在本文的上半部分中，分析了备份机制如何决定风险管理的质量，并就数据和网络安全做了探讨，在本文的下部分中将涉及物理安全和业务连续性和高可用性，并提供了风险管理的一些参考资源。

　　物理安全风险

　　物理安全是风险管理策略中不可或缺的一部分，通常包含以下方面：

• 对于诸如数据中心和中介通讯集线器等关键设备的访问控制。
• 对关键设备所在环境进行监控。比如，数据中心是否备有灭火系统以保护设备和人身安全？数据中心是否有对温度和湿度进行监测的系统？

　　物理安全控制对于风险管理策略的其他方面来说也是必需的，比如决定谁有权操作磁带或其他备份设备，以及谁对移动设备具有控制权。

　　业务连续性和高可用性

　　火灾、自然灾害以及其他重大事故对于企业的打击是毁灭性的。为了确保业务地正常运转，许多企业制定了复杂的业务连续性规划，以细致的步骤和举措来维持或恢复运营。由于如今技术在企业运营中承担的重要角色，确保IT资产的正常运转是业务连续性和可用性策略的重中之重。

　　高可用性是整体风险管理策略的一部分，通常包括下列举措：构建群集式的服务、对存储设备的RAID划分、迁移到基于VMware的全冗余架构。在更高一级是建设一个备份的数据中心，以便当主数据中心故障时承接服务。

　　如今在软件方面已经包含了大量的高可用实现，包括前面提到的群集服务和基于VMware的高可用方案，此外还有如微软Exchange 2010的高可用数据库群集（Database Availability Groups）之类的技术。

　　风险管理的参考资源

　　如果你正在筹划整体风险管理策略，可以参考下列资源来确定所需涉及的事宜、人员和方法：

• 美国国家标准暨技术学会（NIST）发布的《信息技术系统风险管理指南》（Risk Management Guide for Information Technology Systems）
• 赛门铁克公司发布的《IT风险管理报告》（IT Risk Management Report）
• Continuity Central（http://www.continuitycentral.com/）发布的《高效IT风险管理》（Effective IT Risk Management）