IT風(fēng)險(xiǎn)管理系統(tǒng)

徐志剛

?

IT風(fēng)險(xiǎn)管理系統(tǒng)

徐志剛

四川信息職業(yè)技術(shù)學(xué)院

摘 要：國際IT治理的五個(gè)領(lǐng)域，即：戰(zhàn)略一致、價(jià)值交付、資源管理、風(fēng)險(xiǎn)管理、績效測評(píng)都與IT價(jià)值相關(guān)聯(lián)。其中兩個(gè)收益方面內(nèi)容（即：價(jià)值交付和風(fēng)險(xiǎn)管理）直接與價(jià)值有關(guān)。那么如何做好風(fēng)險(xiǎn)管理，從哪些方面去識(shí)別風(fēng)險(xiǎn)、如何去識(shí)別風(fēng)險(xiǎn)、如何去做IT風(fēng)險(xiǎn)評(píng)估、如何進(jìn)行事件發(fā)生的可能性及后果分析等都需要相應(yīng)的手段和工具。這樣才能夠?qū)T基礎(chǔ)做到有效治理，實(shí)現(xiàn)戰(zhàn)略價(jià)值。

關(guān)鍵詞：IT風(fēng)險(xiǎn)；風(fēng)險(xiǎn)管理；管理系統(tǒng)

一、主要目標(biāo)、研究內(nèi)容、技術(shù)關(guān)鍵、技術(shù)路線和應(yīng)用方案

1.主要目標(biāo)

研究開發(fā)“IT風(fēng)險(xiǎn)管理系統(tǒng)”，為IT系統(tǒng)風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)控、處置等一系列風(fēng)險(xiǎn)管理活動(dòng)提供便捷的工具和技術(shù)手段。

2.主要內(nèi)容

通過IT技術(shù)手段實(shí)現(xiàn)對(duì)業(yè)務(wù)流程的風(fēng)險(xiǎn)控制。實(shí)現(xiàn)信息技術(shù)與業(yè)務(wù)流程的緊密的結(jié)合，體現(xiàn)業(yè)務(wù)的支撐和載體。在業(yè)務(wù)流程中所產(chǎn)生的風(fēng)險(xiǎn)的技術(shù)特點(diǎn)，通過對(duì)信息技術(shù)的改造實(shí)現(xiàn)業(yè)務(wù)流程的優(yōu)化相對(duì)于單純對(duì)業(yè)務(wù)流程的改造更容易實(shí)現(xiàn)，更容易為企業(yè)所接受。

IT風(fēng)險(xiǎn)管理系統(tǒng)業(yè)務(wù)流程：系統(tǒng)登記→威脅識(shí)別→脆弱性識(shí)別→風(fēng)險(xiǎn)識(shí)別→風(fēng)險(xiǎn)評(píng)估→控制分析→風(fēng)險(xiǎn)處置→風(fēng)險(xiǎn)監(jiān)控。

3.技術(shù)關(guān)鍵

解決如何在風(fēng)險(xiǎn)可控的狀態(tài)下實(shí)現(xiàn)信息技術(shù)和業(yè)務(wù)訴求的有效融合。完成一個(gè)完整的系統(tǒng)包括了用戶管理、流程管理和信息查詢等功能模塊。以下為該系統(tǒng)思路的核心業(yè)務(wù)功能流程。

4.技術(shù)路線和應(yīng)用方案

八大主要功能流程，構(gòu)成整個(gè)風(fēng)險(xiǎn)管理體系的風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)控、處置等一系列活動(dòng)，對(duì)于資產(chǎn)管理、新資產(chǎn)上線安全評(píng)估等子流程和功能會(huì)在具體的開發(fā)工作中細(xì)化。

二、國內(nèi)外研究現(xiàn)狀、發(fā)展趨勢(shì)和知識(shí)產(chǎn)權(quán)狀況分析

1.國外現(xiàn)狀

國外軟件項(xiàng)目風(fēng)險(xiǎn)管理的研究于1989年的美國，由于美國軍方自主設(shè)在卡內(nèi)基.梅隆大學(xué)的SEI則是1900年來研究和時(shí)間軟件風(fēng)險(xiǎn)管理的最大基地，此外英國和芬蘭、挪威、荷蘭、瑞典等國組成的北歐經(jīng)濟(jì)圈以及澳大利亞、日本、韓國也有一定的成果問世，而其他國家和地區(qū)只有零星的相關(guān)報(bào)道，都未形成規(guī)模氣勢(shì)。

