收藏
下载资源

企业风险管理教程

上传人:ldj****22 文档编号:43196413 上传时间:2018-06-04 格式:PDF 页数:32 大小:665.98KB
返回 下载 相关 举报
企业风险管理教程_第1页
第1页 / 共32页
企业风险管理教程_第2页
第2页 / 共32页
企业风险管理教程_第3页
第3页 / 共32页
企业风险管理教程_第4页
第4页 / 共32页
企业风险管理教程_第5页
第5页 / 共32页
点击查看更多>>
资源描述

《企业风险管理教程》由会员分享,可在线阅读,更多相关《企业风险管理教程(32页珍藏版)》请在金锄头文库上搜索。

1、 企业风险管理教程 TT 安全技术专题之“SSL 技术详解手册” 第 2 页 共 32 企业风险管理教程企业风险管理教程 企业风险管理(ERM,enterprise risk management)的目的是使一个组织的资产及所得所受的风险影响减为最小。如今,云计算等技术改变了企业应用信息系统、以及如何达到安全风险管理和合规遵从的方式,企业需要重新计划并部署自己的风险管理。那么究竟该如何制定安全风险管理计划?又有哪些风险管理的最佳实践可供企业参考?本技术手册将分三部分为你详细介绍企业风险管理,包括企业风险管理的概念,风险管理的实施及最佳实践。 企业风险管理的概念企业风险管理的概念 企业风险管理(

2、ERM,enterprise risk management)是一个计划、组织、领导、控制一个组织的活动的过程,其目的是为了使一个组织的资产及所得所受的风险影响减为最小。企业风险管理的过程不仅涉及与意外损失相关的风险,还扩展到财政、策略、运营及其他风险。 CIOCIO 新词解:企业风险管理新词解:企业风险管理 准备迎接风险管理挑战准备迎接风险管理挑战 创建规则遵从文化创建规则遵从文化 促进信息安全合规管理和风险管理促进信息安全合规管理和风险管理 风险管理的实施及解决方案风险管理的实施及解决方案 IT 风险管理正处于十字路口。有超过 2000 名美国受访者参加了最近的一次 IT 专业人士ISAC

3、A 调查,据调查报告显示,改善经营业绩是驱动他们所在组织 IT 风险管理的主要动力。企业在制定安全风险管理计划时,应该参考什么资料?具体步骤是什么? TT 安全技术专题之“SSL 技术详解手册” 第 3 页 共 32 如何制定安全风险管理计划如何制定安全风险管理计划 业务合作伙伴安全:管理业务风险业务合作伙伴安全:管理业务风险 五个步骤:从五个步骤:从 ITIT 风险管理到业务风险管理风险管理到业务风险管理 20112011 年最佳策略及风险管理产品年最佳策略及风险管理产品 几大风险管理的最佳实践几大风险管理的最佳实践 不同规模的企业都面临着多方面的严重威胁,这包括来自电邮、Web、即时通信、

4、雇员等。这些威胁的复杂性、速度和变化都在以无法预料的步伐不断发展。更糟的是,多数企业感到,它们缺乏能够正确解决这些现代威胁的资源。本部分将介绍几大企业风险管理实践,让企业从一个风险管理的 “挣扎者”,变成最佳的信息安全“X 战警”。 应用开发外包风险管理应用开发外包风险管理 备份质量对风险管理策略至关重要备份质量对风险管理策略至关重要 七大最佳实践打造信息技术风险管理“七大最佳实践打造信息技术风险管理“X X 战警”战警” 供应链风险管理最佳实践及业务连续性供应链风险管理最佳实践及业务连续性 TT 安全技术专题之“SSL 技术详解手册” 第 4 页 共 32 CIOCIO 新词解:企业风险管理

5、新词解:企业风险管理 企业风险管理(ERM,enterprise risk management)是一个计划、组织、领导、控制一个组织的活动的过程,其目的是为了使一个组织的资产及所得所受的风险影响减为最小。企业风险管理的过程不仅涉及与意外损失相关的风险,还扩展到财政、策略、运营及其他风险。 近年来,各种组织已将外部因素列为 ERM 中越来越重要的影响因素。行业及政府的管理机构,还有投资者,已经开始细察公司风险管理的政策及过程。越来越多行业都要求董事会检查报告他们所管理的组织的风险管理过程的足够性。 金融机构兴旺于风险商业,他们就是得益于有效的 ERM 的最好例子。他们的成功取决于很好的处理了增

