《如何为企业准备好风险管控的“降落伞”?.doc》由会员分享,可在线阅读,更多相关《如何为企业准备好风险管控的“降落伞”?.doc(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、如何为企业准备好风险管控的“降落伞”?如今,越来越多人开始关心自己的信息数据是否安全,这种所谓的公众信任属性对于那些希望能做“百年企业”的组织而言非常重要。企业内部形成有效的信息安全风险管理体系,就如同为公众提供了保障,对于企业的声誉和资产来讲,这将带来质的提升。信息化时代,一方面,大量商业企业正加速数字化变革,另一方面,信息资产的爆炸性增长,也给别有用心的人或组织打开了窃取信息的方便之门。据国外某专业机构的保守估计,至2019 年,各类信息安全犯罪可能会造成全球企业共约 20 万亿美元的损失。虽然,大部分企业管理者都意识到信息安全风险的重要性,但对于高级管理层、执行官和董事成员而言,了解信息
2、安全风险的敞口往往比较表面和被动。即便如此,信息安全风险的管理也已然成为他们“信托责任”的一部分,他们必须勤勉尽职地确保企业的信息安全风险时刻处于可控范围之内,否则企业的利益相关方和监管机构可能会找他们麻烦。中大咨询也从最近投资和并购的市场趋势中发现,越来越多的投资者青睐于信息安全服务软件和顾问服务提供商。我们预计,未来短期内,各个信息安全保险商、信息安全顾问,和信息安全专员,将深入他们对于信息安全风险评估工作,以便提升企业信息安全风险的管控。把信息安全风险“当回事”信息安全风险事件一旦发生,其风险影响程度将难以预估,可能令企业蒙受重大的经济损失甚至声誉受损。企业如果希望保持自己的竞争优势,就
3、需要采取新思维,把信息安全风险的管控第一道防线从 IT 部门上移到董事会。具有前瞻性的企业,已经通过指派董事成员主持信息资产保护的项目。而某一些跨国企业(例如美亚保险,通用汽车和富国银行)甚至在董事会中增加信息安全专家虽然这并非是公司治理法规的强制要求。可见,在信息安全风险敞口日益扩大的今天,没有任何一个董事会能推卸信息安全风险管控的责任。自上而下的风险管理被认为是最有效的方法。即便企业在董事会成员的组成上,还尚未包含信息安全专家,但为信息安全负责人在董事会上保留一个席位,增加他的“出镜率” ,并在每次会议上为他提供发言时间,长此以往,可将信息安全风险深入高层思维,各项与信息安全风险相关的管控
4、工作才能得以在企业内部顺利开展。准备好风险管控的“降落伞”保险销售领域有这样一个经典案例“在飞机上,降落伞是要在平时备好的。一旦发生意外却没有降落伞,那你以后也不再需要降落伞了。 ”信息安全风险也如此,企业需要准备好风险管控的“降落伞” 。在企业风控领域, “降落伞”的准备,有赖于董事成员与企业信息安全负责人的充分沟通。首先,我们建议董事成员与企业的信息安全负责人沟通“用于防控信息安全风险的资源和预算足够与否”的事宜。通常来讲,信息安全负责人会提出“他们需要更多的资源来应对特定的信息安全管控”的要求,并描述他们对未来行业监管政策方面的变化预期。接下来,我们建议董事会成员还可以与信息安全负责人探
5、讨如下问题:“影响企业信息安全管控的潜在因素有哪些?” “在设计一个信息安全风险管控体系时,如何考虑不会延缓业务运作?”“你是怎么确保那些没有存储在我们企业服务器的数据是安全的,如物联网和云?”“我们如何确保能洞察并走在新监管要求的前面?”“谁作为企业信息安全风险的最终责任人?”“你在评估信息安全风险时是运用了何种风险评估机制的?”通过这样的沟通和讨论,管理者将在战略目标、成本预算等方面,准确把控企业的信息安全风控管理。给信息安全风险“打上价码”大多数企业管理者认为信息安全风险的管控花费不菲,虽然他们知道付出是有回报的,长远来看,回报可谓物超所值,但他们还是会希望能实现投入和产出的量化。因此,
6、企业的信息安全负责人需要重新从商业角度衡量信息安全风控的价值定期向董事会成员汇报:与信息安全相关投入的效益分析,信息安全事故的修复效率,信息安全风险管控有效性保证的公告等,想必这能够让董事会成员放心并得到他们的持续支持。如今,越来越多人开始关心自己的信息数据是否安全,这种所谓的公众信任属性对于那些希望能做“百年企业”的组织而言非常重要。企业内部形成有效的信息安全风险管理体系,就如同为公众提供了保障,对于企业的声誉和资产来讲,这将带来质的提升。做好信息安全风险管控,既能防范风险事件带来的负面冲击,亦能助力企业品牌形象和顾客信任度提升,何乐而不为呢?本文来源:中大商业评论 作者:范伟贤 如有异议,联系删除