歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
風險管理 重質不重量
2009 / 07 / 21
JAY HEISER 譯 ■ 左恩燦
風險管理使你更趨近於企業營運,但你必須了解,風險可不是下注的賭盤。
從1980年末,我開始進入IT領域,保護電腦的紀律和觀念養成,很明確地被稱為電腦安全。在90年代中期,我們已熱烈討論過資訊安全這個專有名詞的適當性。就在幾年前,大部分的供應商在較早前,決定修正他們的市場定位,與法規議題的市場並列,把他們的商品像資安產品一樣地銷售。差不多同時間,因為敝人利用此專欄提倡安全是風險管理作用,引起熱烈討論。而今天要上的主菜是GRC,代表治理(Governance)、風險(Risk)與法規(Compliance)。
安全是個專業的任務,如果狹隘的集中在特定的弱點上,將有被潛在弱點攻擊的可能。實際上,大部分的安全專家真正做的,比狹隘的定義來得更多,他們會把注意力放在完整性與可用性上,然後與機密性並列。但是,風險管理是通曉各門知識的敲門磚,包含安全,而且比它更源遠流長;試著去了解可能出現哪些不需要的東西,並且事前設定好優先順序排列。
不管任何特定與資訊相關的事,你可能都有機會被委派處理。如果你不了解在這張大拼圖裡,你自己適合的定位,還有為什麼資安漸漸地會被描述成風險管理,那麼你永遠都無法適當地管理。
一般對風險管理常見的誤解是,它總是牽涉到風險統計學的量化問題(現行的全球財務系統危機,又再一次的表現愚蠢行徑,相信充分複雜的統計模式可消弭風險)。事實上,風險管理程序通常都是質的呈現,而且大多數的組織都會以他們自己的方式,朝向成熟的資訊安全發展,假如他們可以精確指出他們前1/5最容易受損害的伺服器的話。
風險管理是以程序為導向的方法,它會選擇決策模式與可利用的資訊一起運作。定義資訊以達成營運目標格外的重要,包括法規遵從,及找到具成本效益的方法,以超越系統保護的底線水準。迄今對許多公司而言,因為內部人員而導致的資料遺失,已被認為是最急需被解決的資訊風險之一。
愈來愈多的組織發現,風險管理技術通常是質的呈現;它不只是一個可判定輕重緩急、優先順序有效的方式,而且自然地就會與企業營運的關係更緊密。新的技術持續帶來新商品,規範與契約上的要求亦持續地增加,有時兩者無法和諧共存。隨著生活愈來愈複雜,相對地,我們也必須盡力發展綜合設施,以降低損失。假如我們不想被邊緣化,就必須以一種能和企業營運產生共鳴的語言溝通。業務經理不說安全語言,他們只講風險。
Jay Heiser是在倫敦Gartner研究機構的副總裁。
IT
風險
營運
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
Linux 基金會推出 Agent2Agent 協定,實現智慧型代理程式間的互通性
企業資安防禦全面革新 AI × SASE × IAM × MDR
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
資安人科技網
文章推薦
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
駭客透過惡意擴充套件 瞄準開發人員發動攻擊