浅谈IT风险管理的方式

这里所要说的风险管理，还是针对 IT 行业及 IT 服务来说。从 IT 服务管理的角度来看，服务供应商必须要有事先规划好的风险管理机制，也就是说：这些风险管理的机制，可以有效的控制，当风险发生时或是发生后，可以适当利用应变方案 ( Countermeasure )，将造成的伤害，降到最低，并且确保可以在计画的时间及范围之内，重新恢复相关服务的水平。

所以没有错，你所想到的，比方说：数据的丢失、黑客的攻击，或甚至火灾、气候对于 IT 服务所造成的影响等等，这些都是 IT 风险管理 ( IT Risk Management ) 所研究的一个范畴之内。想想看：现在人类有很多业务都是需要 IT 来支撑的，这就意味着：如果 IT 服务的中断，可能也会某种程度的影响相关业务，所造成的损失，也就可能很大了。

有一个风险管理的方法 CRAMM ( CCTA Risk Analysis & Management Method )，是目前 IT 行业常常使用的。CCTA 指的是：Center Computer Telecommunication Agency ，是英国政府以前的一个组织，估计是这一个组织所设计的方法。基于这一个方法，我们可以来研究一下，该如何应用。

 
上图是 CRAMM 的图示。它说明了风险 ( Risks ) 是由三个关键事物进行分析 ( Analysis )所构成的：资产 ( Assets )、威胁 ( Threats ) 及弱点 ( Vulnerabilities )。然后被应变方案 ( Countermeasure ) 所管理 ( Management )。

基于上面的图，我做一个解释：风险的发生，都是针对资产而来的，比方说：办公大楼是一个很重要的资产。任何的资产，都会有威胁的存在！而威胁是无所不在的，并且不会凭空消失的。比方说：发生火灾，火灾是人类无法避免的威胁，因为发生的因素很多，并且会造成重大的损失。弱点就会利用威胁来给大楼造成风险。比方说：自动化的消防系统故障，就是一个存在的弱点！火灾就可能利用这一个弱点来造成大楼的风险，因为起火之后的损失就很大了。因此，这里的应变方案就可能是立刻启动维修的机制，进行测试及演练，降低威胁利用弱点的各项途径。

再举一个例子来看：重要的财务数据是你的资产，而黑客永远是你的威胁！因为，黑客不可能不存在，它永远威胁企业中的重要数据。此时，会被黑客利用的弱点可能是：密码的管理。因为密码管理不善，被黑客所利用，就有可能盗取重要的财务数据。因此，应变方案就是定期的密码变更，加强宣导，还有奖励及惩罚。

其实，从上面的例子你也不难发现：相同的资产以及相同的威胁，可能有产生多项弱点会被其利用。黑客可能会利用密码管理的失误，也可能会利用某些系统的漏洞 ( 比方说木马程式的使用 )，也可能会利用防火墙配置得疏失。所以，从这里来看：这一个 CRAMM 的方法，不仅仅是帮你定义风险，更主要是给你一个方法，可以清查 ( Assessment ) 所有可能的威胁及弱点。

每个企业都会有相关的资产清单，利用资产清单，再去对应威胁清单 ( Threats List )，就可以找出相关的弱点。比方说，需要用电力，威胁来自电力的，弱点就脱离不了相关的电力设施。比方说，重要数据的，威胁来自黑客的，弱点就脱离不了防堵黑客访问的相关设施。这个方法是很踏实的方法，可以一步步的依据资产，再依据威胁，一步步的发现相关弱点及风险！之后，应变方案就会自然的生成了。

事实上，威胁清单 ( Threats List ) 是比较困难取得的。许多顾问公司，会自己总结这些清单，拿出来提供谘询服务。比方说：火灾、水灾、停电、黑客、小偷 … 其实，如果日常能够慢慢的收集起来，针对相关的资产来想 ( 因为资产的清单是自己公司的 )，倒也不必依赖顾问公司。况且，有许多探讨安全 ( Security ) 及业务延续性 ( Business Continuity Management ) 的书籍，也帮大家整理了一些相关的威胁，你也可以阅读看看。

说到这里，有人会问：不是说要探讨 IT  “服务” 的风险管理吗？其实没有错的。IT 服务的构成，基本上缺不了资产及相关的 IT 配置及组件 ( IT configuration & component )。如果你能够针对这些资产及组件来分析风险，那服务的风险管理就基本上完成了。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友