徐志剛

?

IT風(fēng)險管理系統(tǒng)

徐志剛

四川信息職業(yè)技術(shù)學(xué)院

摘 要：國際IT治理的五個領(lǐng)域，即：戰(zhàn)略一致、價值交付、資源管理、風(fēng)險管理、績效測評都與IT價值相關(guān)聯(lián)。其中兩個收益方面內(nèi)容（即：價值交付和風(fēng)險管理）直接與價值有關(guān)。那么如何做好風(fēng)險管理，從哪些方面去識別風(fēng)險、如何去識別風(fēng)險、如何去做IT風(fēng)險評估、如何進行事件發(fā)生的可能性及后果分析等都需要相應(yīng)的手段和工具。這樣才能夠?qū)T基礎(chǔ)做到有效治理，實現(xiàn)戰(zhàn)略價值。

關(guān)鍵詞：IT風(fēng)險；風(fēng)險管理；管理系統(tǒng)

一、主要目標(biāo)、研究內(nèi)容、技術(shù)關(guān)鍵、技術(shù)路線和應(yīng)用方案

1.主要目標(biāo)

研究開發(fā)“IT風(fēng)險管理系統(tǒng)”，為IT系統(tǒng)風(fēng)險識別、評估、監(jiān)控、處置等一系列風(fēng)險管理活動提供便捷的工具和技術(shù)手段。

2.主要內(nèi)容

通過IT技術(shù)手段實現(xiàn)對業(yè)務(wù)流程的風(fēng)險控制。實現(xiàn)信息技術(shù)與業(yè)務(wù)流程的緊密的結(jié)合，體現(xiàn)業(yè)務(wù)的支撐和載體。在業(yè)務(wù)流程中所產(chǎn)生的風(fēng)險的技術(shù)特點，通過對信息技術(shù)的改造實現(xiàn)業(yè)務(wù)流程的優(yōu)化相對于單純對業(yè)務(wù)流程的改造更容易實現(xiàn)，更容易為企業(yè)所接受。

IT風(fēng)險管理系統(tǒng)業(yè)務(wù)流程：系統(tǒng)登記→威脅識別→脆弱性識別→風(fēng)險識別→風(fēng)險評估→控制分析→風(fēng)險處置→風(fēng)險監(jiān)控。

3.技術(shù)關(guān)鍵

解決如何在風(fēng)險可控的狀態(tài)下實現(xiàn)信息技術(shù)和業(yè)務(wù)訴求的有效融合。完成一個完整的系統(tǒng)包括了用戶管理、流程管理和信息查詢等功能模塊。以下為該系統(tǒng)思路的核心業(yè)務(wù)功能流程。

4.技術(shù)路線和應(yīng)用方案

八大主要功能流程，構(gòu)成整個風(fēng)險管理體系的風(fēng)險識別、評估、監(jiān)控、處置等一系列活動，對于資產(chǎn)管理、新資產(chǎn)上線安全評估等子流程和功能會在具體的開發(fā)工作中細(xì)化。

二、國內(nèi)外研究現(xiàn)狀、發(fā)展趨勢和知識產(chǎn)權(quán)狀況分析

1.國外現(xiàn)狀

國外軟件項目風(fēng)險管理的研究于1989年的美國，由于美國軍方自主設(shè)在卡內(nèi)基.梅隆大學(xué)的SEI則是1900年來研究和時間軟件風(fēng)險管理的最大基地，此外英國和芬蘭、挪威、荷蘭、瑞典等國組成的北歐經(jīng)濟圈以及澳大利亞、日本、韓國也有一定的成果問世，而其他國家和地區(qū)只有零星的相關(guān)報道，都未形成規(guī)模氣勢。

2.國內(nèi)現(xiàn)狀

國內(nèi)IT業(yè)在過去相當(dāng)一段時間內(nèi)不重視項目的風(fēng)險管理，其根源在于IT行業(yè)當(dāng)時的平均利潤遠(yuǎn)遠(yuǎn)高于傳統(tǒng)行業(yè)，即使內(nèi)部存在問題，風(fēng)險發(fā)生都仍能贏利，所以眾多IT企業(yè)忽視了項目風(fēng)險的管理作用，IT行業(yè)的競爭日益激烈行業(yè)平均利潤逐漸下降，從而促進越來越多的企業(yè)重視項目的風(fēng)險管理。該項目通過IT治理的五個領(lǐng)域，即：戰(zhàn)略一致、價值交付、資源管理、風(fēng)險管理、績效測評都與IT價值相關(guān)聯(lián)。其中兩個收益方面內(nèi)容（即：價值交付和風(fēng)險管理）直接與價值有關(guān)。

3.發(fā)展趨勢

目前我們在這一領(lǐng)域的研究、交流和應(yīng)用還比較薄弱，但是，一些高端行業(yè)（銀行、運營商）對此已經(jīng)對此產(chǎn)生了濃厚的興趣，并開始給予高度的重視。隨著信息化程度的日益提高，相關(guān)的標(biāo)準(zhǔn)、規(guī)范和知識框架、方法體系的研究，勢必成為促進信息化建設(shè)向有序化方向發(fā)展的重要保障。IT治理也將在各行業(yè)中發(fā)揮越來越重要的作用。

