1. 了解风险

    Enterprise Management Associates(EMA)的安全专家暨研究主管Scott Crawford指出，IT管理不当可能会造成营运风险。知道那些风险为何，是管理它们的第一步。面对日益普遍的内部威胁，应该透过控制与身分识别管理系统的方式应付。

　　2. 将IT风险管理视为营运上的投资

    Crawford表示，将IT风险与营运需求进行整合，能协助企业适切地分配资源给所必须管理的那些风险。

　　3. 定期重新评估风险

    周期性地重新进行风险与管控评估，应该是所有企业IT管控策略中的一部份，而不是当问题发生时才实施。不过，假如你的管控失效的话，你应该再重新衡量你的风险管理策略，就像法国兴业银行所发生的情况那样。

　　4. 运用适当且值得信赖的管控机制

    即便企业IT有了管控，假如方式错误或不足，在管理风险上，仍旧有很大的风险会遇上麻烦。Crawford建议，企业应部署适当的管控，并且只授权给适当的人存取系统，而后再进行监控与持续地重新评估。

　　5. 法规遵循不等同于安全

    系统与数据的保护需求可能会督促你遵循法规，但是遵循法规却不必然能让你安全无虞。假如你的控制能够满足管理上的要求，但是却不能降低风险，那么它们仍是不能满足需求的。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。