1企業(yè)IT風(fēng)險(xiǎn)類型

(1)IT治理風(fēng)險(xiǎn)。IT治理風(fēng)險(xiǎn)的宏觀體現(xiàn)是最高管理層對(duì)信息化理解的不確定性、以及企業(yè)領(lǐng)導(dǎo)力影響的不確定性;微觀體現(xiàn)是缺乏制度化與標(biāo)準(zhǔn)化的約束，缺乏部門之間及流程之間協(xié)調(diào)、溝通的機(jī)制，造成IT系統(tǒng)與業(yè)務(wù)需求的脫離，以及IT系統(tǒng)和企業(yè)信息資源間的孤立。

(2)遵從性風(fēng)險(xiǎn)。指企業(yè)內(nèi)部IT策略與外部法律法規(guī)的遵從(Compliance)所導(dǎo)致的風(fēng)險(xiǎn)。伴隨信息技術(shù)的發(fā)展，國(guó)內(nèi)外出臺(tái)大量法律法規(guī)加強(qiáng)了對(duì)信息系統(tǒng)的監(jiān)管。例如，2002年美國(guó)國(guó)會(huì)發(fā)布的《薩班斯—奧克斯利法案》雖然沒有直接明確對(duì)信息系統(tǒng)的要求，但據(jù)統(tǒng)計(jì)，企業(yè)在實(shí)施符合法案要求的工作中，信息系統(tǒng)方面的工作量占比超過40%;2006年中國(guó)銀監(jiān)會(huì)發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》，也直接對(duì)技術(shù)風(fēng)險(xiǎn)較大的電子銀行提出了進(jìn)行獨(dú)立的或相對(duì)獨(dú)立的信息系統(tǒng)審計(jì)的要求。

(3)信息安全風(fēng)險(xiǎn)。企業(yè)信息系統(tǒng)不斷開放和復(fù)雜，使得信息安全面臨來自內(nèi)外部的嚴(yán)峻挑戰(zhàn)。針對(duì)企業(yè)信息系統(tǒng)的攻擊方式簡(jiǎn)單易學(xué)、攻擊對(duì)象身份隱匿，造成企業(yè)信息安全風(fēng)險(xiǎn)極易轉(zhuǎn)化為現(xiàn)實(shí)的業(yè)務(wù)威脅，如支持員工移動(dòng)辦公給企業(yè)資產(chǎn)安全性和可用性帶來的壓力倍增，許多敏感機(jī)密信息被輕易泄露。

(4)可用性風(fēng)險(xiǎn)。可用性風(fēng)險(xiǎn)主要來自三個(gè)方面，一是IT平臺(tái)系統(tǒng)自身漏洞導(dǎo)致的系統(tǒng)停機(jī)事件越發(fā)難以掌控;二是由于事件管理、變更管理、配置管理、連續(xù)性計(jì)劃等IT服務(wù)管理流程缺失或不到位，導(dǎo)致IT系統(tǒng)不可用;三是來自自然的災(zāi)害威脅著IT系統(tǒng)的可用性。

(5)績(jī)效風(fēng)險(xiǎn)。若IT投資行為不能帶來合理的回報(bào)，如規(guī)劃不當(dāng)、控制不嚴(yán)等，將使組織面臨巨大財(cái)務(wù)風(fēng)險(xiǎn)。同時(shí)，如果對(duì)IT的投資績(jī)效和運(yùn)行績(jī)效不能進(jìn)行有效測(cè)量，就不能有效地發(fā)現(xiàn)存在的問題，并采取針對(duì)性的改進(jìn)措施。隨著信息系統(tǒng)日益成為企業(yè)經(jīng)營(yíng)成功的核心，且貫穿在完整的流程過程中，企業(yè)業(yè)務(wù)和支撐業(yè)務(wù)的信息系統(tǒng)愈加無法分割，形成有機(jī)的整體。因此，IT風(fēng)險(xiǎn)帶來的挑戰(zhàn)不僅影響到信息系統(tǒng)本身，也同時(shí)會(huì)影響到業(yè)務(wù)的穩(wěn)定運(yùn)行及發(fā)展，更有可能影響到外部的業(yè)務(wù)客戶。在應(yīng)對(duì)這些IT風(fēng)險(xiǎn)時(shí)，傳統(tǒng)的方式大多是采用事后反應(yīng)式的控制措施，使得技術(shù)人員疲于應(yīng)付各種層出不窮的風(fēng)險(xiǎn)，且在面對(duì)制度、流程、人員行為等方面帶來的風(fēng)險(xiǎn)時(shí)，傳統(tǒng)的控制方法存在明顯不足，而降低企業(yè)IT風(fēng)險(xiǎn)的關(guān)鍵是需要有一個(gè)主動(dòng)、科學(xué)的風(fēng)險(xiǎn)管理體系。

