怎样才能做好IT资产管理

当前，企业面临的五大IT威胁包括了恶意软件感染、安全漏洞、违规 *** 作，以及针对邮箱帐户的网络钓鱼。而物联网技术的普及也会破坏现有的IT风险管理机制。

在技术公司MetricStream对20个行业的120多家企业展开的全球调查中发现，近一半（44%）的大型企业认为未来三年物联网（IoT）技术在干扰IT风险管理项目方面具有相当大的隐患。

由于可连网设备大量普及，各个网络连接设备的管理程序并不统一，许多管理员在做物联网设备的管理架构时很容易忽视物联网的互通、完整以及安全协作层面的考量。

此外，除了简单的可见性之外，连接设备的软件开发混乱状态可能是最大的具体安全问题，不仅一些设备开始不安全，即使制造商发布补丁的缺陷，也可能难以分发和应用于有组织的方式 许多人根本不修补，因为正在进行的软件开发根本不在特定类型的设备的预算中。

虽然一般来说，IT GRC访问控制解决方案可以通过自动化工作流程，及时提供风险情报来指导决策，来增加网络防护能力。但政策、培训计划和信息治理框架都同样重要。

因此，要防范此前美国信用评级机构Equifax遭受到的网络攻击，显然要企业拥有全面、灵活的IT风险管理策略才能应对。具体可以展开以下策略：

1、对于这些新兴的联网设备，哪些位置需要安全控制，以及如何部署有效地控制。鉴于这些设备的多样性，企业将需要进行自定义风险评估，以发现有哪些风险以及如何控制这些风险。

2、企业必须能够识别IoT设备上的合法和恶意流量模式，并快速了解如何快速修复IoT设备漏洞以及如何优先排序漏洞修复工作。

3、企业还应该隔离IoT设备到vLAN或独立的网段进行有效监管。

以上由物联传媒整理提供，如有侵权联系删除

一个风险评估与排序的实用模型

摘 要

本文阐述了一个基于简单数学模型的实用且简便的风险评估与排序方法

什么是风险

风险即是以下三个要素发生的机会:

威胁--事件或行为，一般来自系统外部，可能在某些地方会影响固有的弱点，造成影响

弱点--系统内部考虑之中的弱点，可能在某些地方受到威胁所利用

影响--短期与长期组织影响，威胁碰巧利用弱点

由于要求一个或更多的不预测的威胁与弱点的巧合，负面影响发生的可能性是很难确定的一个系统可能很长一段时间运行有弱点(的程序)而未受影响，直到一些实际的威胁存在或利用它在给定的时间筐架内一些威胁可能比另一些威胁更可能发生(例如:简单的键盘错误比中断更易发生)类似的，一些弱点可能只在短期内存在(如:当保安从运钞车进入金库时)而别的可能会长期存在(如:银行金库警报系统没有覆盖所有入口点)影响的变化也很大:有些可能使整个组织或系统置于严重的危险之中(如火灾)；有些可能会对整体来说无关重要

保险公司也许有能力去计算某种威胁与弱点存在的可能性并预测可能受到影响的程序，但是，这也是不严密的--或许艺术性多于科学承保人赌其涵盖了所有风险:尽管给定的事件是不可预测的，但在一定时期的多数事件发生的可能性可以很大的可信度估计，大部分是基于早期的经验尽管如此，这种手段仍存在着两个重要的问题一些极度影响事件(如你的首席行政长官遭遇雷击)是很少发生以至人类的本性倾向于忽略这类事件，因此，承保人发现很难以理想的价格去销售相应政策进一步，新的条件导入新的风险，但经验不足甚至使他们预测更困难高技术主题的电子商务变化得非常快以至IT专家也要尽力跟起而不致落后承保人在风险方面做得不比猜测多

威胁与弱点的特定组合也许仅仅偶尔存在("坏运气")，十分显然，几乎没有弱点与/或威胁的系统就不大可能长期受到影响另一方面，一个脆弱的系统，一个具有许多大的潜在影响(的系统)更有可能遭到毁坏，这是风险管理的基本点，它本身是任何一个组织完好管理中的重要元素

