基于ＩＳＥＬＣ的信息系統風險識別與分析

［摘 要］ 本文首先提出信息系統擴展生命周期（ISELC）；基于ISELC，從信息系統投資、信息系統實施、信息系統安全服務3個階段分別識別信息系統的風險；給出了信息系統風險識別的流程；最后對信息系統3個階段的風險因素內容進行了討論，認為比較完整地給出了信息系統的風險因素，對于信息系統的風險管理研究與運作具有一定的意義。

［關鍵詞］ 風險識別；信息系統生命周期；IS

［中圖分類號］F270.7；C931.6［文獻標識碼］A［文章編號］1673-0194（2008）07-0074-06

0前 言

隨著信息技術的發展，企業信息化、政務信息化、行業信息化以及數字地球、數字城市理念的提出，作為信息化的直接媒介——信息系統將越來越多地被開發實施。信息系統實施的成敗也決定著信息化的目標是否能夠實現。因此，信息系統風險管理成為信息化建設的一個關鍵。

美國國家標準與技術研究所（NIST）認為信息系統風險管理可以分為9個階段：1）系統特征分析；2）系統威脅識別；3）系統脆弱性分析；4）風險控制分析；5）風險發生概率評估；6）風險影響分析；7）風險因素確定；8）風險控制；9）風險事故分析評估［1］。信息系統風險分析指識別信息設施所面臨的威脅與脆弱性，并評價這些威脅與脆弱性發生的概率［2］，即信息系統風險分析是識別、評估、確定風險發生的可能性和結果［3］。信息系統風險識別是指認識和區分信息系統風險種類，發現導致這些風險的風險因素［4］。

許多信息系統風險管理方面的研究者分別對信息系統不同方面的風險進行了研究，如信息系統投資風險、信息系統外包風險、IT項目風險、IT安全風險等。但是這些風險都是從信息系統的某一角度出發進行研究，沒能從整體上研究與分析。

本文將基于信息系統的生命周期，整體識別信息系統的風險以及風險因素，給出信息系統風險識別流程，最后分析討論各個階段的風險因素之間的關系。

1 信息系統擴展生命周期（ISELC）

軟件開發生命周期（SDLC）是軟件工程的核心基礎，經典的SDLC包括系統分析、系統設計、系統開發、系統運營維護4個階段。隨著IT技術的發展，信息系統生命周期理論也不斷擴展，目前普遍認可的是將信息系統生命周期分為5個階段，即系統規劃、系統分析、系統設計、系統開發、系統運行維護。

SDLC比較適合于早期的單項目的信息系統開發?，F在，一個典型的IT組織在同一時期將有不同的IS項目處于不同階段，相互之間彼此影響，這使得經典的SDLC很難適應目前的狀況［5］。本文提出信息系統擴展生命周期（Extended Life Cycle of IS，ISELC），認為其包括信息系統投資（IS Investment， ISI）階段、廣義信息系統開發（IS Extended Development， ISED）階段、系統安全服務（IS Security Service， ISSS）3個階段（如圖1所示）。

信息系統投資（ISI）階段主要分析投資在經濟上、技術上的可行性，估計企業或政府投資的收益。信息系統投資階段可以分為6個階段［6］：1）初級階段，投資存在一個不明確的機會，一般面對早期投資者；2）識別階段，投資存在一個可變的機會，不能確定收益；3）確定階段，投資機會明確，投資可以獲取確定收益；4）運作階段，實施投資，產生直接的可以量測的收益；5）引退階段，投資可以產生非直接的收益，如技術設施及其產生的效益；6）退化階段，投資產生的資產被荒廢。針對不同的階段，采取的投資策略是不同的，初級階段與識別階段采用延遲投資策略，確定階段采用部分投資策略，運作階段采用完全投資策略，引退階段與退化階段采用不投資或重新投資策略。

廣義信息系統開發（ISED）階段直接對應于SDLC的各個階段但有所擴展。首先，整個ISED階段被認為是一個IS項目管理（ISED Project，ISEDP）階段，應采用項目管理方法。其次，隨著信息系統外包理論的提出，認為一個IS項目可以有兩種實現策略，即外包（ISED Outsourcing，ISEDO）與自主開發（ISED In-house，ISEDIn）。不管是外包還是自主開發，一個IS項目實施（ISED Implementation，ISEDIm）都包括SDLC的5個階段，即系統規劃、系統分析、系統設計、系統開發、系統運行維護。

