IT風險管理系統(tǒng)

徐志剛

?

IT風險管理系統(tǒng)

徐志剛

四川信息職業(yè)技術學院

摘 要：國際IT治理的五個領域，即：戰(zhàn)略一致、價值交付、資源管理、風險管理、績效測評都與IT價值相關聯(lián)。其中兩個收益方面內容（即：價值交付和風險管理）直接與價值有關。那么如何做好風險管理，從哪些方面去識別風險、如何去識別風險、如何去做IT風險評估、如何進行事件發(fā)生的可能性及后果分析等都需要相應的手段和工具。這樣才能夠對IT基礎做到有效治理，實現戰(zhàn)略價值。

關鍵詞：IT風險；風險管理；管理系統(tǒng)

一、主要目標、研究內容、技術關鍵、技術路線和應用方案

1.主要目標

研究開發(fā)“IT風險管理系統(tǒng)”，為IT系統(tǒng)風險識別、評估、監(jiān)控、處置等一系列風險管理活動提供便捷的工具和技術手段。

2.主要內容

通過IT技術手段實現對業(yè)務流程的風險控制。實現信息技術與業(yè)務流程的緊密的結合，體現業(yè)務的支撐和載體。在業(yè)務流程中所產生的風險的技術特點，通過對信息技術的改造實現業(yè)務流程的優(yōu)化相對于單純對業(yè)務流程的改造更容易實現，更容易為企業(yè)所接受。

IT風險管理系統(tǒng)業(yè)務流程：系統(tǒng)登記→威脅識別→脆弱性識別→風險識別→風險評估→控制分析→風險處置→風險監(jiān)控。

3.技術關鍵

解決如何在風險可控的狀態(tài)下實現信息技術和業(yè)務訴求的有效融合。完成一個完整的系統(tǒng)包括了用戶管理、流程管理和信息查詢等功能模塊。以下為該系統(tǒng)思路的核心業(yè)務功能流程。

4.技術路線和應用方案

八大主要功能流程，構成整個風險管理體系的風險識別、評估、監(jiān)控、處置等一系列活動，對于資產管理、新資產上線安全評估等子流程和功能會在具體的開發(fā)工作中細化。

二、國內外研究現狀、發(fā)展趨勢和知識產權狀況分析

1.國外現狀

國外軟件項目風險管理的研究于1989年的美國，由于美國軍方自主設在卡內基.梅隆大學的SEI則是1900年來研究和時間軟件風險管理的最大基地，此外英國和芬蘭、挪威、荷蘭、瑞典等國組成的北歐經濟圈以及澳大利亞、日本、韓國也有一定的成果問世，而其他國家和地區(qū)只有零星的相關報道，都未形成規(guī)模氣勢。

2.國內現狀

國內IT業(yè)在過去相當一段時間內不重視項目的風險管理，其根源在于IT行業(yè)當時的平均利潤遠遠高于傳統(tǒng)行業(yè)，即使內部存在問題，風險發(fā)生都仍能贏利，所以眾多IT企業(yè)忽視了項目風險的管理作用，IT行業(yè)的競爭日益激烈行業(yè)平均利潤逐漸下降，從而促進越來越多的企業(yè)重視項目的風險管理。該項目通過IT治理的五個領域，即：戰(zhàn)略一致、價值交付、資源管理、風險管理、績效測評都與IT價值相關聯(lián)。其中兩個收益方面內容（即：價值交付和風險管理）直接與價值有關。

3.發(fā)展趨勢

目前我們在這一領域的研究、交流和應用還比較薄弱，但是，一些高端行業(yè)（銀行、運營商）對此已經對此產生了濃厚的興趣，并開始給予高度的重視。隨著信息化程度的日益提高，相關的標準、規(guī)范和知識框架、方法體系的研究，勢必成為促進信息化建設向有序化方向發(fā)展的重要保障。IT治理也將在各行業(yè)中發(fā)揮越來越重要的作用。

