1企業(yè)IT風險類型

(1)IT治理風險。IT治理風險的宏觀體現(xiàn)是最高管理層對信息化理解的不確定性、以及企業(yè)領導力影響的不確定性;微觀體現(xiàn)是缺乏制度化與標準化的約束，缺乏部門之間及流程之間協(xié)調、溝通的機制，造成IT系統(tǒng)與業(yè)務需求的脫離，以及IT系統(tǒng)和企業(yè)信息資源間的孤立。

(2)遵從性風險。指企業(yè)內部IT策略與外部法律法規(guī)的遵從(Compliance)所導致的風險。伴隨信息技術的發(fā)展，國內外出臺大量法律法規(guī)加強了對信息系統(tǒng)的監(jiān)管。例如，2002年美國國會發(fā)布的《薩班斯—奧克斯利法案》雖然沒有直接明確對信息系統(tǒng)的要求，但據(jù)統(tǒng)計，企業(yè)在實施符合法案要求的工作中，信息系統(tǒng)方面的工作量占比超過40%;2006年中國銀監(jiān)會發(fā)布《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》，也直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統(tǒng)審計的要求。

(3)信息安全風險。企業(yè)信息系統(tǒng)不斷開放和復雜，使得信息安全面臨來自內外部的嚴峻挑戰(zhàn)。針對企業(yè)信息系統(tǒng)的攻擊方式簡單易學、攻擊對象身份隱匿，造成企業(yè)信息安全風險極易轉化為現(xiàn)實的業(yè)務威脅，如支持員工移動辦公給企業(yè)資產安全性和可用性帶來的壓力倍增，許多敏感機密信息被輕易泄露。

(4)可用性風險。可用性風險主要來自三個方面，一是IT平臺系統(tǒng)自身漏洞導致的系統(tǒng)停機事件越發(fā)難以掌控;二是由于事件管理、變更管理、配置管理、連續(xù)性計劃等IT服務管理流程缺失或不到位，導致IT系統(tǒng)不可用;三是來自自然的災害威脅著IT系統(tǒng)的可用性。

(5)績效風險。若IT投資行為不能帶來合理的回報，如規(guī)劃不當、控制不嚴等，將使組織面臨巨大財務風險。同時，如果對IT的投資績效和運行績效不能進行有效測量，就不能有效地發(fā)現(xiàn)存在的問題，并采取針對性的改進措施。隨著信息系統(tǒng)日益成為企業(yè)經營成功的核心，且貫穿在完整的流程過程中，企業(yè)業(yè)務和支撐業(yè)務的信息系統(tǒng)愈加無法分割，形成有機的整體。因此，IT風險帶來的挑戰(zhàn)不僅影響到信息系統(tǒng)本身，也同時會影響到業(yè)務的穩(wěn)定運行及發(fā)展，更有可能影響到外部的業(yè)務客戶。在應對這些IT風險時，傳統(tǒng)的方式大多是采用事后反應式的控制措施，使得技術人員疲于應付各種層出不窮的風險，且在面對制度、流程、人員行為等方面帶來的風險時，傳統(tǒng)的控制方法存在明顯不足，而降低企業(yè)IT風險的關鍵是需要有一個主動、科學的風險管理體系。

2企業(yè)IT風險管理及其標準指南

企業(yè)IT風險管理是圍繞企業(yè)信息化戰(zhàn)略目標，通過在信息系統(tǒng)的規(guī)劃、開發(fā)、運行、維護、監(jiān)控與評價的各個階段中降低企業(yè)風險的科學化管理流程，包括風險管理的策略制定、風險的識別、風險的評估、風險的處置等環(huán)節(jié)，以達到企業(yè)信息化可持續(xù)發(fā)展的目標。一個科學的IT風險管理體系是一個具有前瞻性、全局性的控制機制，能綜合防范和應對IT治理、法規(guī)遵從、系統(tǒng)可用、信息安全、IT外包、業(yè)務連續(xù)性、IT績效等諸多方面的企業(yè)風險，并能使企業(yè)IT戰(zhàn)略與企業(yè)綜合戰(zhàn)略相融合，以實現(xiàn)有效益、可持續(xù)的信息化發(fā)展。信息社會環(huán)境下，無論何種規(guī)模、什么類型的企業(yè)，都需要面臨圍繞信息系統(tǒng)制定一套管理體系和控制指南，有效地管理企業(yè)面臨的各種各樣的風險，并隨著業(yè)務環(huán)境的變化和新技術的發(fā)展及時更新。