2企業(yè)IT風(fēng)險(xiǎn)管理及其標(biāo)準(zhǔn)指南

企業(yè)IT風(fēng)險(xiǎn)管理是圍繞企業(yè)信息化戰(zhàn)略目標(biāo)，通過在信息系統(tǒng)的規(guī)劃、開發(fā)、運(yùn)行、維護(hù)、監(jiān)控與評(píng)價(jià)的各個(gè)階段中降低企業(yè)風(fēng)險(xiǎn)的科學(xué)化管理流程，包括風(fēng)險(xiǎn)管理的策略制定、風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)的評(píng)估、風(fēng)險(xiǎn)的處置等環(huán)節(jié)，以達(dá)到企業(yè)信息化可持續(xù)發(fā)展的目標(biāo)。一個(gè)科學(xué)的IT風(fēng)險(xiǎn)管理體系是一個(gè)具有前瞻性、全局性的控制機(jī)制，能綜合防范和應(yīng)對(duì)IT治理、法規(guī)遵從、系統(tǒng)可用、信息安全、IT外包、業(yè)務(wù)連續(xù)性、IT績(jī)效等諸多方面的企業(yè)風(fēng)險(xiǎn)，并能使企業(yè)IT戰(zhàn)略與企業(yè)綜合戰(zhàn)略相融合，以實(shí)現(xiàn)有效益、可持續(xù)的信息化發(fā)展。信息社會(huì)環(huán)境下，無論何種規(guī)模、什么類型的企業(yè)，都需要面臨圍繞信息系統(tǒng)制定一套管理體系和控制指南，有效地管理企業(yè)面臨的各種各樣的風(fēng)險(xiǎn)，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新。

在此方面，國(guó)內(nèi)外已經(jīng)有一些較為成熟的企業(yè)IT風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)或指南。例如美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)(COSO)于2004年頒布的《COSO企業(yè)風(fēng)險(xiǎn)管理框架》，此框架要求企業(yè)管理者以風(fēng)險(xiǎn)組合的觀點(diǎn)看待企業(yè)風(fēng)險(xiǎn)，對(duì)包括IT風(fēng)險(xiǎn)在內(nèi)的所有風(fēng)險(xiǎn)進(jìn)行識(shí)別，并采取措施使企業(yè)所承擔(dān)的風(fēng)險(xiǎn)在風(fēng)險(xiǎn)容納量(ＲiskAppetite)的范圍內(nèi)。而美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的COBIT標(biāo)準(zhǔn)自1996年誕生以來已經(jīng)更新到了第四版，已成為全球通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)每一次更新都在不斷強(qiáng)化IT風(fēng)險(xiǎn)控制的目標(biāo)內(nèi)容，為企業(yè)信息系統(tǒng)安全審計(jì)提出了具體指導(dǎo)。此外，國(guó)際知名的信息安全標(biāo)準(zhǔn)也都提出了各自的IT風(fēng)險(xiǎn)管理控制框架，包括ITIL(Infor-mationTechnologyInfrastructureLibrary，信息技術(shù)基礎(chǔ)架構(gòu)庫)、ISO27001(信息安全管理使用規(guī)則)、CMMI(CapabilityMaturityModelIntegration，能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments，受控環(huán)境下的項(xiàng)目)等。

