低以及企业在客户与股东中的声誉受损等其它难以量化的潜在风险。
三、巧妙平衡
企业在进行风险的规避和管控的过程中,往往要面临着如何平衡风险管理与业务保护成本的挑战。根据惠普多年来在该领域的经验,建议企业IT管理者采取分层次、分步骤的方式来做出合理决策,实现风险规避与成本之间的巧妙平衡。一般情况下,我们会建议企业首先认真分析每个业务流程可能遭遇的风险及其影响,力求解决下列关键问题:
◆ 需要何种级别的可用性?
◆ 一旦发生重大停机事故,业务对数据损失的承受能力有多大?
◆ 业务流程能够承受的停机时间极限?
◆ 需要何种级别的安全性?
然而,风险管理是一个系统性的工作。一般来说,一套完整的IT风险管理方法包括以下4个步骤。
步骤1:确定业务需求。对整个企业内所有涉及合规性、可用性、安全性和业务连续性的业务流程和应用的要求进行评估。衡量停机对各业务应用与流程的影响。
步骤2:评估风险等级。对可用性、安全性与持续性进行全面且深入的评估,以确定风险领域,制定保护IT环境、改善IT服务的策略。将企业目前现行的实践与“最佳信息技术基础设施信息库(ITIL)”推荐的最佳实践进行比较,了解差距,根据业务影响确定风险等级。
步骤3:设计与实施解决方案。将需求转化为切实可行的技术与服务解决方案,其中包括存储、数据库、应用、系统、网络和环境基础设施等。制定持续性服务改进计划。
步骤4:监控、管理与发展。制定IT服务管理政策,建立培训机制,采用最佳实践调整人员与优化流程。在业务发展过程中,对持续性与可用性计划进行再评估、监控、审计与测试。
通过以上4步骤,完整考虑企业IT风险管理的需求及其实现方式,可以帮助企业更准确地估计业务保护的成本,从而确保企业的投资水平在成本最优的前提下满足风险管理的需要。
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
