徐志刚
IT风险管理系统
徐志刚
四川信息职业技术学院
摘 要:国际IT治理的五个领域,即:战略一致、价值交付、资源管理、风险管理、绩效测评都与IT价值相关联。其中两个收益方面内容(即:价值交付和风险管理)直接与价值有关。那么如何做好风险管理,从哪些方面去识别风险、如何去识别风险、如何去做IT风险评估、如何进行事件发生的可能性及后果分析等都需要相应的手段和工具。这样才能够对IT基础做到有效治理,实现战略价值。
关键词:IT风险;风险管理;管理系统
1.主要目标
研究开发“IT风险管理系统”,为IT系统风险识别、评估、监控、处置等一系列风险管理活动提供便捷的工具和技术手段。
2.主要内容
通过IT技术手段实现对业务流程的风险控制。实现信息技术与业务流程的紧密的结合,体现业务的支撑和载体。在业务流程中所产生的风险的技术特点,通过对信息技术的改造实现业务流程的优化相对于单纯对业务流程的改造更容易实现,更容易为企业所接受。
IT风险管理系统业务流程:系统登记→威胁识别→脆弱性识别→风险识别→风险评估→控制分析→风险处置→风险监控。
3.技术关键
解决如何在风险可控的状态下实现信息技术和业务诉求的有效融合。完成一个完整的系统包括了用户管理、流程管理和信息查询等功能模块。以下为该系统思路的核心业务功能流程。
4.技术路线和应用方案
八大主要功能流程,构成整个风险管理体系的风险识别、评估、监控、处置等一系列活动,对于资产管理、新资产上线安全评估等子流程和功能会在具体的开发工作中细化。
1.国外现状
国外软件项目风险管理的研究于1989年的美国,由于美国军方自主设在卡内基.梅隆大学的SEI则是1900年来研究和时间软件风险管理的最大基地,此外英国和芬兰、挪威、荷兰、瑞典等国组成的北欧经济圈以及澳大利亚、日本、韩国也有一定的成果问世,而其他国家和地区只有零星的相关报道,都未形成规模气势。
2.国内现状
国内IT业在过去相当一段时间内不重视项目的风险管理,其根源在于IT行业当时的平均利润远远高于传统行业,即使内部存在问题,风险发生都仍能赢利,所以众多IT企业忽视了项目风险的管理作用,IT行业的竞争日益激烈行业平均利润逐渐下降,从而促进越来越多的企业重视项目的风险管理。该项目通过IT治理的五个领域,即:战略一致、价值交付、资源管理、风险管理、绩效测评都与IT价值相关联。其中两个收益方面内容(即:价值交付和风险管理)直接与价值有关。
3.发展趋势
目前我们在这一领域的研究、交流和应用还比较薄弱,但是,一些高端行业(银行、运营商)对此已经对此产生了浓厚的兴趣,并开始给予高度的重视。随着信息化程度的日益提高,相关的标准、规范和知识框架、方法体系的研究,势必成为促进信息化建设向有序化方向发展的重要保障。IT治理也将在各行业中发挥越来越重要的作用。
4.知识产权状况
据资料查证,目前我国在这一领域的研究、开发和应用还比较薄弱,随着信息化程度的日益提高,相关的标准、规范和知识框架、方法体系的研究,势必成为加快信息化建设向有序化方向发展的重要保障。据搜索了解,现在国内尚没有与该项目完全一样的设计,也没有雷同的进展中的项目。
1.理论创新
一般IT管理系统基于IT理论研究,运用到实际中主要靠有经验的IT体系建设人员和IT审计人员进行推动,导致需要的人员经验和成本校对较高,而因为人员素质或更迭对本单位的IT系统认知不足,导致的偏差市场出现,本课题涉及企业信息系统安全管理系统设计,对信息系统风险管理的八个领域(系统登记、威胁识别、脆弱性识别、风险识别、风险评估、控制分析、风险处置、风险监控)进行监控。
2.应用创新
图2 信息企业信息管理模型
3.技术创新
对应管控风险角色(风险决策员、风险评估员、风险应对员、专家组),实现信息企业信息管理模型,通过对角色和任务的对应,达责任所依、人员可控、风险处置的目地,直接对企业信息系统可能存在的风险进行先期识别和消除,达到信息系统安全稳定运行。最终达到:
(1)提供IT风险管理体系建设的实施方案建议
(2)协助评估企业现有IT风险管理的差距
(3)协助企业构建IT风险管理基本框架及体系
(4)协助企业编制IT风险管理手册
(5)协助企业构建IT风险关键指标(KRI)及风险预警机制
(6)协助企业构建IT风险评估标准体系并进行风险评估
(7)协助企业构建IT风险管理数据库
(8)协助企业制定IT风险管理策略
(9)协助企业评估IT风险应对措施的有效性
(10)协助企业IT风险控制流程与日常管理的融合
(11)协助企业IT风险管理控制流程的落地
(12)协助提供IT风险管理相关的各种培训
(13)实现“内嵌式”的“全面”IT风险管理,发挥风险管理的效果
(14)立足于现有管理基础,实现成本效益最大化
(15)契合各项法律法规要求,实现一举多得的目标
(16)完成知识转移,为企业培养IT内部控制的专业人才
1.项目应用前景
跨入21世纪, 随着网络和信息技术的发展, 互联网及其应用高速发展, 同时国际范围内出现了大规模黑客攻击,信息战的理论逐步发展,并且美国的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了空前的高度, 在此环境下, 美国又开始了对信息系统新一轮的评估和研究,产生了一些新的概念、法规和标准。
2.预期经济社会效益
(1)本项目组成员既有专业高、中、初技术的研发队伍和企业工程技术人员。同时将企业生产与校园教学科研有机结合,共同建设创新平台,促进创新资源、技术成果开发和资本要素的有机结合等。
(2)本课题已完成所以理论知识准备工作,构建IT风险管理数据模型,并通过人工方式纳入企业信息化安全管理体系进行实践,取得良好经济效果。下阶段正准备通过自动化软件方式实现,以达到企业自动化信息安全管控能力,实现社会效益。
参考文献:
[1]2002年,美国国会发布了SOX《萨班斯—奥克斯利法案》