大型组织机构如何在信息高速流动、海量增长和网络化的情况下做好信息的风险管理？如今，传统的边界安全已无法实现对流动信息全方位的有效的信息防护。
　　在象征着安全与开放的长城脚下，EMC公司执行副总裁、EMC信息安全事业部RSA全球总裁亚瑟·科维洛（Arthur W·Coviello）就“信息风险管理为业务创新加速”这一话题，发表了对当前信息安全的形势和发展趋势的看法。
　　亚瑟·科维洛提出，信息风险管理是目前国际上公认的信息安全防护主流趋势，信息是业务流程和制度创新的中心。因此，有效管理信息相关的风险至关重要。信息风险管理是以信息为中心的战略，它提供了最有效的手段以识别、评估和减轻信息在其整个生命周期暴露出来的风险。信息风险管理追踪着信息在其整个生命周期被创建、分发、存储、复制、转化及交互的路径。这个“路径”提供了一个整体的观点，在此基础上企业可以制定一个全面的降低信息风险的战略。
　　信息风险管理理应成为业务创新的“加速器”，而非业务创新的“绊脚石”。CIO对于信息风险管理的态度可分为三个层次，即“恐惧－遵从－与业务挂钩”。曾经一度，CIO对信息安全心存恐惧，认为信息安全意味着灾难，及对业务发展的阻碍。摩托罗拉副总裁兼首席安全官比尔·邦尼表示：“通常，在大多数全球组织中，安全问题最多被认为是一种不可避免的灾难，更常见的是被认为是一项必要的摩擦。在这种情况下，安全措施把重点放在了预防负面事件发生的约束行为上，安全从业者成为阻碍业务创新的人。当法规遵从成为强制时，CIO往往迫于法规遵从的压力而实施相应的安全措施。”
　　与IDC近日联合进行的一项调查表明，对于法规遵从的恐惧依然是CIO重视信息安全的主要驱动力。未来，CIO应正视信息风险管理对业务的促进作用，并采取积极主动的态度。根据业届知名的调研公司的报告，2001年，全球信息安全支出总额占IT投资的比例为1.5％，大概是150亿美元。到了2006年，这一比例上升到3.0％，约为350亿美元。预计到2009年将提高到5.0％，高达550亿美元。可见，企业对于信息安全的投入正在大幅度增加，尽管这样，但实际上企业的整体安全感并没有得到相应提高。企业IT环境看上去风平浪静，实则危机四伏。
　　信息安全贯穿于信息资产和信息系统的整个生命周期，而威胁的来源则多样化，可能来自于内部破坏、外部攻击、人为疏忽以及自然危害等，风险意味着潜在的损失，如果企业能够有效了解、管理和控制风险，则可化腐朽为神奇，为业务创新带来巨大的回报。调查表明，如果在受到攻击时，企业已采取了基本的安全控制，那么87%的破坏都是可以避免的。毫无疑问，在适宜的整体环境下，更全面的信息风险管理将带来更多的商业价值。在安全性足够高的信息保障下，企业的核心业务资产也以一种恰当的方式得到了保护。同时，企业可藉此部署可重复性解决方案——可满足企业多方面需求的方案，弃用功能有限的局部解决方案，即传统的“头痛医脚，脚痛医脚”的做法。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。