信息系統(tǒng)和科技服務(wù)的各種漏洞往往暴露于科技服務(wù)的運行過程中，容易受到不良的攻擊和信息竊取，使得企業(yè)蒙受相應(yīng)的損失。我們需要從根源上分析風險的植入場景和階段，從預(yù)防的角度開展必要的防控措施，使之與信息科技的全生命周期日常工作行為有效融合，使之為企業(yè)持續(xù)穩(wěn)定的提供業(yè)務(wù)支撐能力。

▌在安全意識方面

很多敏感信息的遺失和截取，往往是因為企業(yè)信息安全意識缺失所造成的，擁有信息的人員和使用信息的人員在很多無意識的活動中，就把企業(yè)的寶貴的、稀缺的，甚至是賴以生存的業(yè)務(wù)信息或者知識產(chǎn)權(quán)進行了泄密。經(jīng)過蓄意的加工和交易，就演變成為影響企業(yè)聲譽、經(jīng)濟和競爭力的重要生產(chǎn)資料。

▌在業(yè)務(wù)連續(xù)性管理方面

相關(guān)業(yè)務(wù)發(fā)生中斷，難以在短時間內(nèi)快速恢復(fù)，并采取有效的措施積極應(yīng)對突發(fā)的事件，突出反應(yīng)企業(yè)在業(yè)務(wù)連續(xù)性管理上的不足，具體可能體現(xiàn)在業(yè)務(wù)連續(xù)性計劃、應(yīng)急預(yù)案、應(yīng)急資源、應(yīng)急演練、災(zāi)難恢復(fù)及內(nèi)部溝通和對外發(fā)布等環(huán)節(jié)存在執(zhí)行不到位或者存在缺陷。其中任何一個環(huán)節(jié)的斷層都可能導致業(yè)務(wù)難以及時恢復(fù)，加大了企業(yè)的損失，擴大了安全事件對企業(yè)的負面影響。

▌在信息科技建設(shè)管理方面 

企業(yè)信息系統(tǒng)建設(shè)由很多個系統(tǒng)、模塊、接口和團隊構(gòu)成，不同團隊運用不同的方法協(xié)同合作，最終上系統(tǒng)上線運行，產(chǎn)生價值。但在系統(tǒng)的開發(fā)過程中，由于開發(fā)人員技能多樣性、技能不足、經(jīng)驗潰泛、意識缺失導致了應(yīng)用程序漏洞在所難免，同時從測試的角度，上線周期緊導致測試案例不完整、測試不充分等原因?qū)е碌陌踩┒次幢槐O(jiān)測出來也是造成開發(fā)安全風險的主要原因。這種漏洞被逐級的傳遞并暴露于生產(chǎn)環(huán)境，最終導致的風險發(fā)生。

▌在信息科技變更方面

企業(yè)信息系統(tǒng)多了其承擔的責任也會越來越多，一方面業(yè)務(wù)部門越來越多的依賴于它們進行業(yè)務(wù)的操作和流程的系統(tǒng)，一方面也會因為業(yè)務(wù)需求的不斷變化帶來各個組件的修改和維護工作。安全事件大都發(fā)生在企業(yè)對其系統(tǒng)進行升級或變更之后，反映了企業(yè)在信息系統(tǒng)變更投產(chǎn)流程上的不足，具體可能體現(xiàn)在系統(tǒng)變更計劃、系統(tǒng)變更測試、系統(tǒng)變更回退、系統(tǒng)發(fā)布及驗收等存在缺陷。系統(tǒng)的變更缺少明確的計劃、未進行徹底的測試、系統(tǒng)發(fā)布前未經(jīng)過全面的驗收和審核，都可能直接導致系統(tǒng)上線的失敗，無法盡快有效地進行回退，保障業(yè)務(wù)的正常、穩(wěn)定運行。

▌在信息科技運維管理方面 

企業(yè)的IT運維都配備相應(yīng)的監(jiān)控系統(tǒng)來監(jiān)控各種應(yīng)用、主機、網(wǎng)絡(luò)及存儲等的狀態(tài)，而且有專人負責。從系統(tǒng)故障的產(chǎn)生到處理的整個過程來看，也暴露了企業(yè)可能在信息科技運維管理上還不夠完善，具體可能體現(xiàn)在系統(tǒng)可用性管理、服務(wù)水平管理、事件管理、監(jiān)控管理上等存在缺陷。運維管理存在缺陷，使得系統(tǒng)中的故障難以被及時發(fā)現(xiàn)并采取有效措施，影響了系統(tǒng)的可靠性，降低了服務(wù)水平，放大了系統(tǒng)產(chǎn)生的風險。

▌在信息科技風險評估方面

可能在業(yè)務(wù)運營的監(jiān)測機制及工具、運營中斷事件的風險預(yù)警體系及信息科技風險的溝通上不夠完善。在業(yè)務(wù)功能、關(guān)鍵資源、系統(tǒng)運行等發(fā)生重大變更時，無法監(jiān)測信息科技風險發(fā)展趨勢，預(yù)防信息科技風險事件的發(fā)生。在安全事件發(fā)生時，風險監(jiān)控和預(yù)警業(yè)務(wù)條線部門與信息科技部門等相關(guān)部門之間缺乏信息溝通、風險提示，無法協(xié)同做好應(yīng)急準備，將安全事件損失降低到最小。

▌在外包管理方面

一般性的企業(yè)信息服務(wù)范圍很廣，外包的分類和層次也是多樣的，有的負責方案規(guī)劃，有的負責軟件開發(fā)，有的負責系統(tǒng)集成，有的負責服務(wù)運維，各方面的外包團隊與內(nèi)部團隊緊密結(jié)合形成龐大的IT服務(wù)運轉(zhuǎn)體系。從服務(wù)供應(yīng)商的業(yè)務(wù)運行角度，其自身規(guī)模化發(fā)展和專業(yè)化發(fā)展需要借助于已有的經(jīng)驗進行業(yè)務(wù)開拓，同時也要提升某領(lǐng)域的資源復(fù)用率，這些都是有助于其積累經(jīng)驗、提高效率和增強營收的，但在與本企業(yè)進行合作是，就難免會有知識產(chǎn)權(quán)相關(guān)內(nèi)容的相互博弈。

▌小結(jié)

幾年來，科技風險發(fā)生的案例層出不窮，已經(jīng)給企業(yè)造成了造成的相當大的損害，而這其中直接性的損失是經(jīng)濟和聲譽損失，而間接性的損失則包括時間被延誤、修復(fù)的成本、可能造成的法律訴訟的成本 、商業(yè)機會的損失等等。通過上述的常見風險來源的總結(jié)與分析，企業(yè)應(yīng)當意識到從源頭上開始加強風險管理工作，要通過加強信息科技的治理能力、提升信息技術(shù)服務(wù)水平和加強風險管理能力逐步避免和減弱風險的發(fā)生概率和影響度。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)