[原创]IT风险的分类 (入选推荐日志,加20币)
IT风险的分类
话说Symantec在今年2月发布了一个“IT风险管理研究报告”后,摇身一变,成为了一个IT风险管理专家的身份,从安全管理到风险管理,其实也是需要一个过程的,尽管早些年间鄙人就已经意识到安全行业迟早会走到这一步,不过没想到第一个跨出这一大步的会是Symantec,当时我的预测走出这一步的应该是一些基础架构厂商如IBM、HP之流的企业(虽然他们也提风险管理,不过吼得似乎没有那么大声),不过Symantec在鲸吞了几家公司后也俨然以”领先的基础架构软件供应商”的身份自居了,但是毕竟还是根不红、苗不正啊,正因如此,借一个“IT风险管理研究报告”以及强大的宣传攻势,赛先生推出了自己的IT风险管理服务:顾问服务和支持服务,今天拜读了Symantec全球服务团队总裁Greg Hughes先生的《Five Steps to IT Risk Management Practices》以及按图索骥找到了Symantec对IT Risk的一些理解(当然,这些看法和本人的看法有所出入,不然也不会有这篇文章了)。
Symantec在报告中认为IT Risk包括:
- Security risk - that information will be altered, accessed or used by unauthorized parties
- Availability risk - that information or applications will be inaccessible due to system failure or natural disaster, including any recovery period
- Performance risk - that underperformance of systems, applications, or personnel - or IT as a whole - will diminish business productivity or value
- Compliance risk - that information handling or processing will fail to meet regulatory, IT or business policy requirements
Greg Hughes在他的文章中对IT Risk的分类:
- Security. Risk that information is altered or used by nonauthorized people. This includes computer crimes, internal breaches and cyber terrorism.
- Availability. Risk that data is not accessible, such as after a system failure, due to human error, configuration changes, lack of redundancy in architectures or other causes.
- Recoverability. The risk that necessary information cannot be recovered in sufficient time after a security or availability incident such as hardware and/or software failure, external threats or natural disasters.
- Performance. The risk that information is not provided when it is needed thanks to distributed architectures, peak demand and heterogeneity in the IT landscape.
- Scalability. The risk that business growth, provisioning bottlenecks and siloed architectures make it impossible to handle major new applications and businesses cost effectively.
- Compliance. Risk that the management or usage of information violates regulatory requirements. The culprits here include government regulations, corporate governance guidelines and internal policies.
Greg Hughes在他的分类方式中,单独把Recoverability和Scalability拿了出来,Recoverability拿出来我可以理解,毕竟人家已经收购了Veritas嘛,把Scalability拿出来未免太超前了,“瓶颈”还好一些,“竖井”在安全行业里可不算一个常用词,在咨询行业里的业务分析中出现的会多一些,看了看Greg Hughes的背景,果然,这个家伙曾经是麦肯锡的合伙人,但无形中向大家透露了一些信息,关注业务可能真的不仅仅是一个口号了。(有点跑题了)
我为什么会不赞同Symantec对IT风险的分类方法呢?因为里面缺乏了一个治理层面的风险,也就是IT治理风险,所有的风险,即便拥有再NB的风险控制手段,但终究还是需要有人来接受风险的,而接受风险的人都是治理层面的角色,也许Symantec对IT管理咨询兴趣还不大、或缺乏相应的产品线来支撑,以致于遗漏了这个重要的类别。
附上我对IT Risk的分类方法吧,我会想办法从多个角度来对IT风险进行定义,或者假装专业地用上一个快用滥的词”多维度、多视角”来对IT Risk进行分类,这些视角可能包括投资者的视角、合规性视角、公司治理的视角、企业全面风险管理的视角、审计的视角、系统视角、企业社会责任的视角(理论尚在不断完善中,可能不仅限于这些,或者还会想办法来综合),其中一种分类方法是:
- IT治理风险
- 绩效风险
- 合规性风险
- 安全风险
当然,分类方法也可以有很多种嘛,再来一个:
- 信息资产风险(保护、保存不当)
- 项目风险(延期、无法交付,IT项目的成功率是很低的)
- IT服务连续性风险
- IT价值链风险(上下游厂商)
- 应用风险(在可怜的IT项目交付后无法与业务结合)
- 基础设施的风险(说着说着,北京又开始暴雷了)
- 战略风险(IT对新业务的开展起到了阻碍作用)
- 变更的风险(变则生祸啊)
推荐到鲜果:
评论
发布者 yss414
2007-9-10 13:25:29