“2009 IT风险管理”之道.doc

“ 2009 IT 风险管理”之道 随着 IT 技术的发展，全球越来越多的企业正在逐步完善业务流程及信息处理，将其从人工操作转移到 IT 平台上来。 由于微软的 Windows 操作系统有着易于使用、成本较低等特性，许多企业已经或者正在把 Windows 作为主要的业务流程和信息处理平台。从边界服务器到内部网络，从企业总部到各分支机构，企业中存在着大量使用 Windows 操作系统的服务器和客户端。 但是，随着 Windows 作为主流平台的广泛使用，也随之出现了层出不穷的安全威胁。而当金融风暴汹涌来袭，全球企业的生存环境发生了剧烈的变化。包括敏感数据、客户信息以及公司基础设施等都面临着日益严峻的 IT 风险，而在经济动荡时期，企业更加无法承受自身安全所带来的问题。 所以，如何在目前这个非常时期，严格控制有可能发生的隐患，对企业进行有效的 IT 风险管理，是所有企业都必须直面的问题。 对此，畅享网走访了国际信息系统审计和控制协会 (ISACA)北京事务委员会主席及微软大中华区信息安全总监 何迪生先生，请他 来深入剖析现今“ IT 风险管理之道”。 多角度认知 IT 风险 何迪生有着多重身份： 国际信息系统审计和控制协会 (ISACA)北京事务委员会主席、信息系统安全协会 (ISSA)香港分会总裁、中国信息化推进联盟 (CFIP) -信息安全专业委员会 (ISA) 副主任、 -业务持续管理专业委员会 (BCM)高级顾问、微软大中华区信息安全总监。复杂的身份帮助他从不同的角度去思考 IT 风险管理的问题，因此也就对 IT 风险管理有了更加全景的认知。 谈到 IT 风险管理，首先需要了解威胁是什么 ?今天有哪些威胁 ?未来又会有哪些威 胁 ? 对企业来说，任何安全技术和手段所要保护的核心内容都是数据，目的也是为了企业正常网络业务的运转。在此基础上，何迪生解释说：从企业外部来看，IT 风险一直在不断加剧。对于企业 IT 系统的恶意攻击也在变得越来越复杂，有越来越多的方法可以对 IT 系统进行攻击。同时，威胁已经不仅仅单纯来自于企业外部，更多来自企业内部的威胁已经变的越发严重。 在开放的网络环境中开展业务，至少面对四大挑战：第一，内部身份认证的安全性 ;第二，有组织犯罪的威胁 ;第三，各种来自于网络的内外部攻击 ;第四，各种软硬件的安全漏洞。 从业 务角度来看，在上个世纪 8