金融和IT业间的分离是由于对风险的不同理解造成的。

    IT业倾向于从安全系统这个角度来考虑风险—控制管理系统以及遵从报表和最佳的程序 。然而，从业务系统的角度来说，真正的风险管理是处理结果的不确定性，考察商业条款中潜在的后果，权衡那些对投资回报不利的潜在因素。

    虽然制定信息安全的标准和准则是一件好事，但它们很容易被误用或者滥用。这些标准和准则的使用不当助长了千篇一律的思想的形成，使人们忽略了更重要的一点—没有两个行业是相同的。在同一行业中，没有两家公司是绝对相同的。在同一公司里，没有两个配制是完全一样的。在一个公司的配置内部，没有两个数据中心是如同复制的。在同一个数据中心，没有两个涉及硬件的服务是毫无差别的。

    你猜怎么着？即便是同样的业务流程，根据一年中的不同时间，客户的需求和其他因素也可能有所不同！

    在众多标准化组织中有控制清单的程序库，这些程序库提供了许多关于确保信息资产的安全的业务指导。一旦发现新的漏洞，新的补丁和工作区替代传阅，并积极沟通，完成数量庞大的警报服务。但对于全国的典型企业而言，总受到太多的管制，总有太多的漏洞需要进行补救。结果，关键的缺陷反而不被管理。

    IT安全的专业性需要能够评估风险—可能性的事件乘以影响的规模—以便集中精力工作在最有效的地方（换句话说，着眼于较小数目的大象而不是众多的小鼠） 。

    商业向左 IT向右

    风险管理是一个商业决策，围绕着企业愿意容忍多大的风险，以满足其业务目标。这一决定涉及的评价是组织要完成什么和评估潜在的影响结果。

    风险管理首要关注的是，如何帮助该公司在商业上继续保持成功并且准备面对意想不到的和不利的事件和成果。风险管理的重点是识别和衡量业务的风险和搞清楚如何减轻风险，比如通过保险把风险转移给其他实体，通过控制减少潜在的风险，避免它退出某一过于冒险的业务领域，或建立资本储备，以确保风险的活动包括在内。

    一个风险管理系统提供了架构，它使管理人员可以明确地考虑组织的风险正在如何发生变化，确定数额的风险，他们愿意接受，并确保他们有适当的缓解和控制风险的地方，以限制有针对性的风险。 在过去大约40年 ，信息技术已从一个纯粹的成本中心迁移到一个中心职能，其关键是成功地执行公司的战略目标。然而，信息技术管理人员和经营管理者仍经常会发现他们意见不一。

    多年来，IT业谈及调整商界的需求。这个问题仍然存在着挑战性。事实上，在议事日程和日常运营中，它仍然很难使高级管理人员把议程排在优先位置，更多意义上还是一个IT的交付使用。

    在框架内整合应用

    为弥补这一差距，需要更大的透明度，更多的合作。在组织的风险影响方面也需有一些理解。为实现缩小其差距的想法，需要达成一个分类，或共同的语言类别，业务经理和IT经理能涉及到一个风险管理的组织的框架

    软件有自动地确认、衡量和监测操作风险的过程。一个企业的风险管理系统可以整合所有的风险数据，风险分析，风险和控制自我评估，损失事件和重要的风险指标（KRIs） -是唯一的解决办法。风险管理软件，旨在整合文件，监测管理的过程和决策支持系统，从而使程序去简单有效的分析，管理和减轻风险。

    也有一些真正在信息管理安全和限制预算有作为的聪明人。风险管理系统，可以帮助信息安全专业人士做出更好更快的决策，并帮助程序员少花钱多办事。风险管理是一个很好的工具，它能帮助信息安全程序员的工作更有效率，并确保他们在财务方面的工作与其他程序员保持同步。

    风险指标（KRIs）

    KRI指标可以表明威胁处置的有效性，分为两块，一块是KPX补丁，和另一块KPX系统准备。KPX补丁又包含了补丁安装，由于补丁原因造成的服务中断和补丁的有效性。KPX系统准备则包括了病毒定义更新以及安全告警复核和处置。因此，KRI是一个或多个KPX的集合或相互关系，用于评估组织整体的关键风险的程度。评估的结果却是一个可以量化的数值，可以看出某一重要领域的状况。通过有效的风险评估方法对没每个风险点进行量化，这样就可以很清楚的看到风险情况，KPI也就可以帮助确定信息安全机制的现有状况。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。