企業需要進行風險治理

風險是指尚未發生但可能發生的問題，這些問題最終或多或少會造成業務的損失。此處所說的“風險”，特指因IT系統相關問題可能造成的業務損失。比如：

• IT系統中存放的業務數據被惡意盜取致使客戶個人隱私數據泄露，這將使企業面對客戶流失、輿論危機、法律責任和巨額罰款。
• IT系統因無法承載突發的業務流量而癱瘓，又因缺乏基礎的災備恢復機制致使整個業務長時間中斷，這將使企業遭受巨大的業務損失和后續的客戶流失。
• 經過第三方認證機構評定，IT系統不符合行業基礎安全標準，商務合作伙伴認為該企業存在較大的潛在風險，決定終止商務合作。

對于業務需重度依賴IT系統的企業，如游戲、在線教育、直播、電商等，IT風險治理就更加重要，否則可能就要遭受企業收益和名譽的雙重損失，嚴重時甚至需要承擔法律責任。

企業面對的風險

企業面對的風險環境非常復雜和嚴峻。在企業內部，IT運維操作或突發的業務高峰均可能帶來風險。在企業外部，來自第三方審計機構的測評或來自外網的惡意攻擊也可能使企業陷入困境。尤其當企業從云下遷移上云的過程中，面對IT框架、網絡架構、數據處理方式的變化，使風險進一步擴大。企業可從以下幾個方面排查上云過程中可能存在的風險：

• 業務風險：一切可能對業務收益造成損失的潛在問題，比如數據泄露、服務中斷、成本溢出等。
• 合規風險：因無法獲得第三方合規機構的資質認證，導致企業無法與合作伙伴完成商務合同，或無法繼續維持企業運營的資質。
• 流程風險：因企業內部管理流程的缺失，使管理決策和管理基線難以被強制執行和實時監督。

風險治理的工作思路

企業應配備專門的團隊（或人員）負責風險治理的工作。風險治理團隊應站在管理者的角度考慮整個企業的風險治理決策，輸出清晰的風險定義、風險治理策略、治理策略的實施制度，并建立一定的監管流程來監督策略的實施，確保風險治理的可監督、可強制。

風險治理團隊要充分采納一線業務團隊和運維團隊的風險提案，再從戰略上判斷是否要形成對應的風險決策、風險治理策略，從上而下地實施治理監管。實施過程中，應與一線業務團隊和運維團隊緊密合作，共同協定業務風險的評估機制、風險治理的實施辦法和效果SLA（Service-level Agreement）。

風險治理是在與一線業務團隊和運維團隊達成共識并充分協作的前提下不斷迭代升級的，是一項長期的工作。

風險治理的步驟

• 風險識別&評估：充分考察企業在每個階段面對的潛在風險，并通過量化風險可能造成的損失來評定風險等級，針對不同的風險等級制定不同程度的治理決策。
• 治理策略：將治理決策轉化為治理策略，治理策略是可被系統化實現的規則，在實際的工作中對于IT管理行為能起到禁止或告警的作用。
• 持續監督：成熟的企業會追求用技術手段落地管理決策，阿里云平臺也提供了相應的服務能力。云上系統化的治理可以分為如下兩部分：
  • 事前攔截：可以通過啟用阿里云的安全防護產品主動防御惡意攻擊，還可以通過管控策略（Control Policy）默認禁止某些管控行為和變更的發生
  • 事后發現：可以基于阿里云配置審計（Cloud Config）服務設置對資源配置的檢測條目，及時發現違規資源的出現并及時修正。