近年來，我國(guó)的信息化主管部門以及各行業(yè)也積極加強(qiáng)了企業(yè)風(fēng)險(xiǎn)管理。以金融業(yè)為例，2004年9月銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》，其中包括了對(duì)銀行計(jì)算機(jī)系統(tǒng)的IT風(fēng)險(xiǎn)控制要求;2009年銀監(jiān)會(huì)出臺(tái)了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，2011年銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》。與此同時(shí)，其他行業(yè)監(jiān)管部門也已經(jīng)或計(jì)劃出臺(tái)類似的風(fēng)險(xiǎn)管理措施。上述標(biāo)準(zhǔn)或指南為企業(yè)IT風(fēng)險(xiǎn)管理提供了原則指導(dǎo)和對(duì)策框架，如何將這些原則性建議與企業(yè)自身的工作實(shí)際相結(jié)合，如何將IT風(fēng)險(xiǎn)管理融入常態(tài)化的企業(yè)管理機(jī)制，仍然是企業(yè)管理實(shí)踐中的難點(diǎn)。因此，本文以我國(guó)企業(yè)IT風(fēng)險(xiǎn)管理的先行行業(yè)———金融業(yè)的管理實(shí)踐為例，詳細(xì)探討企業(yè)IT風(fēng)險(xiǎn)管理的體系結(jié)構(gòu)及其關(guān)系，并就企業(yè)IT風(fēng)險(xiǎn)管理的實(shí)施提出具體建議。

3企業(yè)IT風(fēng)險(xiǎn)管理的體系框架

企業(yè)IT風(fēng)險(xiǎn)管理框架通過對(duì)企業(yè)信息安全各個(gè)層面實(shí)際需求和風(fēng)險(xiǎn)的分析，引入恰當(dāng)?shù)陌踩刂拼胧⑶彝畔⑾到y(tǒng)審計(jì)相結(jié)合，從而保證企業(yè)信息資產(chǎn)的安全性、完整性和可用性。企業(yè)IT風(fēng)險(xiǎn)管理框架可分為風(fēng)險(xiǎn)治理、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)三個(gè)主要的方面，并通過風(fēng)險(xiǎn)溝通和監(jiān)控等手段將三方面有效結(jié)合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式，能確保企業(yè)IT風(fēng)險(xiǎn)管理始終保持在可持續(xù)發(fā)展的軌道上，并通過階段性地進(jìn)行信息系統(tǒng)審計(jì)，以發(fā)現(xiàn)存在的偏離，及時(shí)調(diào)整到信息化的最終目標(biāo)上來。

3.1風(fēng)險(xiǎn)治理

主要內(nèi)容包括建立基于風(fēng)險(xiǎn)的信息科技決策、定義風(fēng)險(xiǎn)策略、建立風(fēng)險(xiǎn)組織和風(fēng)險(xiǎn)整合等內(nèi)容。例如宣傳IT風(fēng)險(xiǎn)對(duì)于決策的價(jià)值、將IT風(fēng)險(xiǎn)考慮納入業(yè)務(wù)和IT決策、整合IT風(fēng)險(xiǎn)策略和業(yè)務(wù)風(fēng)險(xiǎn)策略等都屬于風(fēng)險(xiǎn)治理的內(nèi)容。

3.2風(fēng)險(xiǎn)評(píng)估

主要內(nèi)容包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)維護(hù)等內(nèi)容。諸多國(guó)際標(biāo)準(zhǔn)都提出了信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)，如ISO27001(信息安全管理體系規(guī)范)、ISO/IECTＲ13335(信息技術(shù)安全管理指南)、NISTSP800－30(信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南)等，可作為企業(yè)實(shí)施風(fēng)險(xiǎn)評(píng)估實(shí)踐的參考。風(fēng)險(xiǎn)評(píng)估包括識(shí)別具體的風(fēng)險(xiǎn)管理對(duì)象、識(shí)別風(fēng)險(xiǎn)、根據(jù)模型進(jìn)行評(píng)估、識(shí)別現(xiàn)有控制、分析剩余風(fēng)險(xiǎn)等步驟。風(fēng)險(xiǎn)維護(hù)就是對(duì)企業(yè)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理，跟蹤風(fēng)險(xiǎn)處置情況，更新風(fēng)險(xiǎn)清單，可通過創(chuàng)建和維護(hù)風(fēng)險(xiǎn)數(shù)據(jù)庫來實(shí)現(xiàn)。風(fēng)險(xiǎn)維護(hù)也是風(fēng)險(xiǎn)評(píng)估的重要內(nèi)容，以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的持續(xù)管理和改進(jìn)。