信息系統安全服務（ISSS）階段，該階段主要關注IS安全服務問題，包括信息系統安全服務規劃、安全服務分析、安全服務實施、安全服務運行4個階段。其中安全服務規劃階段考慮信息的機密性、完整性、可用性與可控性；安全服務分析階段主要分析資產、威脅、脆弱性方面的因素；安全服務實施階段即開發各種平臺與工具，保證信息系統安全實施；信息系統安全運行階段，主要制定各種制度，檢測運行狀況，分析運行結果等。

信息系統的3個階段是相互有機連接的，從整體角度看，ISED與ISI的運作階段相連接，ISEDIm的運行維護階段與ISSS相連接，當信息系統運行維護到一定階段后，將逐步到ISI的退化階段，信息系統將不能適應政府與企業環境的變化以及技術上的需求，這時新的信息系統投資將開始，一個新的ISELC將開始，因此ISELC構成了一個封閉的循環系統（如圖1所示）。

2 基于ISELC的信息系統風險識別

基于ISELC將可以對目前信息系統各個獨立的、階段性的風險管理理論和方法進行整合，從而能夠從整體上研究信息系統風險管理的風險識別、風險評價、風險估計、風險控制、風險事故影響評估與恢復等。本文主要基于ISELC對信息系統各個階段的風險因素進行識別。

2. 1信息系統投資（ISI）階段風險識別

Benaroch（2002）給出了一個信息系統投資風險體系結構，該體系由3類投資風險組成［6］：1）公司內部不確定的因素產生的特定公司風險；2）競爭對手采用優先策略還是簡單復制改進的不確定性導致的競爭風險；3）影響每一個公司相同投資的外部不確定性因素導致的市場風險。Peter（2004）基于問卷調查歸納出信息系統投資的11個風險因素，如員工不愿適應變化、缺少信息系統基礎設施支持、潛在效益確定的不確定性等［7］。Benaroch（2006）給出了信息系統投資的風險因素并研究了各個因素的影響［8］?；谏鲜鑫墨I，表1給出了信息系統投資的風險因素。

2. 2廣義信息系統開發（ISED）階段風險識別

依據ISELC，本部分主要識別廣義信息系統開發階段的信息系統項目風險、信息系統外包風險、信息系統開發風險等3類風險。

2. 2. 1信息系統項目風險識別

信息系統項目風險分為兩種類型：1）市場風險；2）特定風險［9］。市場風險源于威脅所有商業運作的廣義的經濟危險，影響項目的資金流。特定風險包括特定項目風險與特定公司風險。Tuysuz從市場風險與特定風險兩個方面系統地分析了IS項目風險。這些風險分為6大類28小類［10］，具體如表2所示。

2. 2. 2信息系統項目外包風險識別

信息系統項目外包方式運作具有一定的優勢，但是外包也存在風險，并且將可能產生與預期相反的結果［11，12］?；谶吔绾侠硇耘c事務費用理論，信息系統外包風險可以分為外包事務風險、用戶風險、供應商風險等3類［12，13，14］，如表3所示。

2. 2. 3信息系統實施風險識別

信息系統實施包括系統規劃、系統分析、系統設計、系統開發、系統運行維護等階段。系統運行維護風險在2.3節討論，其他各階段風險識別結果［15，16］如表4所示。

2. 3信息系統安全服務風險識別

信息系統安全風險是一個組織對信息系統風險管理非常重要的一個內容。IS安全風險管理是組織保護IS資源和數據的機密性、完整性與可用性的一個重要措施［17］。

組織特定的信息安全需求包括法律、政策、經濟、歷史、文化等方面?？梢苑譃?類［3］：1）識別資產、威脅，評定脆弱性與發生的可能性，估計潛在的影響；2）各個成員、成約人、服務提供者必須遵守的組織規定的要求，包括法規、法令、規章、協約等；3）組織的原則、目標、過程與需求。組織資產的流失或毀壞可以基于資產、威脅、脆弱性3個方面來分析［18］，具體內容如表5所示。

