基于SWOT分析法的信息系统风险识别的应用研究.pdfVIP

基于 SWOT 分析法的信息系统风险识别的应用研究 杨峰 1 邵培基 1 宗莲松 2 (1. 电子科技大学经济与管理学院，四川 成都 610054 ；2.西华大学教务处，四川 成都 610039) 摘要： 风险识别是组织进行有效的信息系统安全风险管理工作的基础。本文从组织的战略角度出发，将 SWOT 分析法应用到组 织的信息系统风险识别中，构建了基于 SWOT 分析法的信息系统风险识别模型，扩展风险识别的层次、范围和深度，切 实做好信息系统的风险识别，以期提高组织的信息系统风险管理的水平。 关键词：信息系统；风险；风险识别；风险管理；SWOT 中图分类号：F270 .7 文献标识码：A 作、法律和声誉等风险。 对于信息系统的风险管理，一般可将其划分 1 引言 为7个步骤：⑴风险管理规划；⑵系统风险识别； ⑶风险定性分析；⑷风险定量评估；⑸风险应对 随着计算机技术、互联网通讯技术的迅猛发 规划；⑹风险监控；⑺风险管理工作评价。而信 展和普及应用，以及信息时代的迫切需要，很多 息系统风险管理的目标则正在于：通过建立有效、 现代化企业引进了大量的计算机和网络互联设 切实可行的管理机制，实现对信息系统风险的识 备，并投入大量资金自主开发或引进管理信息系 别、评价、预警、应对和控制，推动组织业务创 统。 新，提高海量商业数据处理和信息获取的水平， 信息系统作为组织战略实施强有力的支撑工 将组织的信息化作为其强有力的核心战略支持工 具，与组织经营业务的融合，极大地改变了组织 具，增强核心竞争力和可持续发展能力。 的工作环境和业务流程，提高了组织处理海量数 风险识别，是信息系统风险管理工作的基础 据和获取实时信息的能力，促进了组织生产力的 和重点，是依据科学的方法、工具和手段，系统 提高，增强了应对外界激烈竞争环境的能力。然 地、反复地判断并识别信息系统中可能影响信息 而，信息系统在给组织带来效率提升和持续竞争 系统安全性、稳定性和可靠性的风险相关事件的 力增强的同时，也使得组织的业务面临着巨大的 过程。风险识别是风险评估、风险控制的基础， 风险，信息系统的安全问题时刻威胁着组织的生 只有全面识别了信息系统的风险来源及成因分 产和管理工作。信息系统任何微小的变故，都有 析，方可进行有效的风险分析和评估、风险监控 可能对组织业务的正常运行产生一定的破坏和影 等工作。风险识别常用的方法主要有：相关人员 响。正因为如此，信息系统风险管理越来越受到 访谈、问卷调查、相关文档审核(包括历史数据和 了理论界和企业高管层特别是 CIO 的关注。在一 资料) 、头脑风暴法、德尔菲法、风险检查表、因 定程度上，组织的 CIO 及其信息化主管部门所面 果图等等。本文提出了基于 SWOT 分析法的信息 对的管理，正是对组织内部的信息系统各种“可能 系统风险识别模型，从组织的战略和信息系统管 性和不确定性”即“风险” 的管理。 理部门的战略高度分析和识别信息系统的风险， 信息系统风险，一般而言，是指组织的信息 借助常用的风险识别方法和工具，使组织更加全 系统在规划、研发、建设、运行、维护、监控及 面地判断和识别风险，提高风险识别的有效性和 退出过程中，由于技术和管理