信息系統(tǒng)和科技服務(wù)的各種漏洞往往暴露于科技服務(wù)的運(yùn)行過程中，容易受到不良的攻擊和信息竊取，使得企業(yè)蒙受相應(yīng)的損失。我們需要從根源上分析風(fēng)險(xiǎn)的植入場景和階段，從預(yù)防的角度開展必要的防控措施，使之與信息科技的全生命周期日常工作行為有效融合，使之為企業(yè)持續(xù)穩(wěn)定的提供業(yè)務(wù)支撐能力。

▌在安全意識(shí)方面

很多敏感信息的遺失和截取，往往是因?yàn)槠髽I(yè)信息安全意識(shí)缺失所造成的，擁有信息的人員和使用信息的人員在很多無意識(shí)的活動(dòng)中，就把企業(yè)的寶貴的、稀缺的，甚至是賴以生存的業(yè)務(wù)信息或者知識(shí)產(chǎn)權(quán)進(jìn)行了泄密。經(jīng)過蓄意的加工和交易，就演變成為影響企業(yè)聲譽(yù)、經(jīng)濟(jì)和競爭力的重要生產(chǎn)資料。

▌在業(yè)務(wù)連續(xù)性管理方面

相關(guān)業(yè)務(wù)發(fā)生中斷，難以在短時(shí)間內(nèi)快速恢復(fù)，并采取有效的措施積極應(yīng)對突發(fā)的事件，突出反應(yīng)企業(yè)在業(yè)務(wù)連續(xù)性管理上的不足，具體可能體現(xiàn)在業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急預(yù)案、應(yīng)急資源、應(yīng)急演練、災(zāi)難恢復(fù)及內(nèi)部溝通和對外發(fā)布等環(huán)節(jié)存在執(zhí)行不到位或者存在缺陷。其中任何一個(gè)環(huán)節(jié)的斷層都可能導(dǎo)致業(yè)務(wù)難以及時(shí)恢復(fù)，加大了企業(yè)的損失，擴(kuò)大了安全事件對企業(yè)的負(fù)面影響。

▌在信息科技建設(shè)管理方面 

企業(yè)信息系統(tǒng)建設(shè)由很多個(gè)系統(tǒng)、模塊、接口和團(tuán)隊(duì)構(gòu)成，不同團(tuán)隊(duì)運(yùn)用不同的方法協(xié)同合作，最終上系統(tǒng)上線運(yùn)行，產(chǎn)生價(jià)值。但在系統(tǒng)的開發(fā)過程中，由于開發(fā)人員技能多樣性、技能不足、經(jīng)驗(yàn)潰泛、意識(shí)缺失導(dǎo)致了應(yīng)用程序漏洞在所難免，同時(shí)從測試的角度，上線周期緊導(dǎo)致測試案例不完整、測試不充分等原因?qū)е碌陌踩┒次幢槐O(jiān)測出來也是造成開發(fā)安全風(fēng)險(xiǎn)的主要原因。這種漏洞被逐級(jí)的傳遞并暴露于生產(chǎn)環(huán)境，最終導(dǎo)致的風(fēng)險(xiǎn)發(fā)生。

▌在信息科技變更方面

企業(yè)信息系統(tǒng)多了其承擔(dān)的責(zé)任也會(huì)越來越多，一方面業(yè)務(wù)部門越來越多的依賴于它們進(jìn)行業(yè)務(wù)的操作和流程的系統(tǒng)，一方面也會(huì)因?yàn)闃I(yè)務(wù)需求的不斷變化帶來各個(gè)組件的修改和維護(hù)工作。安全事件大都發(fā)生在企業(yè)對其系統(tǒng)進(jìn)行升級(jí)或變更之后，反映了企業(yè)在信息系統(tǒng)變更投產(chǎn)流程上的不足，具體可能體現(xiàn)在系統(tǒng)變更計(jì)劃、系統(tǒng)變更測試、系統(tǒng)變更回退、系統(tǒng)發(fā)布及驗(yàn)收等存在缺陷。系統(tǒng)的變更缺少明確的計(jì)劃、未進(jìn)行徹底的測試、系統(tǒng)發(fā)布前未經(jīng)過全面的驗(yàn)收和審核，都可能直接導(dǎo)致系統(tǒng)上線的失敗，無法盡快有效地進(jìn)行回退，保障業(yè)務(wù)的正常、穩(wěn)定運(yùn)行。

