当把风险这个词和IT联系到一起时，人们首先想到的通常是：一些来自第三世界的黑客侵入了企业的网络并窃取敏感的客户信息到黑市上交易；或者是一个含有大量交易记录、信用卡号等信息的手提电脑遗失或者被盗了。这类事情一旦发生通常就是颇受关注的重大新闻。

　　上述这两个例子只是综合风险管理策略涵盖领域的一小部分。然而，和任何其他的商业动机一样，一个风险管理策略会反映出业务上的优先度区分，很可能一些企业会选择某些部分纳入到整体的风险管理规划中，而有意忽略或推迟其他部分。这些主要取决于特定企业更重视哪些方面。

　　虽然本文中不涵盖云计算相关的内容，但是其在IT领域内的日渐流行可能会导致当前风险管理策略的调整。如果你的企业要开发新的风险管理策略或者要对已有策略进行调整，不能忽略云计算这个新兴趋势。

　　备份机制决定了风险管理的质量

　　对任何企业来说，良好的备份机制都是整体风险管理策略中不可或缺的一部分，尽管具体方法可能各有不同。没有对关键业务信息的备份作为基础，系统恢复是不可能实现的。据统计90%遭受关键数据丢失的公司都会在两年内受到很大影响。

　　考虑到备份软件的功能实现和涵盖范围的多样性 – 从“安装代理并备份到Mozy”到各种完善的内部备份选项 -- 其已成为一个不可忽视的风险管理项。

　　可是单单作备份是不够的。企业需要对备份质量和完备性进行日常地测试。备份工作需要严格的检测和监督，否则经常出现恶性事件。我曾经工作过的一个企业就因为6个月没有对财务系统进行合格地备份而解雇了整个IT团队。

　　下列几项和备份有关的事宜必须包含在风险管理策略中：

• 备份频率，对每类受保护数据的分类保存。
• 短期和长期的备份恢复目标。
• 备份流程，质量检测的频率和过程
• 备份地点 – 异地保存。

　　数据和网络安全

　　由于数据需要能从各种地点进行访问，所以数据安全具有非常重要的意义。员工可能有意或无意地在移动设备上存储了大量的数据，然后设备却丢失或被盗了。这是风险管理规划所涵盖的一个方面，必须在安全性和可用性之间进行协调。为了保护数据完整性愿意在多大程度上降低用户所拥有的灵活性？

　　数据安全措施由企业相关政策和所采用的技术手段共同组成。技术应该用来保证下列必须包含在风险管理策略中的政策：

• 限定敏感数据访问权限的控制机制，比如用户识别信息。
• 限定数据可以存放的设备的政策（包括行政和技术措施）。比如是否允许用户将数据存放在闪存之类的可移动存储上？
• 如果移动设备允许存放数据，则规定信息加密的政策和技术手段，比如整个磁盘和移动存储设备的加密。

　　另外还要注意企业的密码策略，包括密码期限和复杂度，还有用户账号的失效标准。

　　从可移动性的角度可以考虑诸如虚拟桌面架构（保证所有信息都存放在数据中心内部）之类的新技术，并且经常性地进行网络安全测试以评估脆弱性。

　　本文是本系列的上半部分中，分析了备份机制如何决定风险管理的质量，并就数据和网络安全做了探讨，在本文的下部分中将涉及物理安全和业务连续性和高可用性，并提供了风险管理的一些参考资源。