中所占比例為9%,金融服務(wù)機構(gòu)則高達16%。此外�����,停機還使企業(yè)面臨員工效率降低以及企業(yè)在客戶與股東中的聲譽受損等其它難以量化的潛在風(fēng)險�����。
巧妙平衡
企業(yè)在進行風(fēng)險的規(guī)避和管控的過程中����,往往要面臨著如何平衡風(fēng)險管理與業(yè)務(wù)保護成本的挑戰(zhàn)。根據(jù)惠普多年來在該領(lǐng)域的經(jīng)驗����,建議企業(yè)IT管理者采取分層次、分步驟的方式來做出合理決策���,實現(xiàn)風(fēng)險規(guī)避與成本之間的巧妙平衡���。
一般情況下,我們會建議企業(yè)首先認(rèn)真分析每個業(yè)務(wù)流程可能遭遇的風(fēng)險及其影響����,力求解決下列關(guān)鍵問題:
需要何種級別的可用性���?
一旦發(fā)生重大停機事故,業(yè)務(wù)對數(shù)據(jù)損失的承受能力有多大����?
業(yè)務(wù)流程能夠承受的停機時間極限?
需要何種級別的安全性�?
然而,風(fēng)險管理是一個系統(tǒng)性的工作���。一般來說,一套完整的IT風(fēng)險管理方法包括以下4個步驟��。
步驟1:確定業(yè)務(wù)需求����。對整個企業(yè)內(nèi)所有涉及合規(guī)性、可用性���、安全性和業(yè)務(wù)連續(xù)性的業(yè)務(wù)流程和應(yīng)用的要求進行評估�����。衡量停機對各業(yè)務(wù)應(yīng)用與流程的影響�����。
步驟2:評估風(fēng)險等級�。對可用性、安全性與持續(xù)性進行全面且深入的評估��,以確定風(fēng)險領(lǐng)域����,制定保護IT環(huán)境、改善IT服務(wù)的策略��。將企業(yè)目前現(xiàn)行的實踐與“最佳信息技術(shù)基礎(chǔ)設(shè)施信息庫(ITIL)”推薦的最佳實踐進行比較��,了解差距��,根據(jù)業(yè)務(wù)影響確定風(fēng)險等級��。
步驟3:設(shè)計與實施解決方案���。將需求轉(zhuǎn)化為切實可行的技術(shù)與服務(wù)解決方案����,其中包括存儲�、數(shù)據(jù)庫��、應(yīng)用���、系統(tǒng)、網(wǎng)絡(luò)和環(huán)境基礎(chǔ)設(shè)施等���。制定持續(xù)性服務(wù)改進計劃�����。
步驟4:監(jiān)控���、管理與發(fā)展�。制定IT服務(wù)管理政策,建立培訓(xùn)機制��,采用最佳實踐調(diào)整人員與優(yōu)化流程��。在業(yè)務(wù)發(fā)展過程中��,對持續(xù)性與可用性計劃進行再評估����、監(jiān)控�、審計與測試�����。
通過以上4步驟�,完整考慮企業(yè)IT風(fēng)險管理的需求及其實現(xiàn)方式,可以幫助企業(yè)更準(zhǔn)確地估計業(yè)務(wù)保護的成本�,從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿足風(fēng)險管理的需要。
美國大企業(yè)每年的IT停機成本占其收入的3.6%��,其中制造企業(yè)的停機成本在收入中所占比例為9%�����,金融服務(wù)機構(gòu)則高達16%���。