企业IT风险管理的体系构建与实现路径.pdfVIP

2014年第2期 sienceandT。 。entResearch 2014N。．2 doi：10．3969／j．issn．1000—7695．2014．02．042 企业 IT风险管理的体系构建与实现路径 惠志斌 (上海社会科学院信息研究所，上海 200235) 摘要：通过对企业面临的IT风险的分析，指出企业 IT风险管理的必要性和重要性，进而系统论述企业 IT风险 及其管理的相关概念；借鉴国内外IT风险管理标准和金融企业 IT风险实施经验，研究适合现代企业的IT风险 管理体系框架，并提出系统、全面、可操作的IT风险管理实现路径的建议。 关键词：信息安全；信息系统；IT风险；IT风险管理；1T风险评估 中图分类号：g201；F272．35 文献标志码：A 文章编号 ：1000—7695 (2014)02—0194—05 TheoreticalConstructionandRealizationApproachesofEnterpriseIT RiskM anagementSystem HUIZhibin (InstituteofInformation，ShanghaiAcademyofSocialSciences，Shanghai200235，China) Abstract：Aftertheanalysisoftheinformationtechnologyrisksfacingenterprises，thearticlepointsoutthenecessityand importanceofenterprisesIT risksmanagement．ThensystematicallydiscussestheconceptsofenterpriseITrisk andits management．Meanwhile，thearticleintroducesthestandardsandexperiencesofenteprrisesITrisksmanagementathome andabroad．Basedonthis，thearticlebuildstheframeworkofIT riskmanagementfittingformodernenterprisedevelop— ment，andbringsforwardthesystematicandoperableapproachestotheimplementationofenteprrisesITriskmanagement． Keywords：inofrmationsecurity；informationsystem ；ITrisk；IT riskmanagement；ITriskassessment 现代信息技术与企业业务流程的高度融合，极 个颇有争议 的概念。其 中，国际标准化组织在 大地提升了企业效率和核心竞争力，与此同时，由 “ISO／IECGuide73：2002”中将风险定义为 “事件发 于企业IT系统的高度复杂、日趋开放和影啕全局， 生的可能性及其后果的结合”；国际内部审计协会 围绕信息技术产生的系统性风险也在全面凸显，成 (IIA)对风险定义为 “可能对企业 目标的实现产生 为企业运营风险的重要来源，由此导致的企业 IT事 影响的事件和不确定性”；美国反虚假财务报告委员 故使企业不得不承受远比以前更高的成本，甚至导 会 (COSO)发布的 《企业风险管理 一整合框架》 致企业的整体崩溃。当前，越来越多的企业开始认 中则将风险定义为 “一个事项将会发生并给 目标实 识到IT风险的重要性，围绕企业 IT风险的辨识 、衡 现带来负面影响的可能性”。关于 IT风险的认识， 量、分析、管理的相关知识和技术逐渐独立开来， 同样存在着不同的观点。 《IT风险——基于 IT治理 成为信