IT風險管理系統

徐志剛

?

IT風險管理系統

徐志剛

四川信息職業技術學院

摘 要：國際IT治理的五個領域，即：戰略一致、價值交付、資源管理、風險管理、績效測評都與IT價值相關聯。其中兩個收益方面內容（即：價值交付和風險管理）直接與價值有關。那么如何做好風險管理，從哪些方面去識別風險、如何去識別風險、如何去做IT風險評估、如何進行事件發生的可能性及后果分析等都需要相應的手段和工具。這樣才能夠對IT基礎做到有效治理，實現戰略價值。

關鍵詞：IT風險；風險管理；管理系統

一、主要目標、研究內容、技術關鍵、技術路線和應用方案

1.主要目標

研究開發“IT風險管理系統”，為IT系統風險識別、評估、監控、處置等一系列風險管理活動提供便捷的工具和技術手段。

2.主要內容

通過IT技術手段實現對業務流程的風險控制。實現信息技術與業務流程的緊密的結合，體現業務的支撐和載體。在業務流程中所產生的風險的技術特點，通過對信息技術的改造實現業務流程的優化相對于單純對業務流程的改造更容易實現，更容易為企業所接受。

IT風險管理系統業務流程：系統登記→威脅識別→脆弱性識別→風險識別→風險評估→控制分析→風險處置→風險監控。

3.技術關鍵

解決如何在風險可控的狀態下實現信息技術和業務訴求的有效融合。完成一個完整的系統包括了用戶管理、流程管理和信息查詢等功能模塊。以下為該系統思路的核心業務功能流程。

4.技術路線和應用方案

八大主要功能流程，構成整個風險管理體系的風險識別、評估、監控、處置等一系列活動，對于資產管理、新資產上線安全評估等子流程和功能會在具體的開發工作中細化。

二、國內外研究現狀、發展趨勢和知識產權狀況分析

1.國外現狀

國外軟件項目風險管理的研究于1989年的美國，由于美國軍方自主設在卡內基.梅隆大學的SEI則是1900年來研究和時間軟件風險管理的最大基地，此外英國和芬蘭、挪威、荷蘭、瑞典等國組成的北歐經濟圈以及澳大利亞、日本、韓國也有一定的成果問世，而其他國家和地區只有零星的相關報道，都未形成規模氣勢。

2.國內現狀

國內IT業在過去相當一段時間內不重視項目的風險管理，其根源在于IT行業當時的平均利潤遠遠高于傳統行業，即使內部存在問題，風險發生都仍能贏利，所以眾多IT企業忽視了項目風險的管理作用，IT行業的競爭日益激烈行業平均利潤逐漸下降，從而促進越來越多的企業重視項目的風險管理。該項目通過IT治理的五個領域，即：戰略一致、價值交付、資源管理、風險管理、績效測評都與IT價值相關聯。其中兩個收益方面內容（即：價值交付和風險管理）直接與價值有關。

3.發展趨勢

目前我們在這一領域的研究、交流和應用還比較薄弱，但是，一些高端行業（銀行、運營商）對此已經對此產生了濃厚的興趣，并開始給予高度的重視。隨著信息化程度的日益提高，相關的標準、規范和知識框架、方法體系的研究，勢必成為促進信息化建設向有序化方向發展的重要保障。IT治理也將在各行業中發揮越來越重要的作用。

4.知識產權狀況

據資料查證，目前我國在這一領域的研究、開發和應用還比較薄弱，隨著信息化程度的日益提高，相關的標準、規范和知識框架、方法體系的研究，勢必成為加快信息化建設向有序化方向發展的重要保障。據搜索了解，現在國內尚沒有與該項目完全一樣的設計，也沒有雷同的進展中的項目。

三、項目的創新性

1.理論創新

一般IT管理系統基于IT理論研究，運用到實際中主要靠有經驗的IT體系建設人員和IT審計人員進行推動，導致需要的人員經驗和成本校對較高，而因為人員素質或更迭對本單位的IT系統認知不足，導致的偏差市場出現，本課題涉及企業信息系統安全管理系統設計，對信息系統風險管理的八個領域（系統登記、威脅識別、脆弱性識別、風險識別、風險評估、控制分析、風險處置、風險監控）進行監控。

2.應用創新

圖2 信息企業信息管理模型

3.技術創新

對應管控風險角色（風險決策員、風險評估員、風險應對員、專家組），實現信息企業信息管理模型，通過對角色和任務的對應，達責任所依、人員可控、風險處置的目地，直接對企業信息系統可能存在的風險進行先期識別和消除，達到信息系統安全穩定運行。最終達到：

（1）提供IT風險管理體系建設的實施方案建議

（2）協助評估企業現有IT風險管理的差距

（3）協助企業構建IT風險管理基本框架及體系

（4）協助企業編制IT風險管理手冊

（5）協助企業構建IT風險關鍵指標（KRI）及風險預警機制

（6）協助企業構建IT風險評估標準體系并進行風險評估

（7）協助企業構建IT風險管理數據庫

（8）協助企業制定IT風險管理策略

（9）協助企業評估IT風險應對措施的有效性

（10）協助企業IT風險控制流程與日常管理的融合

（11）協助企業IT風險管理控制流程的落地

（12）協助提供IT風險管理相關的各種培訓

（13）實現“內嵌式”的“全面”IT風險管理，發揮風險管理的效果

（14）立足于現有管理基礎，實現成本效益最大化

（15）契合各項法律法規要求，實現一舉多得的目標

（16）完成知識轉移，為企業培養IT內部控制的專業人才

四、項目應用前景和預期經濟、社會效益

1.項目應用前景

跨入21世紀， 隨著網絡和信息技術的發展， 互聯網及其應用高速發展， 同時國際范圍內出現了大規模黑客攻擊，信息戰的理論逐步發展，并且美國的軍事、政治、經濟和社會活動對信息基礎設施的依賴程度達到了空前的高度， 在此環境下， 美國又開始了對信息系統新一輪的評估和研究，產生了一些新的概念、法規和標準。

2.預期經濟社會效益

（1）本項目組成員既有專業高、中、初技術的研發隊伍和企業工程技術人員。同時將企業生產與校園教學科研有機結合，共同建設創新平臺，促進創新資源、技術成果開發和資本要素的有機結合等。

（2）本課題已完成所以理論知識準備工作，構建IT風險管理數據模型，并通過人工方式納入企業信息化安全管理體系進行實踐，取得良好經濟效果。下階段正準備通過自動化軟件方式實現，以達到企業自動化信息安全管控能力，實現社會效益。

參考文獻：

［1］2002年，美國國會發布了SOX《薩班斯—奧克斯利法案》