對(duì)于CIO和CSO們來(lái)說(shuō)，除了幫助企業(yè)確定信息化實(shí)施的規(guī)范、流程以及相關(guān)技術(shù)，另一項(xiàng)重大的挑戰(zhàn)在于對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)做出準(zhǔn)確的評(píng)估。不過(guò)，測(cè)定企業(yè)風(fēng)險(xiǎn)承受能力與企業(yè)內(nèi)部管理政策息息相關(guān)，根據(jù)不同企業(yè)的實(shí)際需求，具體的執(zhí)行辦法也要做出相應(yīng)調(diào)整。

在風(fēng)險(xiǎn)評(píng)估的過(guò)程中，CIO和CSO們一定要想清楚下面的問(wèn)題：

◆如何確定一個(gè)企業(yè)的安全和風(fēng)險(xiǎn)標(biāo)準(zhǔn)?

◆如何制定有效的風(fēng)險(xiǎn)對(duì)策?

◆應(yīng)該由誰(shuí)來(lái)為企業(yè)的風(fēng)險(xiǎn)承擔(dān)水平做出權(quán)威評(píng)定?

隨著這三個(gè)問(wèn)題的解決，企業(yè)風(fēng)險(xiǎn)承受能力的測(cè)定也就迎刃而解。

如何測(cè)定企業(yè)的風(fēng)險(xiǎn)承受能力

每個(gè)企業(yè)和機(jī)構(gòu)都有自已的風(fēng)險(xiǎn)管理方法，有的風(fēng)險(xiǎn)用明文規(guī)定來(lái)規(guī)避，有的則靠員工自覺(jué)遵守來(lái)保障，而有一部分則是介于安全和風(fēng)險(xiǎn)之間的，因?yàn)闋?zhēng)議所以很難明確規(guī)避。為了有效地界定安全和風(fēng)險(xiǎn)，CIO和CSO們首先需要明確本單位應(yīng)該遵循哪種解決方案。

一個(gè)成熟的企業(yè)風(fēng)險(xiǎn)管理(簡(jiǎn)稱ERM)方案一定包括嚴(yán)密的風(fēng)險(xiǎn)評(píng)估及管理流程和明確的風(fēng)險(xiǎn)應(yīng)對(duì)政策，將安全隱患嚴(yán)格的分成不同的級(jí)別，將風(fēng)險(xiǎn)程度盡可能量化。即便如此，在企業(yè)中單純的ERM方案也不能將風(fēng)險(xiǎn)徹底消除。

換句話說(shuō)，如果采用非正式風(fēng)險(xiǎn)管理方法，將會(huì)讓企業(yè)的安全管理陷入無(wú)據(jù)可查、無(wú)據(jù)可依的尷尬境地。高層管理者完全憑經(jīng)驗(yàn)來(lái)判斷企業(yè)的風(fēng)險(xiǎn)程度，決定風(fēng)險(xiǎn)應(yīng)對(duì)策略會(huì)導(dǎo)致企業(yè)的安全管理流程無(wú)法統(tǒng)一，而因各異的審核標(biāo)準(zhǔn)引發(fā)更大的風(fēng)險(xiǎn)。

因此，為了將企業(yè)面臨的風(fēng)險(xiǎn)降到***，風(fēng)險(xiǎn)管理事在必行，如何去做?《IT安全必須引入風(fēng)險(xiǎn)管理的四大理由》或許能給您更多啟示。

企業(yè)風(fēng)險(xiǎn)評(píng)估的三個(gè)因素

即使是在ERM流程相當(dāng)成熟的企業(yè)中，我們?nèi)匀缓茈y有效推行風(fēng)險(xiǎn)管理機(jī)制。由于缺乏普遍通行的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，企業(yè)和機(jī)構(gòu)通常會(huì)利用以下三個(gè)因素作為衡量自身風(fēng)險(xiǎn)承受水平的依據(jù)：一、企業(yè)合規(guī)性檢查;二、企業(yè)信息化發(fā)展程度;三、企業(yè)自身在行業(yè)中的競(jìng)爭(zhēng)力。

由于不同的企業(yè)有不同的安全價(jià)值觀，CEO甚至董事會(huì)必須在企業(yè)內(nèi)部建立一套統(tǒng)一的風(fēng)險(xiǎn)評(píng)估模式，并通過(guò)執(zhí)行過(guò)程中不斷的調(diào)整使其滿足企業(yè)自身的發(fā)展需求。

【貼士】什么是合規(guī)?