4.知識產權狀況

據資料查證，目前我國在這一領域的研究、開發(fā)和應用還比較薄弱，隨著信息化程度的日益提高，相關的標準、規(guī)范和知識框架、方法體系的研究，勢必成為加快信息化建設向有序化方向發(fā)展的重要保障。據搜索了解，現在國內尚沒有與該項目完全一樣的設計，也沒有雷同的進展中的項目。

三、項目的創(chuàng)新性

1.理論創(chuàng)新

一般IT管理系統(tǒng)基于IT理論研究，運用到實際中主要靠有經驗的IT體系建設人員和IT審計人員進行推動，導致需要的人員經驗和成本校對較高，而因為人員素質或更迭對本單位的IT系統(tǒng)認知不足，導致的偏差市場出現，本課題涉及企業(yè)信息系統(tǒng)安全管理系統(tǒng)設計，對信息系統(tǒng)風險管理的八個領域（系統(tǒng)登記、威脅識別、脆弱性識別、風險識別、風險評估、控制分析、風險處置、風險監(jiān)控）進行監(jiān)控。

2.應用創(chuàng)新

圖2 信息企業(yè)信息管理模型

3.技術創(chuàng)新

對應管控風險角色（風險決策員、風險評估員、風險應對員、專家組），實現信息企業(yè)信息管理模型，通過對角色和任務的對應，達責任所依、人員可控、風險處置的目地，直接對企業(yè)信息系統(tǒng)可能存在的風險進行先期識別和消除，達到信息系統(tǒng)安全穩(wěn)定運行。最終達到：

（1）提供IT風險管理體系建設的實施方案建議

（2）協(xié)助評估企業(yè)現有IT風險管理的差距

（3）協(xié)助企業(yè)構建IT風險管理基本框架及體系

（4）協(xié)助企業(yè)編制IT風險管理手冊

（5）協(xié)助企業(yè)構建IT風險關鍵指標（KRI）及風險預警機制

（6）協(xié)助企業(yè)構建IT風險評估標準體系并進行風險評估

（7）協(xié)助企業(yè)構建IT風險管理數據庫

（8）協(xié)助企業(yè)制定IT風險管理策略

（9）協(xié)助企業(yè)評估IT風險應對措施的有效性

（10）協(xié)助企業(yè)IT風險控制流程與日常管理的融合

（11）協(xié)助企業(yè)IT風險管理控制流程的落地

（12）協(xié)助提供IT風險管理相關的各種培訓

（13）實現“內嵌式”的“全面”IT風險管理，發(fā)揮風險管理的效果

（14）立足于現有管理基礎，實現成本效益最大化

（15）契合各項法律法規(guī)要求，實現一舉多得的目標

（16）完成知識轉移，為企業(yè)培養(yǎng)IT內部控制的專業(yè)人才

四、項目應用前景和預期經濟、社會效益

1.項目應用前景

跨入21世紀， 隨著網絡和信息技術的發(fā)展， 互聯(lián)網及其應用高速發(fā)展， 同時國際范圍內出現了大規(guī)模黑客攻擊，信息戰(zhàn)的理論逐步發(fā)展，并且美國的軍事、政治、經濟和社會活動對信息基礎設施的依賴程度達到了空前的高度， 在此環(huán)境下， 美國又開始了對信息系統(tǒng)新一輪的評估和研究，產生了一些新的概念、法規(guī)和標準。

2.預期經濟社會效益

（1）本項目組成員既有專業(yè)高、中、初技術的研發(fā)隊伍和企業(yè)工程技術人員。同時將企業(yè)生產與校園教學科研有機結合，共同建設創(chuàng)新平臺，促進創(chuàng)新資源、技術成果開發(fā)和資本要素的有機結合等。

（2）本課題已完成所以理論知識準備工作，構建IT風險管理數據模型，并通過人工方式納入企業(yè)信息化安全管理體系進行實踐，取得良好經濟效果。下階段正準備通過自動化軟件方式實現，以達到企業(yè)自動化信息安全管控能力，實現社會效益。

參考文獻：

［1］2002年，美國國會發(fā)布了SOX《薩班斯—奧克斯利法案》