調查：流程管控風險高於技術管控

因應全球企業對於IT依賴日深，在此同時，企業在安全性、可用性、效能以及法規遵循的風險也日漸升高，資安公司賽門鐵克則推出該公司耗時1年所做的第一份IT風險管理報告（Symantec IT Risk Management Report）。賽門鐵克表示，企業可以參考相關的控制措施與標竿企業，作為提升自我對IT風險的敏感度。

賽門鐵克這一份IT風險管理報告，主要是針對CXO等級的管理階層所做的IT風險管理報告，耗時1年橫跨全球37個產業別，總計收集528份涵蓋各種IT風險量化的報告結果，並強調end-to-end的訊息交流，綜合包括Basel II、沙賓法案、COBIT、ITIL及ISO 17799等各種安全相關規範，以及結合賽門鐵克自身的顧問服務經驗，提出一套可供企業判定、管理IT風險的準則，並提出一套有效的整治計畫。

賽門鐵克大中華區資訊科技治理與風險管理資深首席顧問曹如瑋表示，隨著今年臺灣將正式實施Basel II（實施信用風險標準法及基礎內部平等法FIRB法），全球包含臺灣在內的大型企業在2007年，對於IT風險的敏感度將大為提升。「此次由賽門鐵克推出的IT風險管理報告，可說是一份企業IT健檢報告，」曹如瑋說，可藉此提供企業辨識IT風險，以及技術與流程控管的遵循標準。

若與國內會計顧問公司提供的風險管理報告相較，由於賽門鐵克本身具有完整的資安解決方案（除了身分認證之外），長期提供企業用戶在網路、流程等相關技術與諮詢服務，「因其能夠碰觸到客戶的底層技術，深入到企業的IT環境，讓賽門鐵克提出的16項IT風險管理的流程與技術控制選項，成為企業在IT風險管理上很好的參考指標。」曹如瑋說。此外，她指出，有33%的企業在技術控管有效性方面表現傑出，另有25%的組織在流程控管有效性方面表現優越，這也意味著多數企業對於IT技術的掌控度優於企業的流程管理。也因此，企業的IT風險來自於企業流程管理的比例較高。

包含IT與安全策略管理、政策及架構，身分認證、授權與存取管理，資安事端準備與回應在內的8項流程控管項目中，以資產盤點、分類與管理管控有效性最差。「只有38％的受訪企業，在這方面有超過75％的有效性，」曹如瑋說，如果資產無法適當分類，將可能導致企業對其保護太過或不足，將使得IT風險無法有效被管理。

雖然多數企業對於技術控管掌控度較高，「但組態與變更管理仍是8項技術控管項目中，企業掌控有效度表現較差的項目之一，」曹如瑋表示，組態設定與變更管理可以了解企業IT資產的設定與效能等級，企業可以據此中斷相關服務或提升傳輸量，若管理不當，將可能會導致系統升級不順或無法面對新興威脅。

因應IT風險管理報告出爐，臺灣賽門鐵克也於年前大幅增加法規遵循部門的成員。曹如瑋表示，在國外賽門鐵克有3,300人提供諮詢顧問相關服務，臺灣新增的諮詢顧問成員將針對中、港、臺企業需求做集體調度。她說，透過這一份報告企業可以參考相關強化與相關矯正措施，但每一個產業在應用與需求上也有不同，未來賽門鐵克將不排除推出不同產業別的IT風險管理報告。

在該份報告中，賽門鐵克也將各項目中表現名列前25％的企業視為標竿企業（Best-in-Class），透過了解IT風險的組合、排序，描繪組織的風險概況，並發展出一套有效的整治（Remediation）計畫，臺灣企業可以效法標竿企業全方位管理手法與策略，也可以透過線上網站www.informplan.com/inform/login進行自我評量（benchmark），可與參與評量的企業進一步做比較。文⊙黃彥棻