3.3風(fēng)險(xiǎn)應(yīng)對(duì)

風(fēng)險(xiǎn)應(yīng)對(duì)就是對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)估后，制定并落實(shí)相應(yīng)的措施和整體策略，使剩余風(fēng)險(xiǎn)處于可控的范圍。風(fēng)險(xiǎn)應(yīng)對(duì)措施包括接受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)應(yīng)對(duì)活動(dòng)包括確定風(fēng)險(xiǎn)處置方案、實(shí)施風(fēng)險(xiǎn)處置、響應(yīng)和處理風(fēng)險(xiǎn)事件等。

3.4風(fēng)險(xiǎn)監(jiān)控/溝通

風(fēng)險(xiǎn)監(jiān)控/溝通是鏈接企業(yè)IT風(fēng)險(xiǎn)管理各要素的關(guān)鍵環(huán)節(jié)，是企業(yè)IT風(fēng)險(xiǎn)管理體系得以運(yùn)轉(zhuǎn)的重要方面，包括建立和運(yùn)行風(fēng)險(xiǎn)指標(biāo)體系、IT風(fēng)險(xiǎn)內(nèi)部監(jiān)督體系、風(fēng)險(xiǎn)報(bào)告體系以及風(fēng)險(xiǎn)溝通渠道等。風(fēng)險(xiǎn)管理需要從管理層到普通員工的共同參與，這需要將風(fēng)險(xiǎn)直觀準(zhǔn)確地展現(xiàn)、橫向和縱向的溝通、并持續(xù)進(jìn)行監(jiān)控。

4企業(yè)IT風(fēng)險(xiǎn)管理的實(shí)施步驟

為了推進(jìn)企業(yè)IT風(fēng)險(xiǎn)管理體系的實(shí)施，本文在總結(jié)金融企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理的實(shí)施過程，得出企業(yè)IT風(fēng)險(xiǎn)管理可行的實(shí)施步驟，具體包括識(shí)別管理對(duì)象、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、風(fēng)險(xiǎn)監(jiān)控/溝通等五大關(guān)鍵步驟。

4.1管理對(duì)象識(shí)別

明確風(fēng)險(xiǎn)管理對(duì)象是企業(yè)實(shí)施風(fēng)險(xiǎn)管理的首要步驟，本文提出風(fēng)險(xiǎn)地圖(ＲiskMap)的概念，即實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估對(duì)象的可視化，明確識(shí)別出全部或特定領(lǐng)域的所有管理對(duì)象，只有保證企業(yè)風(fēng)險(xiǎn)地圖的全面性和準(zhǔn)確性，才能準(zhǔn)確識(shí)別并標(biāo)示出IT風(fēng)險(xiǎn)所在的位置，從而進(jìn)行有效的管理，一個(gè)全面的IT風(fēng)險(xiǎn)管理可從如下三大維度進(jìn)行風(fēng)險(xiǎn)管理對(duì)象的識(shí)別:(1)從資產(chǎn)的角度進(jìn)行識(shí)別，即對(duì)組成信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)進(jìn)行全面識(shí)別和統(tǒng)計(jì)，具體實(shí)施細(xì)則可參照ISO27001。(2)從管理領(lǐng)域的角度進(jìn)行識(shí)別，如變更管理、事件管理、配置管理等，具體實(shí)施細(xì)則可參照COBIT。(3)從服務(wù)的角度進(jìn)行識(shí)別，具體實(shí)施細(xì)可參照ISO20000執(zhí)行。