2.國內(nèi)現(xiàn)狀

國內(nèi)IT業(yè)在過去相當(dāng)一段時(shí)間內(nèi)不重視項(xiàng)目的風(fēng)險(xiǎn)管理，其根源在于IT行業(yè)當(dāng)時(shí)的平均利潤遠(yuǎn)遠(yuǎn)高于傳統(tǒng)行業(yè)，即使內(nèi)部存在問題，風(fēng)險(xiǎn)發(fā)生都仍能贏利，所以眾多IT企業(yè)忽視了項(xiàng)目風(fēng)險(xiǎn)的管理作用，IT行業(yè)的競爭日益激烈行業(yè)平均利潤逐漸下降，從而促進(jìn)越來越多的企業(yè)重視項(xiàng)目的風(fēng)險(xiǎn)管理。該項(xiàng)目通過IT治理的五個(gè)領(lǐng)域，即：戰(zhàn)略一致、價(jià)值交付、資源管理、風(fēng)險(xiǎn)管理、績效測評(píng)都與IT價(jià)值相關(guān)聯(lián)。其中兩個(gè)收益方面內(nèi)容（即：價(jià)值交付和風(fēng)險(xiǎn)管理）直接與價(jià)值有關(guān)。

3.發(fā)展趨勢(shì)

目前我們?cè)谶@一領(lǐng)域的研究、交流和應(yīng)用還比較薄弱，但是，一些高端行業(yè)（銀行、運(yùn)營商）對(duì)此已經(jīng)對(duì)此產(chǎn)生了濃厚的興趣，并開始給予高度的重視。隨著信息化程度的日益提高，相關(guān)的標(biāo)準(zhǔn)、規(guī)范和知識(shí)框架、方法體系的研究，勢(shì)必成為促進(jìn)信息化建設(shè)向有序化方向發(fā)展的重要保障。IT治理也將在各行業(yè)中發(fā)揮越來越重要的作用。

4.知識(shí)產(chǎn)權(quán)狀況

據(jù)資料查證，目前我國在這一領(lǐng)域的研究、開發(fā)和應(yīng)用還比較薄弱，隨著信息化程度的日益提高，相關(guān)的標(biāo)準(zhǔn)、規(guī)范和知識(shí)框架、方法體系的研究，勢(shì)必成為加快信息化建設(shè)向有序化方向發(fā)展的重要保障。據(jù)搜索了解，現(xiàn)在國內(nèi)尚沒有與該項(xiàng)目完全一樣的設(shè)計(jì)，也沒有雷同的進(jìn)展中的項(xiàng)目。

三、項(xiàng)目的創(chuàng)新性

1.理論創(chuàng)新

一般IT管理系統(tǒng)基于IT理論研究，運(yùn)用到實(shí)際中主要靠有經(jīng)驗(yàn)的IT體系建設(shè)人員和IT審計(jì)人員進(jìn)行推動(dòng)，導(dǎo)致需要的人員經(jīng)驗(yàn)和成本校對(duì)較高，而因?yàn)槿藛T素質(zhì)或更迭對(duì)本單位的IT系統(tǒng)認(rèn)知不足，導(dǎo)致的偏差市場出現(xiàn)，本課題涉及企業(yè)信息系統(tǒng)安全管理系統(tǒng)設(shè)計(jì)，對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理的八個(gè)領(lǐng)域（系統(tǒng)登記、威脅識(shí)別、脆弱性識(shí)別、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、控制分析、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控）進(jìn)行監(jiān)控。

2.應(yīng)用創(chuàng)新

圖2 信息企業(yè)信息管理模型

3.技術(shù)創(chuàng)新

對(duì)應(yīng)管控風(fēng)險(xiǎn)角色（風(fēng)險(xiǎn)決策員、風(fēng)險(xiǎn)評(píng)估員、風(fēng)險(xiǎn)應(yīng)對(duì)員、專家組），實(shí)現(xiàn)信息企業(yè)信息管理模型，通過對(duì)角色和任務(wù)的對(duì)應(yīng)，達(dá)責(zé)任所依、人員可控、風(fēng)險(xiǎn)處置的目地，直接對(duì)企業(yè)信息系統(tǒng)可能存在的風(fēng)險(xiǎn)進(jìn)行先期識(shí)別和消除，達(dá)到信息系統(tǒng)安全穩(wěn)定運(yùn)行。最終達(dá)到：

