董事文摘

IT風險治理的意義，就在于通過人為的努力干預并可能把風險控制在可接受范圍內，同時使其價值最大化。

無論是生態系統還是企業組織，都是盤根錯節的。各種相關的因素互相交叉，既互相促進又互相克制。不管是基于哪一級的人，要想改變都會引起牽一發而動全身的劇烈動蕩，處理不好，不但達不到目的，反而會使系統不穩定性瞬時加大，危及系統和個人。

企業的本質是利益相關者的契約集合體，利益相關者是所有那些在公司真正有某種形式的投資并且處于風險之中的人，包括股東、經營者、員工、債權人、顧客、供應商、競爭者、國家。由于契約的不完備性，使得利益相關者共同擁有企業的剩余索取權和剩余控制權，進而共同擁有企業的所有權。對所有權的擁有是利益相關者參與公司治理的基礎，也是利益相關者權益得到應有保護的理論依據。

這些互相交叉又互相克制的利益相關者和資源構筑成了系統，是系統存在的主要組成部分。當然，它也不全是不利的，在于你有沒有能力去駕馭它。用得好，它就為你添磚加瓦，用得不好就會被它困住了。一切取決于你。

——《IT風險治理：系統擴張與穩定的對抗》

在當今全球一體化的商業環境中，信息的重要性被廣泛接受，信息系統在商業和政府組織中得到了真正的廣泛應用。許多組織對其信息系統不斷增長的依賴性，加上在信息系統上運作業務的風險、收益和機會，使得信息安全管理成為企業管理越來越關鍵的一部分。管理高層需要確保信息技術適應企業戰略，企業戰略也恰當利用信息技術。

信息安全已不只是人們傳統意義上的安全，即添加防火墻或路由器等簡單的設備就可保證安全，而是成為一種系統和全局的觀念。信息安全是指使信息避免一系列威脅，保障商務的連續性，最大限度地減少業務的損失，從而最大限度地獲取投資和商務的回報。

信息安全策略是組織信息安全的最高方針，需要根據組織內各個部門的實際情況，分別制定不同的信息安全策略。例如，規模較小的組織單位可能只需一個信息安全策略，并適用于組織內所有部門、員工；而規模大的集團組織則需要制定一組信息安全策略文件，分別適用于不同的子公司或者分支機構。

信息安全策略應該簡單明了、通俗易懂，并形成書面文件，發給組織內所有成員。同時要對所有相關員工進行信息安全策略的培訓，對信息安全負有特殊責任的人員要進行特殊培訓，以使信息安全方針真正根植于組織內所有員工的腦海并落實到實際工作中。

——《IT治理信息安全管理》

1．明確信息化建設的戰略需求——業務戰略需求和合法合規需求；2．構建和完善IT治理機制，提高信息技術的經營管理績效；3．健全和完善激勵機制，加強IT人才隊伍建設；4明確信息化建設企業架構、戰略規劃和戰略重點，加強lT戰略管理，確保信息化建設的高效、可持續發展；5．加強信息技術成本管理，提高信息技術投資價值；6．加強IT風險治理，創造新的戰略競爭機遇。

——《2006—2020年國家信息化發展戰略》