1、信息与服务的风险管理：挑战与应对

信息与服务的风险管理：挑战与应对

一、风险管理的背景与现状

在当今数字化时代，信息已成为组织的命脉。首席信息官（CIOs）、首席信息安全官（CISOs）、首席风险官（CROs）等相关人员面临着信息管理/信息技术（IM/IT）风险的挑战。这些风险不仅涉及信息安全，还包括服务交付和责任承担两个关键方面。CIO们需要在服务交付和责任之间找到平衡，任何一方的过度倾斜都可能导致失败，甚至是灾难性的后果。

人类从离开树木走向现代社会就一直在进行风险管理，但如今的风险环境已变得极为复杂。以一个拥有4000台设备的中型网络为例，每个工作日会产生约69亿个电子事件，我们很难判断哪些事件会对组织产生积极或消极的影响。而且，随着互联网的发展，我们进入了一个被称为“机器”的全球网络时代，它带来了便捷的同时也带来了巨大的风险。

在网络空间中，我们面临着来自全球的威胁。网络犯罪活动猖獗，犯罪分子企图窃取金钱、信息和其他有价值的东西，全球信息市场规模高达数万亿美元。然而，目前许多组织对网络风险存在误解，大多数高管往往在遭受攻击后才制定应对计划，这种被动反应不仅损害了声誉，还增加了成本。例如，Ponemon研究所的数据显示，涉及信用卡的安全漏洞事件的平均成本从2005年的450万美元上升到2009年的665万美元，更不用说知识产权被盗造成的巨大损失。

二、组织层面风险管理的问题

在组织层面，风险管理存在诸多问题。目前，大多数组织的风险管理缺乏规范化，企业风险管理（ERM）通常仅在董事会或高管层面进行战略决策时实施，且主要关注与投资相关的回报风险，而忽视了运营风险。实际上，运营失败可能会导致重大损失。

IM/IT相关的风险管理更为分散。我们在网络空间