|
前五节说到明冬亮所著的《CIO工作指南》中对CIO的工作框架进行了三大分类,即IT管理、IT架构、运用IT带来企业成长。IT管理包括六个主题,即:IT战略—治理;IT投资—成本管理;IT组织—人才;资源组织战略;IT服务管理;IT风险管理。 本节将对IT管理的最后一个章节:IT风险管理进行详述。 所谓IT风险,是指在计划和构建企业系统的过程中,以及在运营系统过程中产生的问题所引发的为公司带来损失的可能性。IT风险的分类如下: 1、战略风险:因公司IT战略没有得到有效执行而对经营、事业战略的执行产生阻碍的风险。主要原因为: 经营、事业战略与IT战略不匹配 IT战略执行力不足 2、投资风险:投资的系统无法达到预期价值的风险。主要原因为: IT投资评估不完善 对引入的系统没有充分运用 3、人才风险:无法获得具备系统策划、开发、运营能力的人才的风险。主要原因为: 人才招聘、培养工作不足 人才招聘、培养机制不完善 4、项目风险:系统开发等项目无法实现预期品质、成本和交付期的风险。主要原因为: 项目管理能力不足 公司的项目管理机制不完善 5、合同风险:因系统开发、运营相关的外部合同不完善而导致利益受损的风险。主要原因为:与外部供应商等签订的合同不完善(责任范围、服务水平等)。 6、信息安全风险:因系统机密性、完整性、可用性丧失的风险。主要表现为:信息泄漏、服务器攻击等外部攻击行为。 7、灾害风险:大规模自然灾害和人为灾害导致系统遭受损失的风险。具体表现为:自然灾害、案件、事故等。 一、IT风险的分类与定位
二、信息安全管理体系(ISMS) CIO需要通过实施,对信息安全进行规划、执行、查核与行动的循环管理(信息安全管理循环),来应对信息安全风险。保障该循环正常运作的组织、体系就是信息安全管理体系(ISMS)
三、信息安全管理体制(示例)
四、信息安全对策种类
五、信息安全对策的五种效果分类
六、信息安全所必需的相关文件
七、BYOD的优势与弊端 BYOD(Bring Your Own Device)的意思是“在业务中使用个人所拥有的智能手机等终端设备”。对于企业来说,BYOD有很多好处,也有相应的弊端。 BYOD的优势: 通过使用自己习惯的终端可提高业务效率 工作不受时间地点的限制,提高了便利性 减少了公司购买设备的费用 通过使用自己喜欢的设备有助于提高员工的积极性 非常事态下也可以在公司外部处理业务,有助于确保业务的连续性 BYOD的弊端 存在信息泄漏等安全风险 对个人所有的设备进行管理时会遇到隐私保护方面的困难 不易区分是公用还是私用,难以把握实际工作时间的长短 因此,当企业允许BYOD时,应与使用BYOD的员工就下述两点进行确认: ① 向BYOD设备仅提供必要有限的信息和服务,如电子邮件等,以及一些不包含机密信息的Web服务等。 ② 个人设备的有效管理,即便设备属于个人所有,但基于“凡是与业务相关的设备,公司都应该履行管理责任”的方针,必须将这些设备在移动设备管理(MDM)系统中进行注册。通过MDM实现(a)远程删除数据(b)通过设置应用程序和功能限制防止非法使用(c)统一管理终端设备信息。此外,还需要制定与之配套的使用规则。 八、企业危机管理框架(危机管理三大计划) 企业危机管理框架一般由业务连续性计划(BCP)、危机应急响应计划(ERP)以及危机管理计划(CMP)这三个计划组成。 ERP 危机应对响应计划(Emergency Response Plan):对火灾、地震、传染病、停电、洪水、信息泄漏、威胁等事项分别制定应急响应计划。 CMP 危机管理计划(Crisis Management Plan):建立对危机管理进行整体指挥的危机对策,并规定定期检测体制及运营方法。 在规定体制、职责、权限、实施项目等的基础上,制定包括以下事项的应对计划(灾害信息收集、对启动或停止BCP进行组织决策、保障指挥系统和联络手段、应对 利益相关者、资金计划、物资调配等)。 BCP 业务连续性计划(Business Continuity Plan):与CMP相配合,制定并完善保证优先业务存续的机制、流程及其运营方法。 对优先存续业务进行定义、制定缺少资源的情况下恢复业务的方法(包括业务委托对象在内)以及业务恢复所需的工作、恢复后的业务运营(系统停止的应对、人员不足的应对、大楼功能停止时的应对等)等计划。 九、BCP的制定流程与IT部门的职责
十、差距分析和探讨系统层面应对措施的流程
十一、RTO和系统RTO的关系
|
|
|
