it风险管理框架资料.pdfVIP

IT 管理与控制系列论文 IT 风险管理框架 IT 风险管理框架 陈伟 一、信息化面临的风险 九十年代以来，信息技术得到了快速的发展和广泛的应用，信息化已成为全球经济社会 发展的显著特征，并逐步向一场全方位的社会变革演进。当前，信息技术己深入到各行各业， 甚至影响并改变着普通百姓的生活方式，信息资源也日益成为重要生产要素、无形资产和社 会财富。 由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金，各行各业 的信息化呈现出一派欣欣向荣的景象，我国信息化在推行电子政务、振兴软件产业、加强信 息安全保障、加强信息资源开发利用、加快发展电子商务等方面取得了可喜的进展。同时， 信息化的应用也有力地推动了中国的经济持续增长、产业的升级、竞争力的提高，信息化与 经济发展形成了良性循环。 从二十多年的信息化实践来看，目前我国的信息化正处在一个由初级水平的投入期，向 中高级水平的见效期过渡的关键时期，信息化的重点己从注重对行业和企业的覆盖，注重硬 件产品的配备，逐步过渡到强调整合和开发利用信息资源，对客户需求做出快速反应，提高 应用水平和服务质量，使组织的价值最大化。在这一阶段信息化的机会与风险并存，许多以 前还没有涉及的深层次问题都会一一暴露出来，这将考验我们是否已经做好必要的思想准备 和采取有效的应对措施。 IT 治理风险 中国的信息化建设仍然属于人治时代，信息化的随意性较大，企业还没有就信息化形 成相关的制度，缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息 化成功与否往往在很大程度上取决于最高管理层对信息化的理解和个人领导力大小的影响， 这种不确定性增加了组织的信息化风险，这是 IT 治理风险的宏观体现。 组织在信息化过程中所涉及 IT 规划、实施、运行、检查等一系统 IT 流程，缺乏制度化 与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成 IT 系统与业务需求的 “逻辑错位”，同时也造成了一个个的信息“孤岛”，这是 IT 治理风险的微观体现。如何在 组织中建立较完善的 IT 治理机制，使信息化的决策与实施成为组织中的一种完善的制度存 在，己是摆在我们面前的迫切任务。 IT 可用性风险 而随着信息化的深入，组织的核心应用系统都己构架在 IT 平台之上，越来越多的政府、 商业、教育等机构的业务正常运行离不开 IT 系统。随着 IT 技术的高速发展，IT 平台（如硬 件、网络、系统）的复杂性越来越高，各种系统漏洞层出不穷，频繁的停机事件令用户穷于 应付；就算是 IT 技术系统没有漏洞，也不等于就能提供优质的 IT 服务；另一方面，国内许 多组织不能建立有效的故障管理、变更管理、配置管理等 IT 服务管理流程也是造成 IT 系统 停机的原因；缺乏必要业务连续性计划也是造成 IT 可用性降低的重要原因。 IT 系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。2006 年 几起信息安全事件，如：银联计算机故障造成不能跨行取款，首都机场离港系统故障造成大 量旅客滞留机场，5 月份开始的A 股交易量连续井喷造成多家证券公司出现“堵单”等事件， 就生动地告诫我们，由于脆弱的基础设施和的不完善的 IT 管理流程，使得这种不断增强的 第 1 页 IT 管理与控制系列论文 IT 风险管理框架 对 IT 的依赖性就是潜在的风险。 信息安全风险 在信息化的整合见效期，对组织而言信息比以往具有更高的价值，而信息固有的弱点决 定其易传播、易毁损、易伪造。互联网给我们带来便利的同时，网上行动的远程化以及互联 网“无政府状态”，使得信息安全面临严峻的挑战，即使是一个中学生，通过黑客网站的简 单培训，也能发起具有危害性的攻击。目前互联网上黑客网站已超过 3 万个，一些有影响 力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏，造成许多商业网站、政府网 站被入侵，大量网银用户网上银行存款被盗，许多敏感机密信息被泄露。 据统计去年产生的电脑病毒和木马的数量达到 23 万个，其中 90% 以上带有明显的利益 特征，有窃取个人资料、各种账号密码等行为，严重威胁着互