如何有效管理資訊風險

[swc...@msa.hinet.net]

你的朋友 swc...@msa.hinet.net 希望與你分享以下的文章：

寄件者評語：


閱讀原文，請至
http://taiwan.cnet.com/enterprise/topic/0,2000062938,20101321,00.htm

IT失靈（不管是當機、安全發生漏洞、或專案失效），後果可能非常嚴重。

根據IT管理研究機構（ITGI）針對14個國家200位IT專業人士所作的研究調查顯示，高達八成的組織機構委由IT經理而非企業高階主管負責管理IT相關的風險。

由於IT資產龐大，IT相關的風險牽涉層面廣泛，不過ITGI的調查顯示，僅有三分之一企業的執行長加入IT風險管理計畫。

對企業主管而言，了解IT相關的風險仍是吃力的挑戰，畢竟許多主管並非技術方面的專家。少了技術方面的背景，企業主管如何能精進風險管理，確保公司的戰略目標得以實現，不受IT風險拖累。

ITGI最近出版的「資訊風險：誰該負責？」提供以下建議：

1. 董事們與高階主管應該建立一套IT管理架構，正視風險管理，並以企業環境為背景，說清楚IT風險。現階段，有必要讓高階主管對於IT風險全力以赴，並負起該有的責任。要做到這點可以成立IT策略委員會，委員會成員包括IT與營運主管，直接向董事會負責。

2. 風險管理應該全盤納入管理流程，並切實貫徹，諸如定期向董事會與重要股東報告重大的風險。另外一個關鍵行動是將風險管理與企業目標緊密結合，然後以中肯、不爭功諉過的態度，積極監督檢討風險，

3. 董事會的查帳委員會應該將IT風險納入考慮，委任專人負責查帳，並貫徹建言。董事會也要成立內部查帳計畫（若有必要，也要成立外人查帳計畫），透過這些計畫充分正視IT風險。除了查帳計畫，董事會得提供充分的資源落實IT目標，一旦碰到風險，也可以立刻提供資源處理。

4. IT控管出現弱點必須立刻獲得主管的重視。主管首肯新的IT提案之後，應該要掌握風險與獲利，確定在擬議戰略計畫時，將兩者清楚納入考慮。主管也要定期做風險評估，端出行動計畫，解決浮出的風險。

5. 最後是營運（實際用到IT服務的人士）必須負起營運相關的風險，包括和IT使用相關的風險。IT服務供應商應該提供諮詢，和企業的管理階層合作，確定作好萬全的安全措施。

少了高層主管扛起風險管理之責，可能造成嚴重後果，包括忽略潛藏的可怕風險，行動走錯方向，甚至大筆投資付之流水。反之，若能全力以赴於風險管理，將可加強IT控管。提高企業管理成效，避免企業發生IT失靈的嚴重後果，享受提高IT使用成效之利。

閱讀原文，請至
http://taiwan.cnet.com/enterprise/topic/0,2000062938,20101321,00.htm