信息系統安全的目標包括4個方面，即機密性、完整性、可用性、可控性。當這4個方面存在威脅時，信息系統安全將產生風險［19］。信息系統安全風險體系結構［19-22］如表6所示。

3 信息系統風險識別流程

信息系統風險識別是信息系統風險管理的基礎?；贗SELC，信息系統風險識別的流程如下：

（1）信息系統投資的風險識別。對于整個信息系統生命周期來說，信息系統投資是起點也是終點。信息系統風險識別首先是對投資的風險識別，從而才能考慮投資的可行性與投資策略。

（2）廣義信息系統開發的風險識別。在確定投資風險以及做好控制措施后，進入廣義信息系統開發風險識別階段。首先需要確定是否需要外包，如果采用外包模式，則需要識別外包風險，而后進行整個項目管理的風險識別；如果不采用外包模式，則直接進入項目管理風險識別階段；在項目管理風險識別的基礎上，進行信息系統實施的5個階段的風險識別。

（3）信息系統安全服務風險識別。當信息系統開發完成后，進入部署實施階段，則需要考慮信息系統安全風險，進行信息系統安全服務風險識別。在風險識別的基礎上，進行相關部署。

（4）當信息系統運行維護到一定時期，由于該系統運行維護成本太大，而且很難通過維護滿足政府、企業和其他用戶的功能需求以及技術上的需求時，則進入新一輪的信息系統投資階段。新的信息系統的風險識別又從信息系統風險投資開始。

信息系統風險識別流程如圖2所示。

4 討 論

（1）信息系統投資風險識別主要是從投資收益的角度來分析風險存在的因素，也可以認為是信息系統總體上的風險因素分析，識別的因素是信息系統其他階段風險識別的基礎。

（2）廣義信息系統開發項目風險識別是從項目管理的角度來分析存在的風險類型，主要突出項目管理的過程中資源（物力、人力、團隊）計劃、關系管理的不確定性風險，是信息系統投資風險中項目執行的彈性與風險管理因素的擴展。另外項目風險中的環境與領導者、技術等方面的風險因素也可以從投資風險中的組織支持、技術與經驗方面細化。

（3）廣義信息系統開發外包風險識別主要是從契約合同的角度分析信息系統外包存在的風險。但是當采用外包模式或者部分外包模式的情況下，信息系統項目風險的識別要考慮外包環境的特殊性，識別補充外包帶來的項目管理的特殊風險并重新評定風險的等級，如組織的復雜性、資源計劃合理性的不確定性等。

（4）廣義信息系統開發實施風險識別從系統規劃、系統分析、系統設計、系統實施、系統運行維護等5個方面分析存在的風險，是對信息系統項目風險中相關開發技術、需求、規模、團隊等方面的細化，因具體項目而異。

（5）信息系統安全服務風險主要是從系統安全、用戶與數據授權、網絡安全等方面來分析存在的風險，它是對廣義信息系統開發實施的運行維護風險的深入與細化。從信息系統安全服務的角度來說，用戶更關注該類風險。

（6）從整體來看，信息系統投資風險、廣義信息系統開發風險、信息系統安全服務風險概括了信息系統生命周期內的各類風險，基本上給出了信息系統的所有風險因素。

（7）信息系統風險識別的流程整體來說是按照如圖2所示的流程，但是在具體風險識別過程中，可能存在跳躍，如信息系統投資風險識別將貫穿信息系統生命周期的各個階段。

5 結束語

信息系統風險管理包括信息系統風險識別、信息系統風險評價、信息系統風險估計、信息系統風險控制、信息系統風險事故分析與評價。信息系統風險識別是風險管理的基礎。本文在提出信息系統擴展生命周期的基礎上，分信息系統投資、廣義信息系統開發、信息系統安全服務3個階段分別對信息系統的風險進行識別，給出了信息系統風險識別的流程，并對信息系統3個階段的風險因素進行了討論。進一步的研究內容包括：1）基于ISELC的信息系統風險評價、評估方法的研究；2）基于ISELC的信息系統風險控制流程與方法的研究等。

主要參考文獻

［1］ Frosdick S. The Techniques of Risk Analysis are Insufficient in Themselves［J］. Disaster Prevention and Management，1997， 6(3): 165-177.