▌在信息科技運(yùn)維管理方面 

企業(yè)的IT運(yùn)維都配備相應(yīng)的監(jiān)控系統(tǒng)來監(jiān)控各種應(yīng)用、主機(jī)、網(wǎng)絡(luò)及存儲(chǔ)等的狀態(tài)，而且有專人負(fù)責(zé)。從系統(tǒng)故障的產(chǎn)生到處理的整個(gè)過程來看，也暴露了企業(yè)可能在信息科技運(yùn)維管理上還不夠完善，具體可能體現(xiàn)在系統(tǒng)可用性管理、服務(wù)水平管理、事件管理、監(jiān)控管理上等存在缺陷。運(yùn)維管理存在缺陷，使得系統(tǒng)中的故障難以被及時(shí)發(fā)現(xiàn)并采取有效措施，影響了系統(tǒng)的可靠性，降低了服務(wù)水平，放大了系統(tǒng)產(chǎn)生的風(fēng)險(xiǎn)。

▌在信息科技風(fēng)險(xiǎn)評(píng)估方面

可能在業(yè)務(wù)運(yùn)營的監(jiān)測機(jī)制及工具、運(yùn)營中斷事件的風(fēng)險(xiǎn)預(yù)警體系及信息科技風(fēng)險(xiǎn)的溝通上不夠完善。在業(yè)務(wù)功能、關(guān)鍵資源、系統(tǒng)運(yùn)行等發(fā)生重大變更時(shí)，無法監(jiān)測信息科技風(fēng)險(xiǎn)發(fā)展趨勢，預(yù)防信息科技風(fēng)險(xiǎn)事件的發(fā)生。在安全事件發(fā)生時(shí)，風(fēng)險(xiǎn)監(jiān)控和預(yù)警業(yè)務(wù)條線部門與信息科技部門等相關(guān)部門之間缺乏信息溝通、風(fēng)險(xiǎn)提示，無法協(xié)同做好應(yīng)急準(zhǔn)備，將安全事件損失降低到最小。

▌在外包管理方面

一般性的企業(yè)信息服務(wù)范圍很廣，外包的分類和層次也是多樣的，有的負(fù)責(zé)方案規(guī)劃，有的負(fù)責(zé)軟件開發(fā)，有的負(fù)責(zé)系統(tǒng)集成，有的負(fù)責(zé)服務(wù)運(yùn)維，各方面的外包團(tuán)隊(duì)與內(nèi)部團(tuán)隊(duì)緊密結(jié)合形成龐大的IT服務(wù)運(yùn)轉(zhuǎn)體系。從服務(wù)供應(yīng)商的業(yè)務(wù)運(yùn)行角度，其自身規(guī)?；l(fā)展和專業(yè)化發(fā)展需要借助于已有的經(jīng)驗(yàn)進(jìn)行業(yè)務(wù)開拓，同時(shí)也要提升某領(lǐng)域的資源復(fù)用率，這些都是有助于其積累經(jīng)驗(yàn)、提高效率和增強(qiáng)營收的，但在與本企業(yè)進(jìn)行合作是，就難免會(huì)有知識(shí)產(chǎn)權(quán)相關(guān)內(nèi)容的相互博弈。

▌小結(jié)

幾年來，科技風(fēng)險(xiǎn)發(fā)生的案例層出不窮，已經(jīng)給企業(yè)造成了造成的相當(dāng)大的損害，而這其中直接性的損失是經(jīng)濟(jì)和聲譽(yù)損失，而間接性的損失則包括時(shí)間被延誤、修復(fù)的成本、可能造成的法律訴訟的成本 、商業(yè)機(jī)會(huì)的損失等等。通過上述的常見風(fēng)險(xiǎn)來源的總結(jié)與分析，企業(yè)應(yīng)當(dāng)意識(shí)到從源頭上開始加強(qiáng)風(fēng)險(xiǎn)管理工作，要通過加強(qiáng)信息科技的治理能力、提升信息技術(shù)服務(wù)水平和加強(qiáng)風(fēng)險(xiǎn)管理能力逐步避免和減弱風(fēng)險(xiǎn)的發(fā)生概率和影響度。

想了解更多IT資訊，請?jiān)L問中培偉業(yè)官網(wǎng)：中培偉業(yè)