|
电子商务把企业的数据和业务流程放置于「橱窗」当中展示。根据我们的经验,企业只须把项目成本的5%
用于监控方面,便可大幅度地减低项目超出原定范围的风险。在过去五年,全球化的浪潮汹涌澎湃,很多企业使用了不同的IT系统支持业务流程。另外,业务精简和外判亦导致传统的业务监控模式濒临瓦解。
|
|
电子商务和互联网的不断普及对IT的应用范围产生了巨大影响,这导致企业更加难以掌握和解决内部系统方面的问题,也无法有效实施高效和自动化的监控措施和流程。虽然电子技术、业务流程和工作方法的发展一日千里,但企业仍沿用着传统的IT基础设施和系统,在此情形下,企业在维持高效和适当的监控措施方面所面对的挑战将更形严峻。
|
|
业务系统的监控包括审核、风险管理、监控和支持企业业务流程的任何IT系统的安全工作。
|
|
效益
|
|
完善的业务监控分析可以为企业带来下列裨益: |
|
协助制订有效的监控措施,从而节省营运成本和减低纠正错误所需的费用; |
|
减低因监控不善而导致企业价值受损的风险; |
|
制定措施以尽量提高集成系统投资项目的效益; |
|
确保企业设立所需的系统和业务流程,以充分把握电子商务所带来的机遇。
|
|
我们的专业人员擅于采用各种全球公认的工作方法和工具,并对各个主要系统的解决方案
(包括SAP、JDEdwards
、Oracle和PeopleSoft)
,特别是它们的监控和安全方面的特征了如指掌,能够在协助客户审阅和实施监控解决方案的过程中,提供有的放矢和具体务实的建议。我们能够在客户构建电子商务模式和制定「业务扩展」方案的过程中提供协助,使客户能够摆脱传统监控模式所带来的制肘,并制订适当的监控措施以便客户能充分享受新科技所带来的好处。 |
|
|
|
数据中心
|
|
数据中心是企业IT
操作的心脏。因此,企业必须高度重视对数据中心的保护,在发生任何足以影响数据中心操作的转变时,有效地控制风险。我们信息风险管理可就以下几个方面提供协助:
|
|
搬迁、合并、扩充
|
|
对数据中心的要求应随着企业的发展而改变。如果某一企业正考虑搬迁数据中心、把规模较小的数据中心并入规模较大的中心或扩充现有的中心,该企业便应掌握并控制这些活动所可能产生的固有风险。我们信息风险管理服务能够协助企业找出风险所在;制定变革计划以协助管理风险;在变革过程中提供协助以确保把服务中断的情况减至最低;协助制定数据中心变革计划、政策和程序,以便在日后的变革中加以应用以改善业务经营情况。 |
|
|
|
修复及复原
|
|
如果某一企业依赖IT基础设施进行日常操作,该企业便需要确保自身免受紧急事故和故障影响。IT
设施具备适当的复原能力后,即使发生规模较小的事故,例如局部停机、拒绝服务攻击,或突发性设施维修,也能够使该企业的客户所受到的影响减到最低。
|
|
虽然,在操作系统加入修复及复原功能价值不菲,而且需要投入大量时间,但这对企业来说已不再是可有可无。正因为修复及复原功能的投资庞大,企业更应确保制定适当的解决方案。修复能力欠佳、复原表现差固然令人失望,但把资源投入花巧或过度复杂的解决方案同样不智。企业在确定方案时的一个主要决策因素,便是要了解企业数据中心在目前及在企业策略性计划改变后所形成的风险矩阵。通过对修复、复原和冗余能力进行有效的风险评估,以界定在不同情况下的风险,企业便能够设计出适当和有助业务发展的修复和复原解决方案。 |
|
我们信息风险管理服务能够通过操作风险分析,协助企业建立适当的系统和网络冗余,并制定切合需要的修复策略。 |
|
|
|
数据中心的安全
|
|
目前企业对加强互联网连接管理,和保障内部系统与数据免受来自互联网的攻击这两方面都十分关注。然而,在保障互联网安全的同时,内部實體和逻辑保安也不容忽视。在恶意攻击企业内部系统和擅自取览机密数据得手的个案中,超过三分之二在企业内设施发生。其中,近半数来自电脑中心。在實體保安方面,企业应妥善地对人员进入数据中心和电脑室楼层实施监控。员工必须了解有关的政策、程序和安全要求。在逻辑保安方面,企业应谨慎地计划、设计和实施逻辑系统监控措施,以配合明确分工、提供监察记录和在提高安全水平的同时避免影响有效的操作。企业应为實體和逻辑接入监控措施制定计划,这样,即使系统和电脑方面的要求有变,企业也能够把重新制定监控措施的工作减到最低。
|
|
我们信息风险管理服务能够协助客户分析数据中心现行的安全程序、监控措施和方法,以找出可以改进及
/ 或可以改变的地方。我们还可根据风险分析,协助客户制定和实施适当的保安程序,并更新数据中心的保安政策。 |
|
|
|
环境
|
|
电脑设施的實體环境与安全、复原和修复有着密切的联系,因此它对确保电脑系统可在风险最低的情况下运作发挥着重大的作用。实施适当的环境监控措施,并采用正确的环境参数对大中小型企业同样重要。
|
|
在绝大部分企业,尽管核心电脑设备可享有专用设施,但一些外围或部门专用的小型伺服器往往便无此优待。虽然,这样做有其必要,也无可厚非,但如果伺服器和基础设备处在受监控的数据中心环境之外,企业便应了解由此而产生的风险,并将这些风险减到最低。我们风险管理服务能够协助企业评估并把放置在不同地点的电脑基础设备的环境风险减到最低。 |
|
就数据中心而言,企业除了要采用环境监控措施外,还要考虑监控措施的类型是否合适和措施本身存在的风险。举例来说,虽然企业已安装了灭火系统并定期进行测试,但灭火系统的启动也会对电脑室的员工和所有系统构成风险
--
不论他们是否导致灭火系统启动的原因。因此,未能对灭火系统进行适当的间隔、使用了不适当的灭火系统及触动灭火系统后可能对环境造成的破坏等都是企业必须充分了解的因素。企业应因此制定相应的计划、作业程序和监控措施。同样地,企业也必须周详地考虑空调系统、湿度、供电系统、不停电电源装置系统、导管及电缆铺设情况、建筑物位址及实质存取限制等所构成的风险。我们信息风险管理服务部能协助客户评估风险,并根据客户机构的固定和可变风险情况,优化各项程序、政策和未来的数据中心策略。 |
|
|
.gif)
.gif){kind=small}
