企业运营如海上行船，任何一个不谨慎的运作失误都会造成不可挽回的灾难。所以，企业在面对资金的流向时更是要充分对其进行必要的风险评估和风险控制，力图为自身营造一种赢利的 IT环境。

信息化为运营商保驾护航

信息化的最终目的是辅助运营商执行正确的决策，降低运营风险，增加收入。因此，为了进一步将信息技术的作用最大化，建立健全的决策分析机制、风险控制机制以及收入保障机制就显得必不可少。

在经历了一场电信业的阳春三月后，今天综观全球的电信市场，似乎又回落到了一种相对放缓的增长态势，大多的运营商都进入了稳步增长期。但是就国内来看，3G的风雨欲来，又点起了电信产业飞速发展的星星之火。

3G到来最直接带来的就是业务量空前的增长，这些业务可能会变化，可能会整合，所以以后产品的需求会非常大。从整个企业管理的结构来看，运营商一定要在一种保护伞———企业风险管理方跟方法论的框架之下。简而言之，就是业务越多，摊子越大，风险控制越重要。因为任何一个企业都不愿做肉包打狗的蠢事。

这就要求运营商建立起一个适合自身特点的完整的信息安全管理体系，不仅仅是IT，而且必须跟其他所有管理体系，包括SOX法案等等宣布涵在里面的内容。当然核心还是要以风险评估为基准。所以做信息安全体系，关键是要明确运营商在想什么，为什么做信息安全体系。

否则对企业就没有任何帮助。

信息化也需量力而行

虽然风险评估和风险控制对企业很重要，但也不是面面俱到就是好。挪威船级社技术总监孟庆麟曾经举过一个类似玩笑的例子：“如果今天只是做一个农场，这个农场只是养小猪的话，那么信息安全还需要考量吗？”显然不用。但是要是像“ 9.11”那样的情况就要令当别论了。那么运营商也是如此，并不是所有的业务都要用到风险评估和风险控制，因为企业做的一切都是为了赢利，这是永恒不变的真理。但是风险控制是要花费很大成本的。所以对业务的分级管理就很重要，对重要的、不能断档的业务要进行相应的风险控制；而那些次要的、一般的业务就可以减少这方面的投入，甚至于极个别的业务根本就无须投入。

运营商要从整体来看为什么做风险控制，所以选择什么样的管理工具至关重要。如果在企业里面已经有了 14000 、18000 ，那还需要一味地上 BS7799 吗？这样会造成成本的浪费，是一种独立性管理系统的风险。因此，辩证地看待信息安全管理体系和风险控制是运营商构造赢利环境的重中之重。

赢利：信息化建设的目的

信息化的建设最重要的还是需要最高管理层的支持。如果管理层的领导者博学素养很好，而且懂IT技术的核心思想，那么，这对企业的风险控制会起到事半功倍的作用。

再有就是BIA。即使是运营体系做得很好的企业也要定期地考察其核心业务流怎么样，投资回报率如何。看看他们是在哪些核心业务的主流层面，或者哪些应用流程是未来关键流程。这也是关系到风险控制是否有效和运营商是否赢利的关键因素。

随着市场日趋的变幻莫测和IT技术的飞速发展，风险评估和风险控制越来越变得至关重要。企业在面对各种复杂环境的同时更应该注重风险控制产生的效果，为自己营造赢利的IT环境。(if002)