4.2風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是通過科學(xué)方法了解企業(yè)所面臨的IT風(fēng)險(xiǎn)，分析風(fēng)險(xiǎn)的來源、性質(zhì)，并進(jìn)行風(fēng)險(xiǎn)處置和風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)識(shí)別通常采用以下方法:(1)頭腦風(fēng)暴;(2)德爾菲方法;(3)故障樹分析法，又稱分解分析法;(4)業(yè)務(wù)流程分析法;(5)情景分析法;(6)專家預(yù)測(cè)法，包括個(gè)人經(jīng)驗(yàn)法、專家會(huì)議等形式;(7)篩選、監(jiān)測(cè)、診斷法;(8)資產(chǎn)財(cái)務(wù)狀況分析法。其中，德爾菲方法是最常用的IT風(fēng)險(xiǎn)分析方法之一，具體是指采用“背對(duì)背”的溝通方式征詢專家小組成員的預(yù)測(cè)意見，經(jīng)過幾輪征詢，使專家小組的意見趨于集中，最后做出合理的預(yù)測(cè)結(jié)論，利用德爾菲法進(jìn)行IT風(fēng)險(xiǎn)分析的具體流程如下。除了按照上述方法識(shí)別風(fēng)險(xiǎn)，也可直接從風(fēng)險(xiǎn)來源入手建立企業(yè)的IT風(fēng)險(xiǎn)清單，如行業(yè)公認(rèn)的風(fēng)險(xiǎn)清單、監(jiān)管要求、監(jiān)管機(jī)構(gòu)風(fēng)險(xiǎn)提示、過往事件、自我或外部風(fēng)險(xiǎn)評(píng)估結(jié)果、內(nèi)部審計(jì)發(fā)現(xiàn)、管理層和內(nèi)部員工在工作中的認(rèn)識(shí)等。

4.3風(fēng)險(xiǎn)分析評(píng)估

IT風(fēng)險(xiǎn)分析評(píng)估是根據(jù)一定的評(píng)估模型，評(píng)估企業(yè)IT固有風(fēng)險(xiǎn)值、控制風(fēng)險(xiǎn)值，再根據(jù)固有風(fēng)險(xiǎn)值和控制風(fēng)險(xiǎn)值計(jì)算出剩余風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)分析是IT風(fēng)險(xiǎn)管理中較難實(shí)施的一個(gè)環(huán)節(jié)，尤其是評(píng)估模型的制定，可以采用較易開展的定性方式，也可采用準(zhǔn)確度較高的定量計(jì)算，也可以定量和定性綜合使用。以下是一種較為通用的風(fēng)險(xiǎn)分析模型和流程，可以對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，具體流程包括:(1)計(jì)算固有風(fēng)險(xiǎn)值。從影響程度和發(fā)生可能性兩個(gè)維度進(jìn)行評(píng)分，可得出固有風(fēng)險(xiǎn)分值。如下是風(fēng)險(xiǎn)評(píng)估的量化模型和公式。其中風(fēng)險(xiǎn)評(píng)分從影響程度和發(fā)生可能性兩方面進(jìn)行計(jì)算，并給出影響程度和發(fā)生可能性兩方面的評(píng)估參數(shù)示例。(2)計(jì)算控制風(fēng)險(xiǎn)值。結(jié)合現(xiàn)有控制評(píng)估的結(jié)果，從設(shè)計(jì)、執(zhí)行、補(bǔ)償性控制三個(gè)層面，參照衡量標(biāo)準(zhǔn)，最終確認(rèn)控制風(fēng)險(xiǎn)分值。(3)計(jì)算剩余風(fēng)險(xiǎn)評(píng)估。在獲得每一個(gè)風(fēng)險(xiǎn)的固有風(fēng)險(xiǎn)等級(jí)和控制風(fēng)險(xiǎn)等級(jí)后，可根據(jù)矩陣獲得剩余風(fēng)險(xiǎn)等級(jí)值。

4.4風(fēng)險(xiǎn)應(yīng)對(duì)

首選需要確定管理層的風(fēng)險(xiǎn)偏好等級(jí)。風(fēng)險(xiǎn)偏好是為了實(shí)現(xiàn)目標(biāo)，企業(yè)在承擔(dān)風(fēng)險(xiǎn)的種類、大小等方面的基本態(tài)度。然后根據(jù)剩余風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)偏好，依據(jù)內(nèi)外部需求，并結(jié)合實(shí)際情況，針對(duì)剩余風(fēng)險(xiǎn)提供恰當(dāng)?shù)目刂聘倪M(jìn)建議，以將剩余風(fēng)險(xiǎn)降低到可接受的水平。風(fēng)險(xiǎn)處置措施包括接受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)處置計(jì)劃方面，一方面需要體現(xiàn)可操作性，如分為短期(半年)，中期(1年)，長(zhǎng)期(2－3年)，同時(shí)也需要考慮多個(gè)維度，如組織架構(gòu)、人員、制度流程和技術(shù)等。