在此方面，國內外已經有一些較為成熟的企業(yè)IT風險管理的標準或指南。例如美國反虛假財務報告委員會(COSO)于2004年頒布的《COSO企業(yè)風險管理框架》，此框架要求企業(yè)管理者以風險組合的觀點看待企業(yè)風險，對包括IT風險在內的所有風險進行識別，并采取措施使企業(yè)所承擔的風險在風險容納量(ＲiskAppetite)的范圍內。而美國信息系統(tǒng)審計與控制協(xié)會的COBIT標準自1996年誕生以來已經更新到了第四版，已成為全球通用的信息系統(tǒng)審計標準，該標準每一次更新都在不斷強化IT風險控制的目標內容，為企業(yè)信息系統(tǒng)安全審計提出了具體指導。此外，國際知名的信息安全標準也都提出了各自的IT風險管理控制框架，包括ITIL(Infor-mationTechnologyInfrastructureLibrary，信息技術基礎架構庫)、ISO27001(信息安全管理使用規(guī)則)、CMMI(CapabilityMaturityModelIntegration，能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments，受控環(huán)境下的項目)等。

近年來，我國的信息化主管部門以及各行業(yè)也積極加強了企業(yè)風險管理。以金融業(yè)為例，2004年9月銀監(jiān)會發(fā)布了《商業(yè)銀行內部控制評價試行辦法》，其中包括了對銀行計算機系統(tǒng)的IT風險控制要求;2009年銀監(jiān)會出臺了《商業(yè)銀行信息科技風險管理指引》，2011年銀監(jiān)會發(fā)布了《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》。與此同時，其他行業(yè)監(jiān)管部門也已經或計劃出臺類似的風險管理措施。上述標準或指南為企業(yè)IT風險管理提供了原則指導和對策框架，如何將這些原則性建議與企業(yè)自身的工作實際相結合，如何將IT風險管理融入常態(tài)化的企業(yè)管理機制，仍然是企業(yè)管理實踐中的難點。因此，本文以我國企業(yè)IT風險管理的先行行業(yè)———金融業(yè)的管理實踐為例，詳細探討企業(yè)IT風險管理的體系結構及其關系，并就企業(yè)IT風險管理的實施提出具體建議。

3企業(yè)IT風險管理的體系框架

企業(yè)IT風險管理框架通過對企業(yè)信息安全各個層面實際需求和風險的分析，引入恰當?shù)陌踩刂拼胧⑶彝畔⑾到y(tǒng)審計相結合，從而保證企業(yè)信息資產的安全性、完整性和可用性。企業(yè)IT風險管理框架可分為風險治理、風險評估和風險應對三個主要的方面，并通過風險溝通和監(jiān)控等手段將三方面有效結合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式，能確保企業(yè)IT風險管理始終保持在可持續(xù)發(fā)展的軌道上，并通過階段性地進行信息系統(tǒng)審計，以發(fā)現(xiàn)存在的偏離，及時調整到信息化的最終目標上來。

3.1風險治理

主要內容包括建立基于風險的信息科技決策、定義風險策略、建立風險組織和風險整合等內容。例如宣傳IT風險對于決策的價值、將IT風險考慮納入業(yè)務和IT決策、整合IT風險策略和業(yè)務風險策略等都屬于風險治理的內容。

