身为企业的首席信息官，如何正确而客观地评估风险承受能力是CIO们的一项重要工作，这也是正式风险管理方法中的第一步，也是最重要的任务之一。而风险管理的很多方面都可以是复杂的，但风险偏好则完全相反。但在它的核心，其内涵就是一些企业更愿意承担风险，而其他的一些企业则不愿意承担风险。

 

　　云计算风险偏好

 

　　组织的“风险偏好”工作方式与之相同。一家企业可能愿意承受某种风险但在其他风险方面则显得更为谨慎。另外，即便是同一种类的风险中，在某一方面的承受能力也是存在着较大差异的。

 

　　云计算是这些领域中的一个：云计算相对较新，并具有一些可影响风险的独特属性。因为云计算技术是在快速发展着的，而新的威胁也在不断涌现；随着云计算监管重点的不断扩大，了解企业在该特定领域中的承受程度是较为有利的。

 

　　评估云计算风险承受能力

 

　　在企业中有无数的文化、法规以及业务等具体因素将影响企业的风险偏好，并且也会因此影响企业实施云计算。如果一家企业已经实施了风险管理工作，那么就几乎可以肯定这些因素已经经过评估并已形成了相应文档。在这些基础之上开展进一步的工作将节省重复基础工作的时间。如果你的企业从未进行过任何系统的或正式的风险管理，那么这种评价工作就变得具有挑战性了。你将需要对更广范围的风险输入企业的承受能力，但是这些可用于借鉴的文档可能并不存在。因此，你将需要完成充分的工作以便于能够告知你的活动，但是需要指出的是，充分评估每一个领域或获得主管级授权可能并不容易。

 

　　你需要了解你自己的技术战略。你是否会计划把你的大部分业务转移至云计算？你是否计划以非常有限的方法有选择性地使用云计算？这种性质的问题将影响你的企业将愿意承担云计算风险的数量，特别是在第一步中所分析的文化因素。因为，非常明显的攻击可能会削弱企业长期实施云计算的信心，从而危及你的长期战略。

 

　　人才和技术能够支持你按期望推出待评估的云计算。例如，企业的其他方面的（例如合规性、法律和审计）是否有助于风险评估、威胁监测、持续运行、供应商审批等等？你是否可以使用技术策略以标记威胁、脆弱性以及其他存在的风险？如果你明确地了解随着时间推移你跟踪、管理和应对这些风险的能力，那么你就可能能够容忍更高等级的风险。一旦你已经评估了这些领域，那么下一步就是正式记录你的云计算风险偏好。这就意味着，将其形成书面文字并传达给企业。