6、加利润和风险管理二者间的关系。 商业风险管理(Business risk management)、全面风险管理(holistic risk management)、以及策略风险管理(strategic risk management)是同义词。 (来源:TechTarget 中国) TT 安全技术专题之“SSL 技术详解手册” 第 5 页 共 32 准备迎接风险管理挑战准备迎接风险管理挑战 云计算改变了企业应用信息系统、以及如何达到安全风险管理和合规遵从的方式。 当信息安全规划经理辨认那些会影响企业安全策略的关键主题时,云计算无可争议地从中脱颖而出。 困难的经济环境确实有助于让云计算变得更有说

7、服性。因为按需的资源是动态可扩展的和灵活的,这对于大型和小型的企业来说极具吸引力,且无疑会继续改变我们应用信息系统的方式。 对于每个努力保护组织的网络用户和数据的人来说,迁移到云计算会引起巨大的变化和挑战。合规要求最有可能会妨碍企业迁移它所有的数据和操作到云上,所以,事实上这个转变是额外的安全挑战,位于保护现有的网络基础设施之上。迁移到云上,要求数据和应用放置在已完善建有边界防御和物理访问控制的区域之外。随着不受到 HR 控制的用户数量的增加,如供应商、客户和合作伙伴,都会通过基于 Web 的协作工具来访问你的数据。IT 管理员已经疲于确保访问公司网络的移动用户的安全,而云计算又是一个完全不同

8、的规模。 对于我来说,关键的安全挑战之一,是如何对位于企业防火墙之外的员工、客户和合作伙伴进行有效地管理和执行访问控制。云计算把我们都变成远程的工作者,且按定义来说,云应用和数据都位于企业之外。这意味这你不能再依赖多层认证、防火墙和其它边界防护来为你完成工作。 从战略角度来看,管理这些挑战需要很多行动。必须评审和加强 HR 的安全策略以便他们来执行健全的用户管理生命周期。详细的身份和访问管理策略也必须到位,一个能充分利用联合的身份管理,一个能让用户跨自治的安全域安全地访问数据或系统的安排。我建议在你的企业应用内启用单点登录(SSO),并利用这个架构来简化云提供商服务的集成和实施。 云计算同样要

9、求更加可靠的因特网连接,所以即使是微小的操作也会需要建立某种形式的冗余性,来确保数据和应用一直都可用。无论如何炒作,云服务仍然是十分不成熟的,有一些或其它形式的运行中断状况发生。有些可能很容易破产,它是一个处于脆弱的经济环境中的新兴行业。多个服务提供商会提供你更好的网络多样性和业务连续性,所以任何基于云的项目应该采用厂商中立的应用和数据架构。这包括以独立于云方式的备份,和一个独立的机器镜像。你需要尽可能地让这个转变是简单的,或者有应变计划可以将操作回撤到内部运行的云环境。TT 安全技术专题之“SSL 技术详解手册” 第 6 页 共 32 尽管云计算可能会减少一定的连续性问题,但它永远不会消除行

10、之有效的业务连续性计划的需要。 在不久的将来,基于云的服务和云计算技术会经历激增且长时期的攻击,因为对于黑客和网络恐怖分子来说,它们是具有吸引力的目标。因此,建立一个数据加密策略并实施技术来支持它,是最佳的主动防护措施。被加密的数据本质上是受到保护的,这也是为什么这么多法律和合规强制实行这个实践。加密也允许你区分角色和数据,当加密密钥控制访问你的数据时。 不断地,你会看到很多新的基于云的服务上线,许多为企业带来了可观的经济回报。一些无疑会改变长期建立的风险与回报关系。而且当评估转变为基于云服务的投资回报率(ROI)时,你会需要评审组织的业务策略和对于风险的态度。云计算正在改变信息系统,所以要确

11、认考虑到,如何在任何新的业务流程中融入安全,从而使基础设施、数据和用户继续受到防护。 三个主要的三个主要的风险管理风险管理挑战挑战 1. 尽管云计算可能支配 IT 策略向前发展,安全经理还是需要关注其它领域。当然,和云计算紧密相连的是虚拟化技术。这个行业仍然奋力为虚拟化环境定义安全最佳实践,因为应用和数据从单独的服务器迁移到在线的网络上。跟踪事态发展在安全控制方面的发展是重要的,以及对这些系统的威胁。 2. 智能手机是网络环境外安全经理仍在致力于完全控制的另一方面,我们开始看到对移动设备有效的攻击,并且它们会变得更加流行。不会消耗完电池或 CPU 的安全软件会成为必不可少的部分。 3. 最后随