管理者一般通过引导通缉资源转向风险缓和的活动如设置合适的控制框架，来寻求减少弱点、威胁与影响。

一个简易风险模型的来源

管理企业远远超过无风险活动。的确，承受可接受的风险（有些可能导致破产）能取得利润。正确管理的关键是知道缓和哪种风险以及何时把握机会。这就是为什么对风险有个良好的认识的重要这所在。在这里，提供一个简单的类数学模型以助计量风险。考虑风险的性质，你将得到如下的公式:

风险=威胁+弱点+影响

表面上看，该公式意味着具有高威胁、弱点或影响的系统是高风险的系统。尽管如此，是威胁与弱点的组合造成影响的存在。而对组织的破坏的程度依赖于一个事件的发生与影响的促使。用数学语言来说，逻辑与计算需要乘积而不是和，如:

风险=威胁弱点影响

包含至少两个重要因素（如:高威胁与弱点）的组合能产生比仅具较低或中等水平因素组合更高的风险。任何一个因素降为零风险将降得更大。

计算风险

为了使用模型去计算风险，你得检查与计量各单独组成要素（威胁、弱点与影响）。

最简单的方法是将这三个要素分成高（3分），中（2分），低（1分）或零（0分）。产生的风险分值在0 至27之间。作为替代，你也许宁愿用一个持续的百分数尺。如:

0% 25% 50% 75% 100% 受雷击

+- ---------- -+- ---------- -+- ---------- -+- ---------- -+ 的威胁

人受雷击 建筑物受雷击 被静电击死

使用百分数尺能得到的最大风险计分是1,000,000（100100100）。因而能为组织确定风险提供足够的详细（情况）。不论什么量度，过程是一样的。我们比较与对比风险因素，寻求一个企业价值合理延伸。一具厌风险管理者比喜风险管理者更可能估价风险，但是价值延伸应当更广泛地比较。正是这延伸赋予模型其真实的能量，允许我们去给风险排序。

实践中应用风险模型

本模型在实践环节中有许多效用，如风险评估与审计计划程序:

这个过程有两个重要的输出:一个风险排列（对组织管理者是有用的）与相匹配的排列过的审计计划（构造内部或与外部审计师工作）。“定期涮新”提供反映变化的风险因素分值更新的机会，如内部控制环境（养活弱点）的提高或新的市场压力（增加威胁）。

这个程序的理论基础使得计划审计工作与组织风险间的联系更清楚。

类似地，项目风险也能利用该模型评估以形成基本的项目风险管理。项目威胁依靠于项目的性质，但典型的包括政治、经济、社会与技术方面（被称为PEST分析）弱点包括不合适技能，刺激机制，财务或别的资源限制等。项目失败影响一般分为:

过多成本

推迟完成

顾客满意度低

该模型也能被用来联系这些因素与风险是否重要的建议，形成一个管理活动日程。风险计算应当随着取得新信息在项目过程中更新。

IT资产管理和传统的资产管理从逻辑上是一样的，但是IT资产和传统的企业资产管理最重要的区别是它的实时性。所以在管理方式上可以采用非常先进的技术，而且这些变化可以自动触发。企业的资产管理通常是由财务部门管理的，而业务需求决定了IT资产管理必须由IT部门进行管理。两者的着眼点是不同的，造成许多管理上问题，通过实施IT资产管理，可以降低开支，提高IT生产率和服务水平，同时能降低风险，提高IT透明度。

随着政府信息化和电子政务建设，政府部门的IT资产管理已经显得非常重要，管好和用好原用的设备和软件，提高IT管理人员的工作效率，做好库存管理、节省能源，是决定政府采购多少新IT设备等的依据。

金融行业对信息化系统的安全和稳定性要求很高，需要对所有信息化资产的型号、控制面板、连接及运行情况等进行全面的监控，实现IT资产的自动化、科学化管理，让IT资产创造最大使用价值。

电信行业是高技术含量的行业，由于电信IT资产的“巨大”，因此，精确的资产知识和问责制对于确保优化IT支出至关重要。需要了解有哪些资产、资产现在在哪里、如何使用它、以及如不再使用这一资产，如何从账目中勾销以健全成本控制等这些是非常必要的。与这些成本相关的是软件许可和续订，如果系统已被整合或已部署虚拟化技术，那么软件许可证也应该合并，提供另一种成本节约。