“合規(guī)”一詞最早源于銀行和證券等金融機(jī)構(gòu)，從巴塞爾銀行監(jiān)管委員會(huì)關(guān)于合規(guī)風(fēng)險(xiǎn)的界定來(lái)看，銀行的合規(guī)特指遵守法律、法規(guī)、監(jiān)管規(guī)則或標(biāo)準(zhǔn)。現(xiàn)在也指企業(yè)經(jīng)營(yíng)行為應(yīng)遵循法律法規(guī)、監(jiān)管要求、市場(chǎng)規(guī)則、自律性組織制定的有關(guān)準(zhǔn)則，以及適用于企業(yè)員工的內(nèi)部行為守則。它們不僅包括那些具有法律約束力的文件，還應(yīng)包括更廣義上的誠(chéng)實(shí)廉正和公平交易的行為準(zhǔn)則，包括避免或減少利益沖突等問(wèn)題、隱私、數(shù)據(jù)保護(hù)等方面的規(guī)定。

誰(shuí)來(lái)評(píng)估風(fēng)險(xiǎn)?又該如何評(píng)估風(fēng)險(xiǎn)?

任何風(fēng)險(xiǎn)承受模式都應(yīng)該包括三大關(guān)鍵因素，而名列首位的就是建立企業(yè)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)。

首先，評(píng)估團(tuán)隊(duì)需要具備制定安全風(fēng)險(xiǎn)決策的能力，而且其成員至少要達(dá)到董事會(huì)成員或者CEO級(jí)別。在理想情況下，CIO或CSO應(yīng)該充當(dāng)企業(yè)的***道安全防線，CEO或董事會(huì)成員則緊隨其后。業(yè)務(wù)部門(mén)的管理者們應(yīng)該只能在其管轄范圍內(nèi)制定安全決策，CFO也只需負(fù)責(zé)財(cái)務(wù)工作，而CIO或CSO則應(yīng)在業(yè)務(wù)部門(mén)內(nèi)擁有安全事務(wù)掌控權(quán)。

其次，將企業(yè)依業(yè)務(wù)部門(mén)劃分為多個(gè)風(fēng)險(xiǎn)單元，先在單元內(nèi)部進(jìn)行自測(cè)。企業(yè)則從宏觀角度判斷風(fēng)險(xiǎn)是否源自某個(gè)單元，該風(fēng)險(xiǎn)是否會(huì)給整個(gè)企業(yè)或其它多個(gè)部門(mén)造成影響。

***，評(píng)估團(tuán)隊(duì)記錄并上報(bào)爭(zhēng)議問(wèn)題的處理結(jié)果，幫助各個(gè)業(yè)務(wù)部門(mén)了解風(fēng)險(xiǎn)應(yīng)該由誰(shuí)以何種方式加以解決。記錄內(nèi)容應(yīng)涵蓋風(fēng)險(xiǎn)分類結(jié)論以及企業(yè)內(nèi)部的職能權(quán)限。

總結(jié):

一把手的大力支持是風(fēng)險(xiǎn)評(píng)估機(jī)制取得成功的***步。重要的是，我們必須為每位參與者分配適當(dāng)?shù)臋?quán)限，只有這樣他們才能獲得準(zhǔn)確可靠的安全風(fēng)險(xiǎn)評(píng)估結(jié)論。

每一位成功的CIO和CSO都必須為自身所在的單位制定切實(shí)可行的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)借以提高風(fēng)險(xiǎn)承受能力，同時(shí)更應(yīng)該依靠自己的知識(shí)儲(chǔ)備讓單位風(fēng)險(xiǎn)承受能力成為企業(yè)價(jià)值觀中不可或缺的一部分。

原文鏈接：http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-?page=1