石油公司运行风险管理研究论文.docxVIP

石油公司运行风险管理研究论文 【摘要】由于石油行业发生突发事件所造成的危害比其他行业严重，对业务连续性管理中人员管理、应急预案、应急演练等方面有更高的要求。因此，从业务连续性视角来研究企业关键信息系统的运行风险，完善风险评价，通过建立基于灾难恢复的业务连续性计划，降低关键信息系统运行中面临的不确定性， 提高企业应对突发事件的应变能力，保证业务的连续性，对企业的生存和发展至关重要。 【关键字】业务连续性；风险评价；关键信息系统；灾难恢复 引言 信息系统的运行正常是企业信息化发挥效益的基础，信息系统 不可用，直接关系到企业生产经营活动的正常开展， 进而影响到企业 在竞争中的生存和发展。 因此，从业务连续性视角来研究企业关键信 息系统运行的风险， 完善风险评价， 制定选择对应策略对企业的生产 经营管理具有重要意义 [1] 。石油是国家的重要战略物资。我国目前 的成品油销售以省级行政区域来划分， 省级成品油销售企业负责在本 省区域内开展成品油业务。 随着信息化的深入应用， 成品油销售企业 的各项业务已通过信息系统为载体， 保证一天二十四小时不间断的开 展及运转。信息系统是否可正常使用， 成品油业务的正常开展有着直 接影响 [2] 。所以，通过对成品油销售企业关键信息系统运行的风险 管理，识别影响关键信息系统运行的风险，实施策略降低风险 * 直至可接受，保障成品油业务的连续性， 对成品油销售企业的生存和发展极其重要 [3] 。本文针对一个省级范围成品油销售企业的现有在运 行的关键信息系统的风险管理进行分析及探讨， 从管理及技术等层面实现保障业务连续性的目标。 对影响业务连续性的关键信息系统进行灾难备份和灾难恢复的设计， 制定要实现的恢复目标， 评估信息系统的灾难恢复等级，进而采取相应的技术和管理措施 [4] 。 石油公司关键信息系统风险管理 在确定了关键信息系统后，以公司范围内与关键信息系统相关 的各岗位及部门人员、 从事信息工作的人员及领导组成关键信息系统风险管理专家组。 下面从风险的识别、 评估和处置三个环节来研究关键信息系统的风险管理。 2.1 风险识别方法 风险识别是风险管理的首要工作。如果遗漏了某个重要的风险 则会影响关键信息系统的稳定运行， 但如果考虑到各个方面， 又会使 得问题过于复杂及琐碎而影响风险的控制， 所以，风险识别工作的完 成好坏，直接影响到风险管理的准确和有效 [5] 。根据资产、威胁和 脆弱性三个方面，在风险管理专家组中采用头脑风暴法对关键信息系 统的风险进行识别。石油公司关键信息系统运行涉及的风险因素有 9 个：地震、气象、消防、网络故障、供电故障、空调故障、网络病毒、 硬件故障、软件故障。 2.2 风险评估方案 针对识别出来的风险，通过使用风险矩阵、 Borda 序值法、层 次分析法逐步消除风险结，对各风险进行充分评估。最后，各风险因 素权重及量化值如表 1 所示。关键信息系统风险等级量化值为 8.2884, 属于 8-12 的范围，暂时没有大的风险，应该采取方法予以排除。 2.3 风险处置措施 在现有的情况下，对最重要的风险要采取有针对性的措施，进 而保障关键信息系统的正常运行。 从风险重要性的排序来看， 第一位 的是气象，其次是消防。上述最重要的风险都属于灾难范畴，从保证 公司业务连续的角度出来， 对关键信息系统有必要进行灾难恢复的规 划和实施。实施灾难恢复系统后，地震、气象和消防这三个风险因素 程度都调整为“中度”。重新进行风险评估。调整后的各风险因素权重及量化值如表 2 所示。依据风险量化值， 风险严重性排序： 气象 消防 硬件故障 软件故障 供电故障 地震 空调故障 网络病毒 网络 故障关键信息系统风险等级： 3*0.0461+9*0.2906+6*0.2035+3*0.0172+6*0.0690+3*0.0461+4*0.0 233+5*0.2035+6*0.1007=0.1384+2.6150+1.2208+0.0515+0.4142+0. 1384+0.0932+1.0174+0.6044=6.2933 关键信息系统风险等级量化值 为 6.2933, 属于 1-8 的范围，安全的，不需评审即可接受。 石油公司业务连续性计划 业务连续性计划用于在出现应急事件时维护业务的连续运作 。它是众多管理流程的集合 [7] 。业务连续性计划项目包括以下四个主要步骤： 1）项目范围与计划编制 2）业务影响评估 3）业务连续性计划实施 4）维护和演练。 信息系统能否正常运行是业务连续性计划的基础。而灾难恢复是信息系统正常运行的保障。 信息系统能否正常运行取决于两个方面， 一是系统功能的可用性， 即系统设计实现的功能都能使用；二是系统数据的可用性，即系统中数据的完整性、一致性及安全性得到保证。 光有功能