新巴塞爾協定帶動風險管理需求

風險管理（Risk Management）談了很多年，臺灣企業多在法令規範下被動進行，究竟哪些企業具有風險管理需求？金融業是目前需求最高的一個行業，因為新巴賽爾協定（Basel II）即將在2006年底實施，臺灣金管會規定所有金控都必須符合這項標準，使得金融業成為不得不做的一群，也帶動金融業設立專職風險管理部門的風潮。

政府單位也會是風險管理先期導入者
除了因受國際金融體系規範的金融業外，對資安與管理要求較高的企業對風險管理需求也會增加，像是已經導入或取得BS7799／ISO17799認證的企業，在制定安全政策與工作流程規範同時，就需要進行風險評估與管理，導入或通過認證後還需要定期稽查審核，像是電信業或高科技製造就屬於這個族群。而政府機關在負責資訊安全的「國家資通安全會報」規範下，所有A級的政府單位或重要資訊系統，都要在去年底前通過BS7799的認證，因此政府機關也會是風險管理先期採用者。

反觀美國，在歷經911與Katrina颶風等天災人禍之後，聯邦、地方政府及大型企業開始設立專門的風險管理部門，開始由專業團隊負責風險管理，找出弱點並制定管理政策，評估與預測未來風險後制定應對計畫，在遭遇風險時才能確實施行救援，提高組織在天災人禍時的應變能力，這也是風險管理的主要目的。

風險管理服務多由顧問公司主導
不同產業在風險管理上有不同需求，多由顧問管理公司提供不同層面的顧問管理服務，提供企業客製化的政策與流程制定建議，並提供後續的稽核與審查服務。包括甲骨文、SAS、CA等商軟大廠都有提供風險管理解決方案，Summit System則是針對金融業的市場風險，以符合新巴賽爾協定規範，臺灣的客戶有遠東商銀。去年CA則是與Unisys、HDS、宏碁以及勤業眾信顧問管理合作，提供結合身分及存取管理（IAM)提供營運風險(Operation Risk)方案。

此外，也有不少產品打出協助企業資安管理以符合法規規範，像是一些政策管理、弱點評估、安全防禦的資安產品。賽門鐵克剛推出政策遵循自動化工具Symantec Enterprise Security Manager（EMS）6.5，賽門鐵克北亞區技術總監王岳忠表示，除了與顧問公司合作，結合顧問服務外，具有定期進行風險稽核需求的企業也可使用EMS。文⊙高雅欣