正確而客觀地評估風(fēng)險承受能力(即“風(fēng)險偏好”)是正式風(fēng)險管理方法中的第一步，也是最重要的任務(wù)之一。風(fēng)險管理的很多方面都可以是復(fù)雜的，而風(fēng)險偏好則完全相反。但在它的核心，其內(nèi)涵就是一些企業(yè)更愿意承擔(dān)風(fēng)險，而其他的一些企業(yè)則不愿意承擔(dān)風(fēng)險。

[[240800]]

云計算風(fēng)險偏好是什么?

組織的“風(fēng)險偏好”工作方式與之相同。一家企業(yè)可能愿意承受某種風(fēng)險(比方說業(yè)務(wù)風(fēng)險)但在其他風(fēng)險方面則顯得更為謹(jǐn)慎(例如，技術(shù)風(fēng)險)。另外，即便是同一種類的風(fēng)險中，在某一方面的承受能力也是存在著較大差異的。例如，一家企業(yè)可能會不重視與雇員桌面使用相關(guān)的風(fēng)險，但在涉及付款或財務(wù)系統(tǒng)就會變得非常謹(jǐn)慎。

從操作實際看，這就意味著某一個組織相對孤立地評估分析承受程度是比較有利的——具體而言就是，具有獨特需求的領(lǐng)域是新的、或之前還未被評估過、或是新興市場或者正在迅速變化。孤立地評估這些因素將會導(dǎo)致發(fā)生兩件事情。首先，它允許“非周期”風(fēng)險管理(其中包括分析和緩解)而無需重新評估無所不在的風(fēng)險——這是一個潛在費時且可能需要不斷重復(fù)的活動。其次，它允許靈活性，因為相對不成熟的技術(shù)可能會隨著威脅出現(xiàn)和支持技術(shù)的成熟而快速發(fā)展。

云計算是這些領(lǐng)域中的一個：云計算相對較新(至少在很多企業(yè)中它還處于應(yīng)用實施階段)，并具有一些可影響風(fēng)險的獨特屬性(我們將在一篇相關(guān)文章中詳細(xì)討論這些屬性中的部分)。因為云計算技術(shù)是在快速發(fā)展著的，而新的威脅也在不斷涌現(xiàn);隨著云計算監(jiān)管重點的不斷擴大，了解企業(yè)在該特定領(lǐng)域中的承受程度是較為有利的。這種對企業(yè)關(guān)于特定云計算風(fēng)險承受程度的集中了解就是我們所謂的“云計算風(fēng)險偏好”。

評估云計算風(fēng)險承受能力

那么，一家企業(yè)應(yīng)當(dāng)如何評估其云計算風(fēng)險偏好呢?有幾個因素需要考慮。第一個也是最重要的因素是考慮企業(yè)業(yè)務(wù)、財務(wù)以及技術(shù)方面的風(fēng)險偏好，這是因為這些方面的因素將影響企業(yè)的文化和整體目標(biāo)。在企業(yè)中有無數(shù)的文化、法規(guī)以及業(yè)務(wù)等具體因素將影響企業(yè)的風(fēng)險偏好，并且也會因此影響企業(yè)實施云計算。如果一家企業(yè)已經(jīng)實施了風(fēng)險管理工作，那么就幾乎可以肯定這些因素已經(jīng)經(jīng)過評估并已形成了相應(yīng)文檔。在這些基礎(chǔ)之上開展進(jìn)一步的工作將節(jié)省重復(fù)基礎(chǔ)工作的時間。

如果你的企業(yè)從未進(jìn)行過任何系統(tǒng)的或正式的風(fēng)險管理，那么這種評價工作就變得具有挑戰(zhàn)性了。你將需要對更廣范圍的風(fēng)險輸入企業(yè)的承受能力，但是這些可用于借鑒的文檔可能并不存在。因此，你將需要完成充分的工作以便于能夠告知你的活動，但是需要指出的是，充分評估每一個領(lǐng)域或獲得主管級授權(quán)可能并不容易。

其次，你將需要了解你自己的技術(shù)戰(zhàn)略。你是否會計劃把你的大部分業(yè)務(wù)轉(zhuǎn)移至云計算?你是否計劃以非常有限的方法有選擇性地使用云計算?這種性質(zhì)的問題將影響你的企業(yè)將愿意承擔(dān)云計算風(fēng)險的數(shù)量，特別是在第一步中所分析的文化因素。例如，如果你下大注在云計算將其作為長期戰(zhàn)略但你的企業(yè)文化卻是以外部意見為重，那么你反而可能會不太愿意承受短期內(nèi)的云計算風(fēng)險。這是為什么呢?因為，非常明顯的攻擊可能會削弱企業(yè)長期實施云計算的信心，從而危及你的長期戰(zhàn)略。

最后，人才和技術(shù)能夠支持你按期望推出待評估的云計算。例如，企業(yè)的其他方面的(例如合規(guī)性、法律和審計)是否有助于風(fēng)險評估、威脅監(jiān)測、持續(xù)運行、供應(yīng)商審批等等?你是否可以使用技術(shù)策略以標(biāo)記威脅、脆弱性以及其他存在的風(fēng)險?如果你明確地了解隨著時間推移你跟蹤、管理和應(yīng)對這些風(fēng)險的能力，那么你就可能能夠容忍更高等級的風(fēng)險。

一旦你已經(jīng)評估了這些領(lǐng)域，那么下一步就是正式記錄你的云計算風(fēng)險偏好。這就意味著，將其形成書面文字并傳達(dá)給企業(yè)。在書面文字上正式形成將有助于確保所有方面都是經(jīng)過深思熟慮和審核的，并幫助企業(yè)其他方面的組織行為能夠與你的決定保持一致。如果他們閱讀你關(guān)于風(fēng)險承受程度是如何低以及其原因的報告，那么他們就不會冒然實施不合適的云計算部署。