来可能很熟悉: •TheneedtoputoutfireforthingsthatseemclassifiesonthesurfacebutcouldbeproblemsforboththeITunitandthecompanyingeneral.Theseissuescanbebearbedinternally,ortheycanoriginfromchallengesintheexternalmarketoroperationenvironment. •最后一刻的请求和计划外的项目在关键时刻转移了注意力。 •IT面临着怀疑它是否将人力和财力资源集中在正确的事情上。 •程序在电子表格上运行,或通过脱节系统运行。 找到此问题的解决方案对于确保IT在推动公司前进中发挥有益作用至关重要。 毕竟,技术是当今世界任何业务的支柱。它已经变得无处不在,以至于如果没有完善的技术基础设施,公司将陷入停顿。 实际上,任何无法或没有准备支持公司技术需求的IT功能实际上都会阻碍其实现战略目标-或更糟糕的是,导致其最终消亡。这种依赖会产生公司需要考虑的其他漏洞。 因此,采取有条理的步骤来解决漏洞并定位IT以发挥其自然而有价值的作用来帮助公司实现目标并最终取得成功至关重要。 虽然有很多通用的标准或指南来解决风险和提供技术服务,但这些标准并没有考虑到公司的独特文化和需求。如果不了解公司的特定属性,就不可能提供完整的模板或蓝图来减轻和管理特定的IT风险。 但是,无论您的业务关注的风险类型如何,风险管理框架都有通用的组件或步骤,以帮助组织快速简单地开始。 这个框架中的以下六个组件或步骤中的每一个都建立在最后一个之上,这就是为什么在进入下一个步骤之前完成每个步骤是至关重要的。 IT风险管理框架的组成部分 □建立上下文 组织风险管理工作的“背景”只是意味着确定您的焦点,范围可以从战略规划到一次性项目。就IT而言,上下文可以包括从公司范围的技术战略到网络安全和隐私等特定主题到软件开发生命周期(SDLC)或用户访问管理(UAM)等流程的任何内容。 □风险识别 现在,您已经确定了正在讨论的“上下文”,是时候确定与该上下文相关的实际风险了。要有效地做到这一点,您需要确定将使用的方法。最佳方法和技术将取决于上下文。示例包括: •面试-最适合从高管和高级管理人员的角度理解主要风险。 •情景分析-在战略规划过程中有助于识别高影响但低概率的风险。 •调查-对于识别由于参与者数量庞大而导致的整个组织的多种风险非常有用。(有时这种方法可以令人惊讶地有效。) •根本原因分析-有助于识别已知问题的根本原因。然后,此信息可用于识别多个风险事件中的常见根本原因。 不要觉得只使用一种方法-事实上,在所有情况下只依赖一种方法可能不利于长期努力。基于每种情况下的背景和参与者的识别方法的健康组合将有助于确保您最终获得一个强大但准确的风险列表。 □风险评估 虽然风险识别阶段对于理解威胁和机遇至关重要,但保护和提高价值的风险管理过程不仅仅是一个列表。 评估阶段可帮助IT团队和决策者了解哪些风险是重要的,以及它们如何与上下文相关联。忽略此阶段可能导致更多的资源浪费和问题 什么都不做。为评估收集信息的许多方法与识别阶段概述的方法大致相同。但是,该列表有两个主要的补充:研讨会(在评估讨论期间将促进业务领域的小组人员)和量化(当您已经拥有可以获取,分析和建模的数据元素时很有用)。 在最基本的层面上,风险评估只考虑两个要素:风险发生的可能性(或概率)和风险发生的影响。更成熟的风险过程可能会考虑速度,普遍性,甚至风险的相互依存性。 用于评估这一点的参数将取决于贵公司的需求和经验水平,但有一件重要的事情需要记住——过于宽泛的观点将难以确定问题和解决方案,而过于详细可能会导致没有进展。 □风险分析 看起来风险评估和分析似乎是同一回事,但事实并非如此。前者侧重于个人风险,而后者则潜入“大局”以确定要关注的正确风险。 时间和财政资源是有限的,试图同时关注所有风险可能会导致停滞和信息不堪重负。 分析步骤从评估中获取信息,并使用风险偏好、容忍度等不同工具进行分析。对于超过公司风险偏好的风险,可以进行根本原因分析,解决不确定性的最终来源。虽然可能对风险本身无能为力,但有可能解决根本原因,从而减少发生风险的机会。 此分析步骤的目标是确保您在正确的时间专注于正确的风险,以实现对组织的最大价值。 □风险应对 一旦对风险进行了分析并确定了优先级,就该确定正确的响应了。具体的响应选项包括: •避免-如果对特定风险的容忍度绝对为零,则最好避免这种风险。例如,如果企业正在考虑使用不同的软件,但确定转换可能会使高度敏感数据面临网络攻击的危害或暴露风险。如果这种风险太难以忍受,您可以决定取消更改,从而避免这种风险。 •缓解或减少-如果风险略高于IT或公司愿意容忍的风险,则可以采取措施降低可能性或影响-或两者都将风险带到可接受的范围内。 •转移-这种回应并不能消除或减少发生风险的机会,而是将责任委托或转移给第三方。保险是最常见的方法,就像数据泄露一样,但赔偿条款是另一种方法。无论哪种方式,目标都是在风险实现时使公司整体。 •Accept-有时存在您无法避免,减少或转移的风险,或者根本不值得麻烦。许多战略类型的风险将属于这一类,因为公司必须愿意冒险才能在当今动荡的世界中生存和发展。 □风险监测和报告 在识别和评估风险并确定应对措施之后,下一步是持续的风险监测和报告。 在不断变化的风险环境中,这是IT风险管理的重要组成部分。如果风险的影响、可能性和性质超出可接受的水平,必须迅速采取行动,确保风险不会变得难以控制。监控每一个风险是没有必要的,也不是实际的,但是接近或超过公司承受能力的风险需要持续监控。 Itisalsolikelysomeriskswillimpactotherdepartmentsorthecorporate/ITstrategy.Therefore,reportsmayneedtobepreparedtoalertotherbusinessonanyactionsbeingtaken. 作为董事会监督的一部分,他们需要意识到公司面临的风险以及如何解决这些风险。投资者,监管机构和公众的日益严格的审查已将IT风险管理从“好的”转变为“必须的”。 Conclusion IT风险管理是一个持续的过程-没有终点。 无论您的风险计划当前使用电子表格还是在数字解决方案中工作,上述步骤都应指导您关于解决方案功能的决策。IT风险管理涉及许多利益相关者,并且应该建立一种自动化的数字功能,该功能易于部署,并且随着风险计划的成熟和公司需求的变化而敏捷发展。一旦确定了合适的解决方案,就该为计划和组织提供效率和价值了。 上述六个组成部分构成了一个强大的风险管理过程,旨在帮助IT部门和公司主动识别、评估和应对风险。 开发强大而全面的IT风险管理流程需要反复试验,因此,如果第一次尝试不是最佳方法,请不要感到惊讶。但是,开发有效的流程对IT部门和整个公司都具有巨大的价值。 |info@navex.com|+18662970224 NAVEX是集成风险与合规管理软件和服务的全球领导者。我们的解决方案受到全球成千上万客户的信赖,可帮助他们管理风险,满足复杂的法规要求,构建企业ESG计划并促进道德工作场所文化。 ©2022NAVEXGLOBAL,INC.保留所有权利。|05.04.22