GDS风险管理之道：内外兼修 善假于物

——访GDS万国数据流程管理部总监 陈扬昀

导语：GDS（Global Data Solutions Limited）万国数据服务有限公司成立于2000年，是中国灾难恢复行业的领军企业，致力于向客户提供业务连续管理体系的全面服务，包括高可用性IT基础环境服务、灾难恢复（BC/DR）规划、实施、运行外包服务、测试中心服务、数据中心平台服务、ECC运行监控服务等。

来势汹涌的金融风暴，使全球企业所处的环境发生了剧烈的变化。市场研究机构Forrester最新调查表明，由于全球经济危机的影响，大部分的企业都已经或考虑减少未来1-3年用于IT项目的预算，并停止优先度较低的在建IT项目。

然而，有资料显示，如今企业包括敏感数据、客户信息以及公司基础设施等都面临着日益严峻的IT风险，而在经济动荡时期，企业更加无法承受自身安全所带来的问题。因此，如何在预算有限的情况下，严格控制有可能发生的隐患，对企业进行有效的IT风险管理，是所有企业都必须直面的问题。近期，畅享网就有限投资下的IT风险管理采访了GDS万国数据流程管理部总监陈扬昀先生。

GDS万国数据流程管理部总监 陈扬昀（畅享网配图）

企业IT风险提升 管理难度加大

谈及目前企业所处的环境，陈扬昀表示，受金融危机影响，目前企业的经营环境并不乐观，员工的满意度和工作责任感下降，加之部分离职员工可能带走公司内部数据、泄露公司秘密等，企业内部的人员安全风险迅速提升。

另一方面，一些失业人员对公司充满抱怨，他们很可能采取一些极端的方法来报复公司。而且随着失业人员的增加，也会导致犯罪率的提升，这就使公司外部也陷于风险之中。

在目前企业预算有限的情况下，企业领导者首先考虑的肯定是保证业务的连续性发展，然后再去考虑更多别的事情。IT安全对业务直接影响较小，在经济相对不景气的情况下，除非有合规的要求，否则企业不会在安全治理方面投入过多的管理资源。在技术上投资预算的缩小，会导致安全设备与解决方案升级速度降低，这也会增加企业面临的风险。

另外，也有很多企业IT技术人员编制并不充裕，即使有意去做IT风险管理，也会在执行上带来较多的风险。

陈扬昀坦言，这些因素都大大增加了企业IT风险管理的难度。

IT服务提供商面临机会

凡事都有两面性，虽然经济环境恶化，导致企业业务发展相对放缓，不过陈扬昀表示，这也为企业重新思考IT风险管理道路提供了时间和机遇，使企业可以有时间好好审视公司的内外环境，综合考虑各种因素，从而找到一条适合自己的风险管理之路。

在目前的环境下，很多企业的预算都有缩减，但预算的减少对企业IT风险管理来说，未必是一件坏事。从另一个方面来说，预算减少可以促使企业对IT风险管理实现“从量到质”的调整，企业会更注重管理所取得的成果，也会潜心研究如何在最少的预算基础上，如何为企业带来最大的价值，从而达到少花钱、多办事的目的。

现在的经济形势可能会对一些IT风险管理产品线的发展带来影响，但也会推动另外一些机会的发展，比如外包服务的发展。因为在企业预算比较多的情况下，更多的是考虑请人、买产品、上方案等，这些比较直接的方式；但现在钱比较少，如果还想做很多事情的话，就会选择一些外包服务。对此，陈扬昀非常乐观，他说：“当前形势对外包服务提供商来说是一个机会；对企业用户来说，进行IT外包服务，也是一个少花钱、多办事的有效方式。”

建立完善的安全监视与响应机制

在谈到企业IT风险管理的具体实施策略时，陈扬昀表示，建立完善的安全监视与响应机制十分必要，只有这样企业才能及时发现存在的风险，并以最快的速度解决风险，保障企业业务的有序进行。

他说，企业建立完善的风险监视与响应机制，可参考COSO内控框架分成五步进行。

1、设计企业的风险控制架构——这需要综合考虑公司的内部环境，员工的诚信和道德价值观，管理层的理念和经营风格，公司的组织架构、权限、职责分配、人力资源政策及程序等多种因素，然后结合这些因素设计出合理的风险控制架构。

