IT风险管理：游走在虚假与真实之间

　　赛门铁克提出的首要建议就是确认和处置安全风险是居于IT风险管理中的首要任务。它建议说，安全只是企业风险管理的一个因素，还应该包括诸如稳定性，性能还有兼容性等各个方面。如果对其中某个因素的不重视将导致其它关键区域安全风险的暴露。

　　赛门铁克揭露的另外一个错误认识就是将IT风险评估仅仅作为心血来潮的行为。该公司确信仅仅将IT风险评估作为一劳永逸的话将导致严重的后果。IT风险管理应该包括实时的风险评估。报告中提出了几种实时的风险评估方法，诸如利用典型事件英引起公司员工的注意，企业的管理者在平时的谈话中涉及到安全问题。

　　该公司谈到的第三个误解就是单靠技术就足以解决安全问题。研究注意到，虽然技术起着至关重要的作用，然而控制和框架在确保完美的风险管理方面依然是不可或缺的。

　　赛门铁克揭示的最后一个广为误解的观念就是IT风险管理是一门科学。实际上，企业的管理人员应该将风险管理视作商业程序，报告解释说由于操作风险管理，商业管理和程序革新原则之间的相互影响导致这一领域扩展了商业管理和科学的研究范围。

　　报告总结

　　赛门铁克确信IT风险管理在关注结构提升的同时，还应对员工培训和安全文化上做足功夫。企业的管理人员不应该将风险管理仅仅视作是简单的防御任务，他们需要确认风险，成本和控制。

　　从另一个角度来说，从IT风险管理中的得到的好处将大大超出由此而付出的努力。“IT风险管理原则和实践将会有助于保持IT服务业的弹性，适应性，并且能够保证与实时变化的商业大环境保持一致，还有，IT风险管理提高你在应对风险评估时的自信，利用IT提高企业竞争力。“

　　诚如报告中最后总结到，有效的IT风险管理不仅仅保护企业的信息安全，同样也开启了企业战略管理之路。