信息科技风险管理理论发展历程及框架.docxVIP

信息科技风险管理理论发展历程及框架 随着业务和科技的发展，信息科技风险也保持着不断上升的趋势，已有的信息科技风险管理方式无法应对某些新的风险，这就催生了理论研究机构和风险管理机构采用更先进的信息科技风险管理框架和最佳实践来应对信息科技风险，这种变迁体现在信息科技风险相关理论发展历程中，概括来说信息科技风险管理理论经历了以技术为导向、以控制为导向、以风险为导向的三个阶段： 一、技术导向 20世纪90年代末至21世纪初，利用现代的安全科技手段来应对微观层面的信息科技风险，如计算机病毒防护、计算机网络防护、操作系统补丁管理及用户意识等。 二、控制导向 2002年至2009年，将信息安全、审计等控制手段有效地融合到一起，主要关注风险的应对与控制改进，同时推行全面的信息安全管理。 三、风险导向 2009年至今，具备全面意义上的风险导向信息科技风险管理框架出现，从此信息科技风险管理进入以风险为导向的时代，并成为未来信息科技风险管理的发展趋势。 科技风险管理相关理论主要存在下列几个理论框架： 操作风险管理框架：该框架以容忍度和风险控制矩阵为基础，通过损失事件、关键风险指标、操作风险自评估等几个工具的有效结合，共同识别、控制、监测风险发展趋势和控制效果，应用较为广泛。 Risk IT框架：该框架以风险为导向，明确了信息科技风险的分类，阐述了信息科技与企业全面风险管理之间的关系，强调将信息科技风险的管理与企业的战略目标、全面风险管理融合，充分利用全面风险管理的工作成果、组织架构和相关资源。 SP800系列标准：该框架提供了信息科技风险评估的详细流程，形成了完善的以风险为关注点的评估控制体系，特点是对信息安全方面的控制类型提出了明确的分类标准。 COBIT框架：该框架尝试客观的衡量信息系统的质量，是一套完全以控制为导向的信息科技管理方法，明确提出了风险与控制的分类方法，但并未过多考虑如风险容忍度等因素。 COSO企业风险管理：该框架是集工具、技术和方法为一体的以控制为导向的信息安全策略评估与计划的框架，以风险为驱动的信息安全评估标准，代表了一种全面风险管理的理念。