2、对公司进行风险评估——只有进行风险评估，找到企业可能存在风险及其表现形式与产生根源，管理层才能针对目标风险采取必要的措施进行管理。进行风险评估的前提条件是设立目标，它是内部控制得以实施的先决条件。在设立目标之后，再识别与设立目标相关的风险，评估被识别风险的后果和可能性，然后再针对风险结果，考虑适当的控制活动。

3、采取控制活动——控制活动是为确保风险控制目标的实现，而建立的政策、程序与相关技术手段，简单来说就是企业内部风险控制流程与工具的建设。它包括一系列不同的活动，如批准、授权、查证、核对、职责分工以及技术手段的部署等。上述控制活动贯穿于企业的所有层次和部门，目的是通过这些措施与技术手段规范企业人员的行为，提升企业抗风险的能力。

4、保持信息沟通——在风险监视与响应的框架内，风险控制的工作不能凭一两个部门或人员的能力就能完成，需要在企业内部形成全力。因此，信息能否及时、有效、准确地被相关人员获得并理解成了风险监控与响应框架中的重要一环。企业需要在企业内部建设有效的信息渠道，让信息有效地在企业内部上行、下行与并行流动。最终使企业的所有人员明白各自在控制活动中的职责与任务。此外，企业还需要与企业外部的利益相关者建立良好的信息沟通渠道，以影响企业内部的风险管理框架。

5、监督——在ITILV3中有这样一句话“如果你不去测量它，你就不要去管理它”，这句话指出了管理体系中测量与监督的重要性。无论是哪种管理系统通过一定时期运行后，就必需要通过持续的监控行为、独立的评审来评估控制活动的有效性。一旦发现内部控制的缺陷，就应分析缺陷，提出整改建议，使各项制度规章不断得到完善和补充。

陈扬昀强调说：“企业需要将安全监控与响应机制提到企业风险管理或信息安全管理的高度去看待，将安全监视与响应的目标与企业的经营目标相关联，从管理角度出发，建立企业安全策略与企业安全流程，继而采用相应的技术手段加以实现。”

内外兼修、善假于物

当笔者问到“如何让企业在IT风险管理过程中实现‘少花钱多办事’的宗旨？”这个问题时，陈扬昀道出了他的心得：“内外兼修、善假于物”。

所谓“内外兼修”，他表示，这是指企业在进行IT风险管理的过程中，知已知彼很重要。既要对企业自己内部的安全性进行评估，也要对企业可能暴露在外部的风险有较好的认识，对风险进行充分的评估与评级，明确管理的效果与成本，以及不管理的风险与代价，知道要管理的是什么样的风险与安全，然后针对这些风险采取有效的解决方案。

除了做到“内外兼修”，还应当“善假于物”。对此，陈扬昀解释说，IT风险与安全涉及面太广，企业凭借一己之力，很难独善其身，所以要做好外部专家的引用，以及有效的工具部署与服务外包。对于一些必需要做，但规模效应比较明显，且不属企业核心竞争力的工作，可以通过外包的方式来降低自身开展的成本，如灾备系统、数据中心运营、管理、咨询等。GDS万国数据的信息安全管理体系（认证）咨询，就能帮助企业梳理信息资产、评估安全风险、建立整体安全策略与运营机制、提升人员安全意识，为后续的技术手段提供帮助。

另外，他还提到要勇于创新，一些新技术的应用与尝试，如虚拟化、绿色技术等的应用也是帮助企业节省成本，达到少花钱多办事这一目标的有效手段。

企业IT风险应该警钟长鸣

在采访结束前，陈扬昀总结道“企业IT风险应该警钟长鸣”。结合自己丰富的项目实践经验，他为企业建设IT风险管理体系提出了两条建议：

1、在IT风险管理项目的实施过程中，企业管理层的认知很重要。所以，项目实施负责人要用数据说话，以好的展示方式，让领导知道IT风险管理的重要性。
2、在业务连续性项目实施的过程中，要明确业务连续性项目的关键不是灾备系统的部署，而是从管理角度出发整体规划并积累最佳实践，从政策、流程、意识、职责等方面下功夫，定期评估、适时演练，这样才能全面提升企业的业务连续能力，为企业的基业长青保驾护航。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友