在成本最优的前提下满足风险管理的需要 (1)

　　然而，风险管理是一个系统性的工作。一般来说，一套完整的IT风险管理方法包括以下4个步骤。

　　步骤1：确定业务需求。对整个企业内所有涉及合规性、可用性、安全性和业务连续性的业务流程和应用的要求进行评估。衡量停机对各业务应用与流程的影响。

　　步骤2：评估风险等级。对可用性、安全性与持续性进行全面且深入的评估，以确定风险领域，制定保护IT环境、改善IT服务的策略。将企业目前现行的实践与“最佳信息技术基础设施信息库(ITIL)”推荐的最佳实践进行比较，了解差距，根据业务影响确定风险等级。

　　步骤3：设计与实施解决方案。将需求转化为切实可行的技术与服务解决方案，其中包括存储、数据库、应用、系统、网络和环境基础设施等。制定持续性服务改进计划。

　　步骤4：监控、管理与发展。制定IT服务管理政策，建立培训机制，采用最佳实践调整人员与优化流程。在业务发展过程中，对持续性与可用性计划进行再评估、监控、审计与测试。

　　通过以上4步骤，完整考虑企业IT风险管理的需求及其实现方式，可以帮助企业更准确地估计业务保护的成本，从而确保企业的投资水平在成本最优的前提下满足风险管理的需要。

　　美国大企业每年的IT停机成本占其收入的3.6%，其中制造企业的停机成本在收入中所占比例为9%，金融服务机构则高达16%。

上一页  [1] [2] [3]