如何做好IT资产管理，是摆在信息主管CIO面前必须要解决的难题。IT资产管理跨越政府或企业的若干个部门，需要政府或企业高层领导的支持，无论是资金、还是高素质的工作人员、以及相关部门之间的协调等，都需要花费CIO大量的时间和精力。通过大量的实践摸索和调研讨论，提出政府或企业IT资产管理解决方案，该方案能够全面、实时收集到政府或企业IT设备的数据，而且能够提供多种形式的报告，确保领导和IT管理人员能够从不同的角度了解资产状况，及时响应上级和其他部门各种各样的报告要求，实现资产管理流程自动化，有效提高控制和投资回报，同时确保法规遵从。

IT资产管理是从资产生命周期管理来实施的，包括现有的网络设备、服务器、PC机、笔记本和打印机等，IT设备的库存情况，设备维修、借租、设备的折旧年限、报废等等；已经使用的正版软件，升级、维保等，摸清设备库存情况和软件的使用情况，在购买新设备和软件时，能更好地做出适当的决定，帮助政府或企业减少浪费。

因此，做好IT资产管理，我们首先必须要使用各种软件管理工具，随时掌握政府或企业目前使用的软硬件等情况，形成一个完整的IT资产库。IT资产管理工具可以帮助政府或企业从成本、合约、支持以及库存等多个角度，管理整个IT资产库。它为资产管理提供了强有力的技术平台，利用工具软件的信息获取功能，IT资产管理员可以清楚地知道，安装在服务器或客户端PC上的硬件信息、软件类型和版本，包括手动安装的软件。跟踪与用户名、部门、资产清单等有关的许可信息，依据用户的信息进行管理。

其次“管理＋IT”：实现IT资产管理变革，政府或企业IT管理部门可以“总体规划，结合流程，分步实施”，借助IT技术实现IT资产管理。对所有类型的IT资产进行跟踪。记录IT资产的需求、配置、调换、分级以及最终报废的历史情况，提供IT资产的生命周期管理，为成本管理提供完整的IT资产数据。

随着ITIL等最佳实践框架被广泛地运用到IT服务质量控制体系，资产管理已经成为支撑IT运营的一个关键组件。同时，IT架构的调整又给资产管理带来新一轮利好。在CMDB（配置管理数据库）IT管理新核心的地位得以确立后，资产管理与服务管理、配置管理、策略管理一起，成为紧紧包裹CMDB内核的关键模块。

目前看来，政府、电信、金融、教育等行业的IT服务管理应用较为广泛，其相应的解决方案、运维工具也最为成熟，成为国内标志性的IT服务管理成功行业。广通信达目前在政府、电信、金融等行业都投入了大量的精力，其主要客户也来自于这些行业。广通是通过做政府行业的IT运维服务起家的，因此在政府行业的成功经验也帮助广通在发展过程中赢得了更多的政府用户，同时广通也开始涉足电信、金融都高技术含量的领域，凭借广通BroadviewIT运维方案的深厚技术底蕴，不断开拓进取，赢得了电信、金融用户。

广通对于不同行业会制定不同的解决方案，选择产品和实施方案也会根据具体用户的需求和IT架构来进行，实现政府或企业的IT资产管理。根据资源管理核心需求，广通Broadview资产管理功能对设备资产、网络布线、组织结构、IP资源、设备上网和撒网等进行有效管控，管理人员可轻松提高日常运维的有序性。网络管理系统的资产管理功能，从设备的采购，入网，到维护直至最后的报废都有完整的记录过程，是全生命周期的IT资产管理，能充分保证IT投资的利用最大化。

广通自主研发的IT运维管理平台，以网络资源监控、资源管理、服务流程管理为三大业务方向的IT运维管理，将会为一如既往地服务好各行业用户，提供最佳的资源监控、服务管理实践，做国产IT运维管理的第一品牌。

项目的风险无非体现在以下四个方面：需求、技术、成本和进度，而IT项目管理中时主要会遇到风险：包括技术风险、管理风险对项目产生影响的不确定因素。

IT项目管理从某种意义上讲，就是风险管理。因此IT企业在进行项目管理的过程中，必须采用适合自己的风险管理方法进行风险管理，并且确保软件项目在规定的预算和期限内完成项目。

以上就是关于如何应对物联网会破坏IT风险管理全部的内容，包括:如何应对物联网会破坏IT风险管理、IT项目风险评估的方法、怎样才能做好IT资产管理等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！