高风险时代的企业IT风险管理

管理会计

    在如今的信息时代，信息安全事故已经是司空见惯的事情，资深的IT专家能够轻而易举地指出历史上的安全事故，如1977年英国帝国化工发生的磁带被盗事件，或者1988年造成大多数网络流量中止的Morris蠕虫。虽然这些事故似乎已经成为历史，但是如今的信息安全管理基本模式仍然和30年前相同，。然而，当前的形势与30年前相比，不仅数据量是以前无法想象的，而IT环境的复杂性也远远在企业的意料之外，给企业的正常运行，甚至整个企业的生存都带来风险，而对于中小型企业而言，企业IT 风险管理机制的匮乏，更使其日日难以安枕而眠。

    ESG 认为，健全的安全管理应该建立在风险管理的原则上：威胁+漏洞=风险。根据这一公式，存储风险管理的重点是查找和修补漏洞，同时准确地评估威胁。在大幅削减威胁和漏洞的基础上，配之以完善的风险管理活动来有效地防御安全事故。如果按照以上的描述，安全管理似乎显得很简单，那么企业又为什么有如此多的风险问题呢？ ESG认为，主要是IT的复杂性增加了漏洞数量，以及IT的客观因素助长了威胁载体的发展。

    因此，在2009年经济危机持续蔓延之际，尽管大多数企业的IT预算都很紧张，但是企业ＩＴ风险管理措施仍是其考虑的头等大事。ＥＳＧ对500多名中型企业（即员工人数在100至999的企业）的IT决策者进行的调查表明，２００９年，企业的ＩＴ支出将重点投入到那些支持或保护业务的措施中，受访者表示，改善业务进程、降低成本以及加强安全控制以降低风险将成为他们优先考虑的三项IT支出