4.5IT風(fēng)險(xiǎn)監(jiān)控/溝通

風(fēng)險(xiǎn)指標(biāo)是有效進(jìn)行風(fēng)險(xiǎn)監(jiān)控和溝通的重要手段。指標(biāo)是一種可量化的、被事先認(rèn)可的、用來反映組織目標(biāo)實(shí)現(xiàn)程度的重要標(biāo)識(shí)，是績(jī)效管理的有效手段。企業(yè)IT風(fēng)險(xiǎn)管理引入指標(biāo)體系，可以促進(jìn)整個(gè)活動(dòng)的有效開展。指標(biāo)的功能主要表現(xiàn)在以下三個(gè)方面:(1)在準(zhǔn)備階段，可以清楚的反映目前企業(yè)的信息安全現(xiàn)狀，并為制定目標(biāo)提供依據(jù);(2)在實(shí)施過程中，階段性地反映進(jìn)展情況;(3)便于各層人員把握活動(dòng)的進(jìn)展情況:使高層領(lǐng)導(dǎo)清晰地了解關(guān)鍵要素的進(jìn)展和改進(jìn)情況;使管理者集中精力于對(duì)活動(dòng)中的重要和關(guān)鍵要素，及時(shí)診斷活動(dòng)中出現(xiàn)的問題并采取措施。在實(shí)踐中，應(yīng)針對(duì)關(guān)鍵的風(fēng)險(xiǎn)領(lǐng)域，即根據(jù)企業(yè)及領(lǐng)導(dǎo)層的風(fēng)險(xiǎn)偏好，建立可監(jiān)控、可量化的IT關(guān)鍵風(fēng)險(xiǎn)指標(biāo)。IT關(guān)鍵風(fēng)險(xiǎn)指標(biāo)來源可包括內(nèi)外部監(jiān)管機(jī)構(gòu)數(shù)據(jù)、自動(dòng)監(jiān)控平臺(tái)數(shù)據(jù)、IT風(fēng)險(xiǎn)檢查果、IT風(fēng)險(xiǎn)自報(bào)結(jié)果等。關(guān)鍵風(fēng)險(xiǎn)指標(biāo)可分為風(fēng)險(xiǎn)指標(biāo)(KＲI)、控制指標(biāo)(KCI)。以變更管理的風(fēng)險(xiǎn)管理指標(biāo)，可設(shè)置緊急變更次數(shù)、變更失敗比例、變更導(dǎo)致的事件數(shù)量等，針對(duì)每個(gè)變更管理風(fēng)險(xiǎn)管理指標(biāo)，制定出相應(yīng)的控制指標(biāo)，如預(yù)警閥值和容忍閥值。

5結(jié)語

本文從IT風(fēng)險(xiǎn)管理框架和風(fēng)險(xiǎn)評(píng)估實(shí)踐兩個(gè)方面，分別闡述了企業(yè)實(shí)施IT風(fēng)險(xiǎn)管理的重點(diǎn)和實(shí)施方法。通過直觀的圖表清晰地展現(xiàn)了企業(yè)IT風(fēng)險(xiǎn)管理體系的結(jié)構(gòu)、關(guān)聯(lián)和主要活動(dòng)。同時(shí)結(jié)合多年對(duì)信息安全風(fēng)險(xiǎn)管理理論和實(shí)踐的研究，較為全面和具體地提出了企業(yè)IT風(fēng)險(xiǎn)管理實(shí)施的步驟建議，旨在為企業(yè)提供切實(shí)可行的風(fēng)險(xiǎn)管理實(shí)踐參考。限于篇幅，本文無法對(duì)IT風(fēng)險(xiǎn)管理的所有環(huán)節(jié)進(jìn)行深入探討，且不同的企業(yè)有不同的安全需求和偏好，因此在實(shí)施IT風(fēng)險(xiǎn)管理的過程中還需根據(jù)自身的實(shí)際情況應(yīng)地制宜、靈活應(yīng)用。

作者：惠志斌 單位：上海社會(huì)科學(xué)院信息研究所