企业信息化风险与对策研究.docVIP

企业信息化风险与对策研究 近年来，企业信息化发展迅速，已成为企业经济发展的第一驱动力。然而，信息化风险也随之加大，可能给企业带来经济、法律、声誉等方面的损失。信息化风险有信息犯罪、信息化项目效果与预期不符、信息系统可用性降低几种主要类型。防范信息化风险首先要健全组织加强管理，要对信息系统进行科学评估，根据评估结果设计应对方案，要对全员进行信息安全培训，准确掌控信息化风险，才能保证信息化效果顺利实现，为企业发展增添强劲动力。 1 引言 2006—2020年国家信息化发展战略中，提出了“以信息化带动工业化、以工业化促进信息化，促进我国经济社会又好又快地发展”的指导思想。近年来，企业信息化飞速发展，2008年，国资委评出10家中央企业信息化水平为A级，这些企业信息化水平已部分达到或接近世界先进水平，信息化已成为企业经济发展的第一驱动力。 然而，从信息化这枚书写着各种辉煌的硬币正面翻到背面，我们可以看到太多的风险。据统计，我国企业信息化实施成功的比例仅为15％，实施后达不到预期效果的比例为35％，实施失败的比例达50％。比如，对于近年来在大型企业中广泛推进的信息化项目企业资源规划(Enterprie Resourse Planning，ERP)，联想公司前总裁柳传志就有“上ERP是找死，不上ERP是等死”的说法。这样高的信息化风险，可能给企业带来经济、法律、声誉，甚至政治方面的损失。 信息化风险也是围内外IT研究的一大热点，目前已制定了多种标准。比如国际上有信息及相关技术控制目标(Control objectives for Information and Rehted Technology，CobiT)、信息技术控制指南(Information Technology Control Guidelines，ITCG)等风险治理标准，围内也于2007年6月14日发布了《信息安全技术信息安全风险评估规范》。然而，不同企业对信息化风险的认识有很大差别，很多企业至今还没有建立完善的信息化风险防控机制。 本文根据作者信息化风险管理实践，结合当前国内外主要研究成果，对信息化风险的主要类型、可能的危害、建议采取的对策等方面进行了阐述。 2 风险类型 最初，对于信息化风险人们只是关注病毒、黑客攻击以及杀毒软件、防火墙等安全技术的使用。随着信息化应用的深入，人们认识到这并不仅仅是一个技术问题。目前，一般将企业信息化风险理解为由于各种不确定因素，使企业信息化结果与预期发生偏离，因而给企业造成各种损失的可能性。 产生信息化风险的原因主要有三种：信息犯罪；信息化项目效果与预期不符；对于正常运行的系统，由于意外而不可用，使企业管理陷入混乱等。 2.1 信息犯罪 实施企业信息化，首先要建设企业信息网络。如同有了公路就无法完全避免交通事故一样，在企业信息网络上也无法彻底避免信息犯罪这种风险。如果信息犯罪的发起方在企业信息网内部，企业要承担一定的法律责任；如果企业是信息犯罪的受害方，无论其来源是外部攻击还是内部员工，都会给企业造成损失。 企业可能遇到的信息犯罪种类包括：非法侵入特定计算机信息系统罪、破坏计算机信息系统罪、侵犯计算机软件著作权和假冒硬件的犯罪等。比如，因使用盗版Windows软件而受到微软起诉的案件就时有报道。 为了便于调查计算机犯罪时的取证，2006年3月1日起施行的《互联网安全保护技术措施规定(公安部令第82号)》中，第十三条规定“互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。”违反者可能受到警告、罚款、停机整顿，直至取消联网资格等处罚。 还有一些情况，虽然不一定触犯法律，但同样会给企业带来严重损失。比如：企业关键数据通过移动存储设备、网络等途径泄露；企业员工或相关人员利用企业信息网络发布扰乱企业或社会公共秩序的信息；企业员工工作时间通过企业信息网络玩游戏、炒股、购物等与工作内容无关的活动，降低了企业工作效率、浪费了资源，同时增加了互联网上病毒、木马的入侵机会。 2.2 项目效果与预期不符 每一个具体的信息化项目，其实质都是要变革企业的管理方式，而管理方式的变革必然触及企业的核心，其风险性是必然的。对风险的评估控制不力，将导致项目实施的效果与预期产生偏差，甚至可能还不如项目实施前原有的管理方法，给企业带来经济上的，以及时间、人力、物力上的损失。造成这一风险的主要原因有5个。 2.2.1 规划动机问题 有些企业实施信息化并不是为了提升管理水平、促进战略目标的实现，而是盲目攀比，为了“面子工程”。很显然，根据这样的动机来实施信息化，风险性是必然的。 2.2.2 产品选型问