12、着 VoIP 使用的增长,有组织的罪犯们会发起许多攻击。系统管理员需要更加关注 VoIP 隧道的安全,使用加密而不是修补服务的质量。 是的,安全是一份永远不会结束的工作。 (作者:Michael Cobb 译者:Odyssey 来源:TechTarget 中国) TT 安全技术专题之“SSL 技术详解手册” 第 7 页 共 32 创建规则遵从文化创建规则遵从文化 促进信息安全合规管理和风险管理促进信息安全合规管理和风险管理 很多时候,在考虑建立或者扩大信息安全性并报告给高级管理层时,我们面临的最大挑战不是技术上的,而是文化上的。 业务经理犹豫是否应该突出有风险的领域,因为他们担心会被人认为没有

13、尽忠职守。律师担心在文件中出现漏洞,因为某些漏洞最终会对组织不利。有时,经理们不愿意对公司高层讲的太多,虽然其中确实可能存在很大的风险,但是他们担心高层不能完全理解这些信息,只会再提出一些无理的要求。 这就是我们作为安全和规则遵从管理人员所面临的现状。如果成熟的公司想全局把握信息安全的风险和规则遵从,这些问题都是必须首先要解决的。 与许多人所认为的相反,在寻求解决安全和规则遵从的弱点时,知识就是力量,且保持良好的透明度是一件好事。不过,要成功的跨越文化障碍,从而有效地报告信息安全状况,是需要策略的。一些经过时间考验的解决方案,它们可以用来解决这些阻碍有效管理信息安全风险及规则遵从的文化障碍。

14、培养规则遵从文化的几个建议:培养规则遵从文化的几个建议: 使用直白的语言使用直白的语言毫无疑问,在信息安全报告中决定成败的最重要因素是语言。简单地说,任何报告(无论是在记分卡或叙述)必须只限制使用基本的业务术语。不要使用 IT 术语,不使用任何模糊的缩写,不要出现特例。一个 IDS 系统或其他网关设备可能有一份很好的20 页的详细技术报告,虽然可能对技术人员有帮助,但它们不应该出现在提供给高管们阅读的报告中。相反,应该要求写这些报告的人去总结这些数据,使用尽可能简洁的语言,以便让不熟悉该项技术的人也能理解。 公开是安全的公开是安全的第二大重要的因素是营造一种环境,让人在这种环境下意识到公开是安

15、全的。这意味着人们被允许表达他们所观察到的潜在危险和操作失败而不会受到惩罚,管理人员应该在条件允许时营造这样的环境。对于观察到的风险,重点必须放在风险评估及应对方案分析。对于操作失败,报告重点应放在 1)发生了什么事情,2)应该对其做什么,3)怎么样使它不再发生。责怪是合作的死敌,因此任何纪律处分,必须私下进行。一旦人们开始意识到风险和失败都可以提出来进行合理、健康的讨论时,越来越多的风险就会突然被人们注意到。 TT 安全技术专题之“SSL 技术详解手册” 第 8 页 共 32 重点放在解决方法上重点放在解决方法上简单地说,要确保向管理层汇报任何重大的风险,应该包括了对该风险有一个管理层水平的

16、评估和一个行动计划(或至少提供一些选项)。过分强调风险本身并不能解决问题,还经常给人没有做好份内工作的感觉。但是,提出风险的同时顺带一系列的解决方案,会强化一个事实:这个人有在做事。 让他们做决定让他们做决定当提供关于信息安全计划的遵从规则的内容时,除了让管理层了解情况,还应该给予他们做决定的机会。即使这意味着对于某一关注的领域只是简单地提供了一些选择,这也利于让他们参与进来,并引起重视。这看上去存在风险(试想谁真的指望“秃头老板”能做出实质性的决定?),但是当风险被解释清楚、选择范围也明确时,老板们也愿意参与进来。 相信我,参与真的是一件很好的事。 从小事做起从小事做起事实上,很多企业无法从零一步建立很详细的计分卡,这也从未发生过。从小事做起是专注更多的可以使管理人员采取行动的无害基准点(data point)(如,培

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号