（1）提供IT風(fēng)險(xiǎn)管理體系建設(shè)的實(shí)施方案建議

（2）協(xié)助評(píng)估企業(yè)現(xiàn)有IT風(fēng)險(xiǎn)管理的差距

（3）協(xié)助企業(yè)構(gòu)建IT風(fēng)險(xiǎn)管理基本框架及體系

（4）協(xié)助企業(yè)編制IT風(fēng)險(xiǎn)管理手冊(cè)

（5）協(xié)助企業(yè)構(gòu)建IT風(fēng)險(xiǎn)關(guān)鍵指標(biāo)（KRI）及風(fēng)險(xiǎn)預(yù)警機(jī)制

（6）協(xié)助企業(yè)構(gòu)建IT風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)體系并進(jìn)行風(fēng)險(xiǎn)評(píng)估

（7）協(xié)助企業(yè)構(gòu)建IT風(fēng)險(xiǎn)管理數(shù)據(jù)庫

（8）協(xié)助企業(yè)制定IT風(fēng)險(xiǎn)管理策略

（9）協(xié)助企業(yè)評(píng)估IT風(fēng)險(xiǎn)應(yīng)對(duì)措施的有效性

（10）協(xié)助企業(yè)IT風(fēng)險(xiǎn)控制流程與日常管理的融合

（11）協(xié)助企業(yè)IT風(fēng)險(xiǎn)管理控制流程的落地

（12）協(xié)助提供IT風(fēng)險(xiǎn)管理相關(guān)的各種培訓(xùn)

（13）實(shí)現(xiàn)“內(nèi)嵌式”的“全面”IT風(fēng)險(xiǎn)管理，發(fā)揮風(fēng)險(xiǎn)管理的效果

（14）立足于現(xiàn)有管理基礎(chǔ)，實(shí)現(xiàn)成本效益最大化

（15）契合各項(xiàng)法律法規(guī)要求，實(shí)現(xiàn)一舉多得的目標(biāo)

（16）完成知識(shí)轉(zhuǎn)移，為企業(yè)培養(yǎng)IT內(nèi)部控制的專業(yè)人才

四、項(xiàng)目應(yīng)用前景和預(yù)期經(jīng)濟(jì)、社會(huì)效益

1.項(xiàng)目應(yīng)用前景

跨入21世紀(jì)， 隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展， 互聯(lián)網(wǎng)及其應(yīng)用高速發(fā)展， 同時(shí)國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊，信息戰(zhàn)的理論逐步發(fā)展，并且美國的軍事、政治、經(jīng)濟(jì)和社會(huì)活動(dòng)對(duì)信息基礎(chǔ)設(shè)施的依賴程度達(dá)到了空前的高度， 在此環(huán)境下， 美國又開始了對(duì)信息系統(tǒng)新一輪的評(píng)估和研究，產(chǎn)生了一些新的概念、法規(guī)和標(biāo)準(zhǔn)。

2.預(yù)期經(jīng)濟(jì)社會(huì)效益

（1）本項(xiàng)目組成員既有專業(yè)高、中、初技術(shù)的研發(fā)隊(duì)伍和企業(yè)工程技術(shù)人員。同時(shí)將企業(yè)生產(chǎn)與校園教學(xué)科研有機(jī)結(jié)合，共同建設(shè)創(chuàng)新平臺(tái)，促進(jìn)創(chuàng)新資源、技術(shù)成果開發(fā)和資本要素的有機(jī)結(jié)合等。

（2）本課題已完成所以理論知識(shí)準(zhǔn)備工作，構(gòu)建IT風(fēng)險(xiǎn)管理數(shù)據(jù)模型，并通過人工方式納入企業(yè)信息化安全管理體系進(jìn)行實(shí)踐，取得良好經(jīng)濟(jì)效果。下階段正準(zhǔn)備通過自動(dòng)化軟件方式實(shí)現(xiàn)，以達(dá)到企業(yè)自動(dòng)化信息安全管控能力，實(shí)現(xiàn)社會(huì)效益。

參考文獻(xiàn)：

［1］2002年，美國國會(huì)發(fā)布了SOX《薩班斯—奧克斯利法案》