4.知識產(chǎn)權(quán)狀況

據(jù)資料查證，目前我國在這一領(lǐng)域的研究、開發(fā)和應(yīng)用還比較薄弱，隨著信息化程度的日益提高，相關(guān)的標(biāo)準(zhǔn)、規(guī)范和知識框架、方法體系的研究，勢必成為加快信息化建設(shè)向有序化方向發(fā)展的重要保障。據(jù)搜索了解，現(xiàn)在國內(nèi)尚沒有與該項目完全一樣的設(shè)計，也沒有雷同的進展中的項目。

三、項目的創(chuàng)新性

1.理論創(chuàng)新

一般IT管理系統(tǒng)基于IT理論研究，運用到實際中主要靠有經(jīng)驗的IT體系建設(shè)人員和IT審計人員進行推動，導(dǎo)致需要的人員經(jīng)驗和成本校對較高，而因為人員素質(zhì)或更迭對本單位的IT系統(tǒng)認(rèn)知不足，導(dǎo)致的偏差市場出現(xiàn)，本課題涉及企業(yè)信息系統(tǒng)安全管理系統(tǒng)設(shè)計，對信息系統(tǒng)風(fēng)險管理的八個領(lǐng)域（系統(tǒng)登記、威脅識別、脆弱性識別、風(fēng)險識別、風(fēng)險評估、控制分析、風(fēng)險處置、風(fēng)險監(jiān)控）進行監(jiān)控。

2.應(yīng)用創(chuàng)新

圖2 信息企業(yè)信息管理模型

3.技術(shù)創(chuàng)新

對應(yīng)管控風(fēng)險角色（風(fēng)險決策員、風(fēng)險評估員、風(fēng)險應(yīng)對員、專家組），實現(xiàn)信息企業(yè)信息管理模型，通過對角色和任務(wù)的對應(yīng)，達(dá)責(zé)任所依、人員可控、風(fēng)險處置的目地，直接對企業(yè)信息系統(tǒng)可能存在的風(fēng)險進行先期識別和消除，達(dá)到信息系統(tǒng)安全穩(wěn)定運行。最終達(dá)到：

（1）提供IT風(fēng)險管理體系建設(shè)的實施方案建議

（2）協(xié)助評估企業(yè)現(xiàn)有IT風(fēng)險管理的差距

（3）協(xié)助企業(yè)構(gòu)建IT風(fēng)險管理基本框架及體系

（4）協(xié)助企業(yè)編制IT風(fēng)險管理手冊

（5）協(xié)助企業(yè)構(gòu)建IT風(fēng)險關(guān)鍵指標(biāo)（KRI）及風(fēng)險預(yù)警機制

（6）協(xié)助企業(yè)構(gòu)建IT風(fēng)險評估標(biāo)準(zhǔn)體系并進行風(fēng)險評估

（7）協(xié)助企業(yè)構(gòu)建IT風(fēng)險管理數(shù)據(jù)庫

（8）協(xié)助企業(yè)制定IT風(fēng)險管理策略

（9）協(xié)助企業(yè)評估IT風(fēng)險應(yīng)對措施的有效性

（10）協(xié)助企業(yè)IT風(fēng)險控制流程與日常管理的融合

（11）協(xié)助企業(yè)IT風(fēng)險管理控制流程的落地

（12）協(xié)助提供IT風(fēng)險管理相關(guān)的各種培訓(xùn)

（13）實現(xiàn)“內(nèi)嵌式”的“全面”IT風(fēng)險管理，發(fā)揮風(fēng)險管理的效果

（14）立足于現(xiàn)有管理基礎(chǔ)，實現(xiàn)成本效益最大化

（15）契合各項法律法規(guī)要求，實現(xiàn)一舉多得的目標(biāo)

（16）完成知識轉(zhuǎn)移，為企業(yè)培養(yǎng)IT內(nèi)部控制的專業(yè)人才

四、項目應(yīng)用前景和預(yù)期經(jīng)濟、社會效益

1.項目應(yīng)用前景

跨入21世紀(jì)， 隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展， 互聯(lián)網(wǎng)及其應(yīng)用高速發(fā)展， 同時國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊，信息戰(zhàn)的理論逐步發(fā)展，并且美國的軍事、政治、經(jīng)濟和社會活動對信息基礎(chǔ)設(shè)施的依賴程度達(dá)到了空前的高度， 在此環(huán)境下， 美國又開始了對信息系統(tǒng)新一輪的評估和研究，產(chǎn)生了一些新的概念、法規(guī)和標(biāo)準(zhǔn)。

2.預(yù)期經(jīng)濟社會效益

（1）本項目組成員既有專業(yè)高、中、初技術(shù)的研發(fā)隊伍和企業(yè)工程技術(shù)人員。同時將企業(yè)生產(chǎn)與校園教學(xué)科研有機結(jié)合，共同建設(shè)創(chuàng)新平臺，促進創(chuàng)新資源、技術(shù)成果開發(fā)和資本要素的有機結(jié)合等。

（2）本課題已完成所以理論知識準(zhǔn)備工作，構(gòu)建IT風(fēng)險管理數(shù)據(jù)模型，并通過人工方式納入企業(yè)信息化安全管理體系進行實踐，取得良好經(jīng)濟效果。下階段正準(zhǔn)備通過自動化軟件方式實現(xiàn)，以達(dá)到企業(yè)自動化信息安全管控能力，實現(xiàn)社會效益。

參考文獻(xiàn)：

［1］2002年，美國國會發(fā)布了SOX《薩班斯—奧克斯利法案》