3.2風險評估

主要內容包括風險識別、風險分析和風險維護等內容。諸多國際標準都提出了信息安全風險評估的標準，如ISO27001(信息安全管理體系規(guī)范)、ISO/IECTＲ13335(信息技術安全管理指南)、NISTSP800－30(信息技術系統(tǒng)風險管理指南)等，可作為企業(yè)實施風險評估實踐的參考。風險評估包括識別具體的風險管理對象、識別風險、根據(jù)模型進行評估、識別現(xiàn)有控制、分析剩余風險等步驟。風險維護就是對企業(yè)識別出的風險進行管理，跟蹤風險處置情況，更新風險清單，可通過創(chuàng)建和維護風險數(shù)據(jù)庫來實現(xiàn)。風險維護也是風險評估的重要內容，以實現(xiàn)對風險的持續(xù)管理和改進。

3.3風險應對

風險應對就是對已識別的風險進行評估后，制定并落實相應的措施和整體策略，使剩余風險處于可控的范圍。風險應對措施包括接受風險、轉移風險、避免風險和降低風險。風險應對活動包括確定風險處置方案、實施風險處置、響應和處理風險事件等。

3.4風險監(jiān)控/溝通

風險監(jiān)控/溝通是鏈接企業(yè)IT風險管理各要素的關鍵環(huán)節(jié)，是企業(yè)IT風險管理體系得以運轉的重要方面，包括建立和運行風險指標體系、IT風險內部監(jiān)督體系、風險報告體系以及風險溝通渠道等。風險管理需要從管理層到普通員工的共同參與，這需要將風險直觀準確地展現(xiàn)、橫向和縱向的溝通、并持續(xù)進行監(jiān)控。

4企業(yè)IT風險管理的實施步驟

為了推進企業(yè)IT風險管理體系的實施，本文在總結金融企業(yè)信息系統(tǒng)安全風險管理的實施過程，得出企業(yè)IT風險管理可行的實施步驟，具體包括識別管理對象、風險識別、風險分析評估、風險應對、風險監(jiān)控/溝通等五大關鍵步驟。

4.1管理對象識別

明確風險管理對象是企業(yè)實施風險管理的首要步驟，本文提出風險地圖(ＲiskMap)的概念，即實現(xiàn)風險評估對象的可視化，明確識別出全部或特定領域的所有管理對象，只有保證企業(yè)風險地圖的全面性和準確性，才能準確識別并標示出IT風險所在的位置，從而進行有效的管理，一個全面的IT風險管理可從如下三大維度進行風險管理對象的識別:(1)從資產的角度進行識別，即對組成信息系統(tǒng)的系統(tǒng)、設備和數(shù)據(jù)等信息資產進行全面識別和統(tǒng)計，具體實施細則可參照ISO27001。(2)從管理領域的角度進行識別，如變更管理、事件管理、配置管理等，具體實施細則可參照COBIT。(3)從服務的角度進行識別，具體實施細可參照ISO20000執(zhí)行。

4.2風險識別

風險識別是通過科學方法了解企業(yè)所面臨的IT風險，分析風險的來源、性質，并進行風險處置和風險管理。風險識別通常采用以下方法:(1)頭腦風暴;(2)德爾菲方法;(3)故障樹分析法，又稱分解分析法;(4)業(yè)務流程分析法;(5)情景分析法;(6)專家預測法，包括個人經驗法、專家會議等形式;(7)篩選、監(jiān)測、診斷法;(8)資產財務狀況分析法。其中，德爾菲方法是最常用的IT風險分析方法之一，具體是指采用“背對背”的溝通方式征詢專家小組成員的預測意見，經過幾輪征詢，使專家小組的意見趨于集中，最后做出合理的預測結論，利用德爾菲法進行IT風險分析的具體流程如下。除了按照上述方法識別風險，也可直接從風險來源入手建立企業(yè)的IT風險清單，如行業(yè)公認的風險清單、監(jiān)管要求、監(jiān)管機構風險提示、過往事件、自我或外部風險評估結果、內部審計發(fā)現(xiàn)、管理層和內部員工在工作中的認識等。

