IT系統(tǒng)風(fēng)險(xiǎn)管理

    都說企業(yè)信息安全很重要，許多企業(yè)的IT主管們都想方設(shè)想地去實(shí)現(xiàn)企業(yè)的信息安全，但總歸是有一次次突發(fā)的事件，使得IT主管們認(rèn)識(shí)到，越來越龐大的IT資產(chǎn)管理難度越來越大，特別是對(duì)于持續(xù)運(yùn)行的大型IT系統(tǒng)而言，需要有一個(gè)清晰而明確的管理策略，而這些策略還需要前置，也就是IT系統(tǒng)的風(fēng)險(xiǎn)管理體系去支撐IT系統(tǒng)的運(yùn)營(yíng)。

    一般來說，企業(yè)信息系統(tǒng)的安全主要有如下四個(gè)來源：人、流程、技術(shù)和其它因素，需要重點(diǎn)說明的一點(diǎn)是，在IT系統(tǒng)部署中，采用了太新的技術(shù)，往往也是一件高風(fēng)險(xiǎn)的事情，特別是這項(xiàng)技術(shù)沒有經(jīng)過充分驗(yàn)證的情況下，IT系統(tǒng)的風(fēng)險(xiǎn)會(huì)成幾何倍數(shù)的增長(zhǎng)。同時(shí)，一個(gè)過于復(fù)雜的IT系統(tǒng)也是風(fēng)險(xiǎn)的源頭之一，太過于復(fù)雜的系統(tǒng)，往往對(duì)于運(yùn)營(yíng)與維護(hù)的要求就非常高，在這個(gè)過程中往往容易出錯(cuò)，再者對(duì)操作人員的能力水平要求也較高，這又是另一個(gè)難題。

    而IT系統(tǒng)的風(fēng)險(xiǎn)往往會(huì)對(duì)業(yè)務(wù)帶來如下影響：

    1、 性能：IT系統(tǒng)風(fēng)險(xiǎn)有的時(shí)候是致命的，但有的時(shí)候看起來也不是特別致命，無非是系統(tǒng)的性能慢一些，導(dǎo)致一線的許多操作人員是“人等系統(tǒng)”，在這里IT系統(tǒng)的性能就影響到了人員的績(jī)效，正好在英語中，性能與績(jī)效是同一個(gè)詞，看來這兩者之間還真的是有非常大的關(guān)聯(lián)。

    2、 安全：IT風(fēng)險(xiǎn)最大的風(fēng)險(xiǎn)，也是最直接的風(fēng)險(xiǎn)就是安全，這也會(huì)影響到業(yè)務(wù)的安全，如IT系統(tǒng)的數(shù)據(jù)由于服務(wù)器出問題全面丟失了，企業(yè)會(huì)面臨著怎么樣的問題？或者都有可能導(dǎo)致企業(yè)的關(guān)門大吉也不為過。

    3、 成本：包括金錢成本和時(shí)間成本：在不久之前，我就某房地產(chǎn)企業(yè)的ERP系統(tǒng)，由于性能問題，無法按照計(jì)劃進(jìn)行開盤，導(dǎo)致當(dāng)天損失了上億的交易額的問題，一怒之下直接將原有IT系統(tǒng)廢除，重新構(gòu)建的案例，在這個(gè)例子中就出現(xiàn)了典型的成本代價(jià)。

    下圖是一個(gè)典型的風(fēng)險(xiǎn)管理模型，在這個(gè)風(fēng)險(xiǎn)管理模型中，我們可以看到，企業(yè)信息系統(tǒng)的風(fēng)險(xiǎn)管理是由識(shí)別、分析、計(jì)劃、跟蹤、控制五大過程組成的閉環(huán)，在這個(gè)閉環(huán)中一個(gè)核心成果必須全程管理，也就是我們常說的《風(fēng)險(xiǎn)登記冊(cè)》。在這個(gè)閉環(huán)的過程中，需要IT人員定期的、或是通過事件觸發(fā)的進(jìn)行IT風(fēng)險(xiǎn)線索進(jìn)行識(shí)別定義，明確了風(fēng)險(xiǎn)之后進(jìn)行整體分析，并給出相應(yīng)的應(yīng)對(duì)策略和計(jì)劃，在風(fēng)險(xiǎn)爆發(fā)的時(shí)候通過有效跟蹤，確保風(fēng)險(xiǎn)得到控制，最終平息該風(fēng)險(xiǎn)。
 

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：IT系統(tǒng)風(fēng)險(xiǎn)管理體系的構(gòu)建思路

本文網(wǎng)址：http://www.oesoe.com/html/support/1112189075.html