风险管理提高企业的法规遵从

风险管理提高企业的法规遵从

当今的网络威胁环境发生了根本的变化――单纯地从

某个角度出发，已经无法跟上威胁的变化。在与威胁的博弈中，无论是管理员还是企业经理，都容易犯“头痛医头，脚痛医脚”的毛病。因此，传统的安全理念应该随着威胁的发展而变化，应该从风险管理的角度审视整个安全环境，制定切合企业需求的安全战略。

制定安全风险管理流程是企业在2007 年采取的最重

要安全举措。原因何在？如果不实施正确的风险管理流程，所有的业务活动均可能会受到恶意威胁、配置错误以及大量漏洞的影响。对于法规遵从要求而言，也面临同样的风险，这就要求企业必须对管理重要的企业及客户数据的访问和

使用流程保持强有力的控制。

风险管理可以为企业提供必要的流程来提高安全性和

法规遵从性。风险管理的实施离不开CIO、IT操作人员、IT 安全人员及业务主管人员的通力协作。利益相关者必须首先确定哪些是最重要的资产，然后确定它们的优先级。有些系统和应用程序更容易暴露在风险之中，而IT部门无法独自确定企业可承受的风险等级。

近年来，业务管理人员现在越来越关注那些针对其机密

信息和公司系统的无休止的威胁。他们也进一步意识到了违反法规的严重后果――负面宣传、受到处罚和损害股东的利益。

正如IT部门需要业务管理人员的支持一样，业务管理人员也想听取IT部门的意见，以了解如何才能有效地部署既能定义又能执行这些策略的工具。他们希望IT部门能带头实施确保企业安全合法的流程。这些转变令IT人员异常兴奋，因为他们现已被视为实现企业目标的重要一份子。然而，支持成功实施风险管理所必需的文化转变则是一个巨大的飞跃。它不仅需要IT部门和业务管理人员的合作来确定资产优先级，还需要加强IT 操作人员与安全工作人员之间的交流。此外，它还需要改善通常独立工作并使用完全不同安全产品的团队之间的技术整合。

如果能够应对这些挑战，企业就能够获得巨大收益。包括管理层在内的每一个人都能更清晰地了解企业所面临的

风险状况以及法规遵从情况。借助清晰定义的风险管理方法(包括安全防护和法规遵从指标)，企业可以前瞻性地采取措施应对风险，而不是被动挨打。企业完全没有必要专门配置人员来匆忙应对每个新的威胁或漏洞。通过采用风险管理方法，企业不仅能够确保其关键系统不会瘫痪，还能够确保其企业及客户数据始终得到保护。

在CIO的领导下，安全官员和IT操作人员制定新的合作

日程，将IT作为针对业务资源风险进行计划、确定优先级和管理的重中之重。从管理安全性过渡到管理风险需要IT组织摒弃其固有观念，改变以往使用点解决方案对每一种新威胁进行响应的做法。

McAfee 的组合产品营销经理Michelle Johnson Cobb认为：“安全风险管理是一个过程而非一个产品。”风险管理同样涉及管理和评估。它消除了分隔安全性计划和法规遵从性计划的壁垒，并认识到合作的过程可以确保组织安全和遵循法规。因此，企业的管理人员或是CSO应该开始着手管理风险。