4.3風險分析評估

IT風險分析評估是根據(jù)一定的評估模型，評估企業(yè)IT固有風險值、控制風險值，再根據(jù)固有風險值和控制風險值計算出剩余風險值。風險分析是IT風險管理中較難實施的一個環(huán)節(jié)，尤其是評估模型的制定，可以采用較易開展的定性方式，也可采用準確度較高的定量計算，也可以定量和定性綜合使用。以下是一種較為通用的風險分析模型和流程，可以對風險進行量化評估，具體流程包括:(1)計算固有風險值。從影響程度和發(fā)生可能性兩個維度進行評分，可得出固有風險分值。如下是風險評估的量化模型和公式。其中風險評分從影響程度和發(fā)生可能性兩方面進行計算，并給出影響程度和發(fā)生可能性兩方面的評估參數(shù)示例。(2)計算控制風險值。結合現(xiàn)有控制評估的結果，從設計、執(zhí)行、補償性控制三個層面，參照衡量標準，最終確認控制風險分值。(3)計算剩余風險評估。在獲得每一個風險的固有風險等級和控制風險等級后，可根據(jù)矩陣獲得剩余風險等級值。

4.4風險應對

首選需要確定管理層的風險偏好等級。風險偏好是為了實現(xiàn)目標，企業(yè)在承擔風險的種類、大小等方面的基本態(tài)度。然后根據(jù)剩余風險評估結果及風險偏好，依據(jù)內外部需求，并結合實際情況，針對剩余風險提供恰當?shù)目刂聘倪M建議，以將剩余風險降低到可接受的水平。風險處置措施包括接受風險、轉移風險、避免風險和降低風險。在風險處置計劃方面，一方面需要體現(xiàn)可操作性，如分為短期(半年)，中期(1年)，長期(2－3年)，同時也需要考慮多個維度，如組織架構、人員、制度流程和技術等。

4.5IT風險監(jiān)控/溝通

風險指標是有效進行風險監(jiān)控和溝通的重要手段。指標是一種可量化的、被事先認可的、用來反映組織目標實現(xiàn)程度的重要標識，是績效管理的有效手段。企業(yè)IT風險管理引入指標體系，可以促進整個活動的有效開展。指標的功能主要表現(xiàn)在以下三個方面:(1)在準備階段，可以清楚的反映目前企業(yè)的信息安全現(xiàn)狀，并為制定目標提供依據(jù);(2)在實施過程中，階段性地反映進展情況;(3)便于各層人員把握活動的進展情況:使高層領導清晰地了解關鍵要素的進展和改進情況;使管理者集中精力于對活動中的重要和關鍵要素，及時診斷活動中出現(xiàn)的問題并采取措施。在實踐中，應針對關鍵的風險領域，即根據(jù)企業(yè)及領導層的風險偏好，建立可監(jiān)控、可量化的IT關鍵風險指標。IT關鍵風險指標來源可包括內外部監(jiān)管機構數(shù)據(jù)、自動監(jiān)控平臺數(shù)據(jù)、IT風險檢查果、IT風險自報結果等。關鍵風險指標可分為風險指標(KＲI)、控制指標(KCI)。以變更管理的風險管理指標，可設置緊急變更次數(shù)、變更失敗比例、變更導致的事件數(shù)量等，針對每個變更管理風險管理指標，制定出相應的控制指標，如預警閥值和容忍閥值。

5結語

本文從IT風險管理框架和風險評估實踐兩個方面，分別闡述了企業(yè)實施IT風險管理的重點和實施方法。通過直觀的圖表清晰地展現(xiàn)了企業(yè)IT風險管理體系的結構、關聯(lián)和主要活動。同時結合多年對信息安全風險管理理論和實踐的研究，較為全面和具體地提出了企業(yè)IT風險管理實施的步驟建議，旨在為企業(yè)提供切實可行的風險管理實踐參考。限于篇幅，本文無法對IT風險管理的所有環(huán)節(jié)進行深入探討，且不同的企業(yè)有不同的安全需求和偏好，因此在實施IT風險管理的過程中還需根據(jù)自身的實際情況應地制宜、靈活應用。

作者：惠志斌 單位：上海社會科學院信息研究所