人人可懂的网络风险管理

什么是网络风险？

网络风险指与使用信息技术相关、可能对企业业务产生负面影响的任何风险。

换句话说，它涉及我们的信息系统面对内部或外部事件时的脆弱性，这些事件可能导致数据和功能被改变、被盗或不可用。

网络风险管理

鉴于技术的不确定性和持续演进，IT风险管理对任何企业都是战略挑战。可以识别出四个需要循环执行的阶段：

1. 风险分析；
2. 实施流程；
3. 监控、审查和验证这些流程；
4. 纠正已应用的流程。

网络风险管理的十条基本规则

Risk Management是一门复杂学科，无法在一篇简单文章中完整处理。我们仍可提供十个思考点，它们不应缺席您的网络风险分析、识别和管理策略。

1. 每个信息流程都有风险。 对每个已识别风险因素评估利弊时，必须考虑以下影响：
   • 恢复成本；
   • down-time成本；
   • 形象损害；
   • 流程延迟。
2. Disaster Recovery计划。 对中小企业而言，这意味着始终拥有一个或多个backup单元，定期更新并验证其工作正常。谁愿意把资源投入到不能工作的backup中？
3. 自动更新管理。系统更新不是麻烦，它们用于解决明确的安全和功能问题。
4. 针对malware和攻击的基础保护。 Antivirus不足以对抗现代网络攻击。还需要配备高级firewall、面向Web流量和电子邮件的antivirus，以便在攻击到达企业PC之前阻止它们。
5. 不要把太多鸡蛋放在一个篮子里。 把太多数据、应用和功能交给同一个系统是一种冒险。最好分散风险。
6. 资源不足时依靠Cloud解决方案。使用在线邮件和文档存储服务，比临时搭建“本地”方案安全得多。电子邮件和网络是外部入侵我们信息系统的开放入口，本地存储数据则是需要管理的负担。如果资源不足以实施最基本保障，最好完全依赖外部服务，并在每台机器上使用简单antivirus。
7. 设备配置和维护并不次于设备存在本身。很多人认为买几个appliance或服务就能解决所有问题。配置应依靠真正专家，而不是临时技术人员。
8. 人员必须受清晰准确的网络使用policy约束。 无一例外，从经理到秘书。
9. 不要承受“纸面安全”。 Compliance、法律和ISO标准本应是好事，通常是实施态度把它们变成昂贵、无聊且无用的东西。任何国际安全标准都应被理解，并智能应用到自身现实中。
10. 有一个计划。网络安全首先是文化问题。企业中必须有一个管理角色承担思考和高层管理安全的责任，并向其他所有人解释为什么，以及他们在计划成功中扮演什么角色。

人人可用的IT-Risk Management

如今，大企业配备专门负责网络风险管理的专业角色。但这往往会给中小企业带来过高成本。正因如此，ISGroup咨询解决方案，以及通过EasyAudit执行的准点安全检查，代表了中小企业的有效替代方案。