［2］ Jung C， Han I， Suh B. Risk Analysis for Electronic Commerce Using Case-based Reasoning［J］. International Journal of Intelligent Systems in Accounting， Finance and Management， 1999， (8): 61-73.

［3］ Gerber M， Rossouw von Solms. Management of Risk in the Information Age［J］. Computer Security， 2005， 24 (1): 16-30.

［4］ Finne， T. Information Systems Risk Management: Key Concepts and Business Processes［J］. Computer Security， 2000， 19(3): 234-242.

［5］ Cathal M Brugha. Implications from Decision Science for the Systems Development Life Cycle in Information Systems［J］. Information Systems Frontiers 2001， 3(1)：91–105.

［6］ Benaroch， M. Managing Information Technology Investment Risk: A Real Options Perspective［J］. Journal of Management Information Systems， 2002， 19(2): 43-84.

［7］ Peter E D Love， Zahir Irani， David J Edwards. Industry-centric Benchmarking of Information Technology Benefits， Costs and Risks for Small-to-medium Sized Enterprises in Construction［J］.Automation in Construction， 2004， （13）: 507-524.

［8］ Benaroch M， Yossi Lichtenstein， Karl Robinson. Real Options in Information Technology Risk Management: An Empirical Validation of Risk-option Relationships［J］. MIS Quarterly， 2006， 30(4): 827-864.

［9］ Dos Santos， BL. Information Technology Investments: Characteristics， Choices， Market Risk and Value［J］. Information Systems Frontiers， 2003， 5(3): 289-301.

［10］ Tuysuz F， Kahraman C. Project Risk Evaluation Using a Fuzzy Analytic Hierarchy Process: An Application to Information Technology Projects［J］. International Journal of Intelligent Systems， 2006， 21(6): 559-584.

［11］ Bahli B， Rivard S. The Information Technology Outsourcing Risk: A Transaction Cost and Agency Theory-based Perspective［J］. Journal of Information Technology， 2003， 18(3):211-221.

［12］ Bahli B， Rivard S. Validating Measures of Information Technology Outsourcing Risk Factors［J］. OMEGA-International Journal of Management Science， 2005， 33(2): 175-187.

［13］ Kweku-Muata Osei-Bryson ， Ojelanki K Ngwenyama. Managing Risks in Information Systems Outsourcing: An Approach to Analyzing Outsourcing Risks and Structuring Incentive Contracts［J］. European Journal of Operational Research， 2006， 174（1）: 245–264.

［14］ Somnath Bhattacharya， Ravi S Behara， David E Gundersen. Business Risk Perspectives on Information Systems Outsourcing［J］. International Journal of Accounting Information Systems， 2003， (4): 75–93.

［15］ Tiwana A， Keil M. Functionality Risk in Information Systems Development: An Empirical Investigation［J］. IEEE Transaction on Engineering Management， 2006， 53(3): 412-425.

［16］ 朱懷意，陳偉翔，李怡娜. 管理信息系統生命周期的風險因素分析及防范對策研究［J］. 科學學與科學技術管理，2003，（8）:21-24.

［17］ Gilliam DP. Managing Information Technology Security Risk： Software Security——Theories and Systems［M］. Springer. Berlin/Heidelberg，2004， LNCS，3233: 296-317.

［18］ In HP， Kim YG， Lee T， et al. A Security Risk Analysis Model for Information Systems［C］.// Systems Modeling and Simulation: Theory and Applications［M］. LNCS，3398，Springer，Berlin/Heidelberg，2005: 505-513.

［19］ Lin MQ， Wang QM， Li JH. Methodology of Quantitative Risk Assessment for Information System Security［M］. LNCS，3802，Springer Berdelberg，2005， 3802: 526-531.

［20］ Lenstra A， Voss T. Information Security Risk Assessment， Aggregation， and mitigation［C］. //Information Security and Privacy， Proceedings， 2004， 3108: 391-401.

［21］ Ray Bernard. Information Lifecycle Security Risk Assessment: A Tool for Closing Security Gaps［J］. Computers Security， 2007， 26（1）: 26-30.

［22］ BS7799-1:1999 Information Security Management-Part1: Code of Practice for Information Security Management; Part2: Specification for Information Security Management［S］. 1999.