信息系統和科技服務的各種漏洞往往暴露于科技服務的運行過程中，容易受到不良的攻擊和信息竊取，使得企業蒙受相應的損失。我們需要從根源上分析風險的植入場景和階段，從預防的角度開展必要的防控措施，使之與信息科技的全生命周期日常工作行為有效融合，使之為企業持續穩定的提供業務支撐能力。

▌在安全意識方面

很多敏感信息的遺失和截取，往往是因為企業信息安全意識缺失所造成的，擁有信息的人員和使用信息的人員在很多無意識的活動中，就把企業的寶貴的、稀缺的，甚至是賴以生存的業務信息或者知識產權進行了泄密。經過蓄意的加工和交易，就演變成為影響企業聲譽、經濟和競爭力的重要生產資料。

▌在業務連續性管理方面

相關業務發生中斷，難以在短時間內快速恢復，并采取有效的措施積極應對突發的事件，突出反應企業在業務連續性管理上的不足，具體可能體現在業務連續性計劃、應急預案、應急資源、應急演練、災難恢復及內部溝通和對外發布等環節存在執行不到位或者存在缺陷。其中任何一個環節的斷層都可能導致業務難以及時恢復，加大了企業的損失，擴大了安全事件對企業的負面影響。

▌在信息科技建設管理方面 

企業信息系統建設由很多個系統、模塊、接口和團隊構成，不同團隊運用不同的方法協同合作，最終上系統上線運行，產生價值。但在系統的開發過程中，由于開發人員技能多樣性、技能不足、經驗潰泛、意識缺失導致了應用程序漏洞在所難免，同時從測試的角度，上線周期緊導致測試案例不完整、測試不充分等原因導致的安全漏洞未被監測出來也是造成開發安全風險的主要原因。這種漏洞被逐級的傳遞并暴露于生產環境，最終導致的風險發生。

▌在信息科技變更方面

企業信息系統多了其承擔的責任也會越來越多，一方面業務部門越來越多的依賴于它們進行業務的操作和流程的系統，一方面也會因為業務需求的不斷變化帶來各個組件的修改和維護工作。安全事件大都發生在企業對其系統進行升級或變更之后，反映了企業在信息系統變更投產流程上的不足，具體可能體現在系統變更計劃、系統變更測試、系統變更回退、系統發布及驗收等存在缺陷。系統的變更缺少明確的計劃、未進行徹底的測試、系統發布前未經過全面的驗收和審核，都可能直接導致系統上線的失敗，無法盡快有效地進行回退，保障業務的正常、穩定運行。

▌在信息科技運維管理方面 

企業的IT運維都配備相應的監控系統來監控各種應用、主機、網絡及存儲等的狀態，而且有專人負責。從系統故障的產生到處理的整個過程來看，也暴露了企業可能在信息科技運維管理上還不夠完善，具體可能體現在系統可用性管理、服務水平管理、事件管理、監控管理上等存在缺陷。運維管理存在缺陷，使得系統中的故障難以被及時發現并采取有效措施，影響了系統的可靠性，降低了服務水平，放大了系統產生的風險。

▌在信息科技風險評估方面

可能在業務運營的監測機制及工具、運營中斷事件的風險預警體系及信息科技風險的溝通上不夠完善。在業務功能、關鍵資源、系統運行等發生重大變更時，無法監測信息科技風險發展趨勢，預防信息科技風險事件的發生。在安全事件發生時，風險監控和預警業務條線部門與信息科技部門等相關部門之間缺乏信息溝通、風險提示，無法協同做好應急準備，將安全事件損失降低到最小。

▌在外包管理方面

一般性的企業信息服務范圍很廣，外包的分類和層次也是多樣的，有的負責方案規劃，有的負責軟件開發，有的負責系統集成，有的負責服務運維，各方面的外包團隊與內部團隊緊密結合形成龐大的IT服務運轉體系。從服務供應商的業務運行角度，其自身規模化發展和專業化發展需要借助于已有的經驗進行業務開拓，同時也要提升某領域的資源復用率，這些都是有助于其積累經驗、提高效率和增強營收的，但在與本企業進行合作是，就難免會有知識產權相關內容的相互博弈。

▌小結

幾年來，科技風險發生的案例層出不窮，已經給企業造成了造成的相當大的損害，而這其中直接性的損失是經濟和聲譽損失，而間接性的損失則包括時間被延誤、修復的成本、可能造成的法律訴訟的成本 、商業機會的損失等等。通過上述的常見風險來源的總結與分析，企業應當意識到從源頭上開始加強風險管理工作，要通過加強信息科技的治理能力、提升信息技術服務水平和加強風險管理能力逐步避免和減弱風險的發生概率和影響度。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業