风险管理提高企业的法规遵从.docx

风险管理提高企业的法规遵从 当今的网络威胁环境发生了根本的变化――单纯地从 某个角度出发，已经无法跟上威胁的变化。在与威胁的博弈 中，无论是管理员还是企业经理，都容易犯“头痛医头，脚 痛医脚”的毛病。因此，传统的安全理念应该随着威胁的发 展而变化，应该从风险管理的角度审视整个安全环境，制定 切合企业需求的安全战略。 制定安全风险管理流程是企业在 2007 年采取的最重 要安全举措。原因何在？如果不实施正确的风险管理流程， 所有的业务活动均可能会受到恶意威胁、配置错误以及大量 漏洞的影响。对于法规遵从要求而言，也面临同样的风险， 这就要求企业必须对管理重要的企业及客户数据的访问和 使用流程保持强有力的控制。 风险管理可以为企业提供必要的流程来提高安全性和 法规遵从性。风险管理的实施离不开 CIO、IT 操作人员、 IT 安全人员及业务主管人员的通力协作。利益相关者必须首先 确定哪些是最重要的资产，然后确定它们的优先级。有些系 统和应用程序更容易暴露在风险之中， 而 IT 部门无法独自确 定企业可承受的风险等级。 近年来，业务管理人员现在越来越关注那些针对其机密 信息和公司系统的无休止的威胁。他们也进一步意识到了违 反法规的严重后果一一负面宣传、受到处罚和损害股东的利 、人 益。 正如 IT 部门需要业务管理人员的支持一样， 业务管理人 员也想听取IT部门的意见，以了解如何才能有效地