评估风险智商

　　以公司应对顾客资料泄密的风险智商为例。记住，风险智商的高低是相对的，它表现的是公司对某一风险相比较其他风险的把握程度。

　　以下是评估风险智商的五个要素：

　　1.IT和业务部门的同事处理顾客资料隐私投诉的频率如何？他们是否经常和顾客、供应商、合作伙伴就此问题进行沟通？一周内有几次？

　　某欧洲公司就采用交叉核对的方法进行风险评估。如果收到很多部门汇报同样的风险，公司会在那些没有汇报此类风险的部门中进行核查。该举措的目的不仅是为了捕捉部门经理没有注意到的风险，同时也是为了评估部门之间的差异。同样地，金融领域的IT主管可以就顾客满意度与其他公司进行比较，这让他们知道自己能否比同行更全面地把握顾客隐私方面的风险。

　　如果你认为公司对此类风险有更多认识，打2分。如果每周对该风险的认识的加深程度一般，打1分。如果你对此类风险没认识，而是对其他风险有更多认识，打0分。

　　2.你的经历能告诉你多少与可能影响风险的因素相关的信息？假如你同时面对两种现象：在有顾客参与的复杂过程中，经常出现个人隐私受侵犯的情况；在没有顾客接触的复杂过程中，此类隐私泄露事件发生不频繁。这表明过程的复杂性不大可能是该过程出现隐私泄露的原因，而顾客接触则很可能是原因所在。

　　当然，如果公司经历过隐私泄露或类似事件，相关人员就清楚此类事件是不是大部分都发生在与顾客接触的情况下。问题就在于给你提供最大损失预测结果的主管是否了解这一事实。

　　这个问题其实是在问，你的经验能否帮你分清风险影响因素的主次，进而专注于主要因素。为了准确进行此项评估，你需要梳理自己的经验：哪些能帮助你100%确定某因素导致了隐私泄露，哪些能帮助你100%确定其他因素与隐私侵犯无关。如果对于些类风险，你有更多经验做出这样的判断，打2分。如果与其他风险相比只是一般，打1分。如果你对其他风险的经验更多，打0分。

　　3.这些经历传递了多少意外信息？隐私泄露事件发生得越出乎意外，越能说明这是由哪些因素导致的。换言之，事非常态，就越要多加注意。

　　例如，一个财务软件的小供应商曾向客户发出电子邮件，提醒有安全漏洞。不料顾客投诉反而增多了。其信息安全团队发现黑客给顾客发出了类似的邮件，在邮件中建议顾客使用新的产品设置方法，结果降低了顾客资料的保密性。

　　影响关键控件的流程变化会削弱顾客资料的安全程度，这不新鲜。而把一个本应由公司内两个部门合作完成的流程变化交给顾客实施，竟然如此危险，这是你始料未及的。你的典型经验能否在这一风险中发现更多意外信息，该信息的多少就是打分依据，同上，依次为2、1、0分。

　　4.信息源有多广泛？评估你的团队是否参与了各种能帮助判断顾客隐私泄露风险的活动。例如，你是否访问了许多数据处理网站？你是否有朋友在其他公司负责类似工作，而他们处理顾客资料的方式有所不同？

　　这个问题关注的是信息源的多样性。经常面对同一信息源的资料，你不会有什么新发现。当然该问题的关键还在于，你对这一风险的认识角度是否比其他风险多。同上，依次为2、1、0分。

　　5.你是否把这些经历中学到的东西进行了系统的总结?新的情况中，你有所学；与合作伙伴、发展商、顾客、其他IT团队的交流也是如此。你是否都予以记录？例如，你是否记录了哪些风险控制项目成功了，哪些失败了？

　　这不仅仅关系到你的记忆或公司的记忆水平，更能促进更出色的业务表现，尤其是当你是跟大型执行团队一起工作的时候。同时，这也记录了你的认识随市场的新信息不断提高的过程。同上，依次为2、1、0分。

　　接下来，根据风险智商的打分情况，对公司的主要信息安全风险进行排序。对那些你最不擅长评估的风险，要配备更多资源。

　　当然，如果是进行随机项目的风险评估，结论就正好相反。按照常规逻辑，我们一定会选择对其风险最有把握的项目。而在这里我们要强调的是，对于既定项目我们无法选择风险，因此必须寻求以最合理的方法来分配资源，以达到控制风险的目的。