信息是企业的命脉，有价值的企业数据可供员工、业务伙伴和承包商通过本地、云计算和虚拟环境来访问， 提供对非公开重要信息的即时访问。但是，员工经常在未经允许的情况下加载第三方软件或者应用程序到他们的笔记本和智能手机上，并且这些设备都被连接到企业网络和数据存储中。

　　“信息无处不在”带来便利和创造商业价值的同时，也带来风险。虽然企业想要支持设备、软件和应用程序使员工能够顺利完成工作，但企业也必须非常仔细地监督和管理与使用这些信息和IT有关的业务风险。

　　针对信息无处不在的解决方案就是信息安全无处不在，但是这是不切实际且无法实现的。企业需要确定什么时候便利会导致很大的风险以及应该怎样做来限制风险。这是一个很大的挑战，特别当你考虑到大多数企业都不能回答这个简单的问题，“我们企业现在的信息风险是什么?”

　　根据IT Policy Compliance Group关于与信息使用和IT资源有关的企业风险的研究显示，政策合规只有8%的企业可以确定目前企业的信息风险情况。此外，2%的企业根本无法回答这个问题，或者9个月或9个月以上才能给出答案，70%的企业不能在3个月内回答这个问题，20%需要一个星期到三个月。定义不清的企业风险、不适当的信息收集、装备不良的报告系统和非优先控制都是导致这些不合理延误的原因。

　　合理分配优先级别

　　IT Policy Compliance Group发现在企业为迎接信息无处不在的挑战而做的充足准备与定义和管理企业风险之间存在明显差异。与使用IT资源有关的风险最低的企业能够马上回答其企业目前的信息风险情况，因为他们部署了正确的企业流程、控制和报告系统。

　　这些企业通常是从上自下来定义业务风险，然后再确定其优先次序。风险主要来自日常业务职能的执行，它们包括管理现金、采购风险、帐号安全、信用风险、法律风险、市场集中风险、监管风险、竞争风险、声誉风险和操作风险。

　　最成功的企业会利用多个部门和职能的技能来定义和管理与使用IT资源有关的业务风险。更多利益相关者的参与能够帮助企业优先考虑外部压力、业务风险，确定与使用信息和IT资源有关的核心企业风险，并使用报告系统来更好地监控、管理和平衡政策、风险、异常和控制的平衡。

　　关于IT控制和操作流程，业务风险最低的企业通常部署了几个独特的做法。几乎有四分之三的企业会定期对敏感信息资产进行分类，并根据对关键信息的访问权来确定IT资产，几乎有三分之二会对敏感信息的存储位置进行存档，检测或预防敏感信息的泄漏，并使用信息安全控制来保护敏感信息。

　　此外，IT Policy Compliance Group还发现，企业间选择评估的风险和控制比率也十分不同。风险和控制的评估的间隔时间以及运行时间都与最终结果有直接的关系，业务风险最低的企业部署了最频繁的风险和控制评估，并且在评估(每周到每两个月)间的运行之间也很短，而频率是每季度或者间隔更长的企业则风险最高。