1企業IT風險類型
(1)IT治理風險����。IT治理風險的宏觀體現是最高管理層對信息化理解的不確定性��、以及企業領導力影響的不確定性;微觀體現是缺乏制度化與標準化的約束,缺乏部門之間及流程之間協調�����、溝通的機制��,造成IT系統與業務需求的脫離�����,以及IT系統和企業信息資源間的孤立�����。
(2)遵從性風險����。指企業內部IT策略與外部法律法規的遵從(Compliance)所導致的風險���。伴隨信息技術的發展,國內外出臺大量法律法規加強了對信息系統的監管����。例如�����,2002年美國國會發布的《薩班斯—奧克斯利法案》雖然沒有直接明確對信息系統的要求�,但據統計��,企業在實施符合法案要求的工作中��,信息系統方面的工作量占比超過40%;2006年中國銀監會發布《電子銀行業務管理辦法》和《電子銀行安全評估指引》����,也直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統審計的要求���。
(3)信息安全風險�����。企業信息系統不斷開放和復雜�����,使得信息安全面臨來自內外部的嚴峻挑戰�。針對企業信息系統的攻擊方式簡單易學�、攻擊對象身份隱匿���,造成企業信息安全風險極易轉化為現實的業務威脅���,如支持員工移動辦公給企業資產安全性和可用性帶來的壓力倍增����,許多敏感機密信息被輕易泄露。
(4)可用性風險��?���?捎眯燥L險主要來自三個方面�����,一是IT平臺系統自身漏洞導致的系統停機事件越發難以掌控;二是由于事件管理、變更管理、配置管理、連續性計劃等IT服務管理流程缺失或不到位��,導致IT系統不可用;三是來自自然的災害威脅著IT系統的可用性。
(5)績效風險。若IT投資行為不能帶來合理的回報���,如規劃不當��、控制不嚴等,將使組織面臨巨大財務風險。同時����,如果對IT的投資績效和運行績效不能進行有效測量���,就不能有效地發現存在的問題,并采取針對性的改進措施��。隨著信息系統日益成為企業經營成功的核心�,且貫穿在完整的流程過程中���,企業業務和支撐業務的信息系統愈加無法分割,形成有機的整體。因此���,IT風險帶來的挑戰不僅影響到信息系統本身��,也同時會影響到業務的穩定運行及發展��,更有可能影響到外部的業務客戶��。在應對這些IT風險時��,傳統的方式大多是采用事后反應式的控制措施,使得技術人員疲于應付各種層出不窮的風險�,且在面對制度���、流程、人員行為等方面帶來的風險時�����,傳統的控制方法存在明顯不足��,而降低企業IT風險的關鍵是需要有一個主動、科學的風險管理體系。
2企業IT風險管理及其標準指南
企業IT風險管理是圍繞企業信息化戰略目標��,通過在信息系統的規劃����、開發、運行�、維護�、監控與評價的各個階段中降低企業風險的科學化管理流程����,包括風險管理的策略制定��、風險的識別����、風險的評估�����、風險的處置等環節���,以達到企業信息化可持續發展的目標�。一個科學的IT風險管理體系是一個具有前瞻性����、全局性的控制機制�����,能綜合防范和應對IT治理�����、法規遵從�����、系統可用�、信息安全���、IT外包��、業務連續性��、IT績效等諸多方面的企業風險��,并能使企業IT戰略與企業綜合戰略相融合,以實現有效益��、可持續的信息化發展�����。信息社會環境下�,無論何種規模���、什么類型的企業�����,都需要面臨圍繞信息系統制定一套管理體系和控制指南��,有效地管理企業面臨的各種各樣的風險,并隨著業務環境的變化和新技術的發展及時更新�。
在此方面���,國內外已經有一些較為成熟的企業IT風險管理的標準或指南��。例如美國反虛假財務報告委員會(COSO)于2004年頒布的《COSO企業風險管理框架》��,此框架要求企業管理者以風險組合的觀點看待企業風險��,對包括IT風險在內的所有風險進行識別,并采取措施使企業所承擔的風險在風險容納量(RiskAppetite)的范圍內。而美國信息系統審計與控制協會的COBIT標準自1996年誕生以來已經更新到了第四版�����,已成為全球通用的信息系統審計標準,該標準每一次更新都在不斷強化IT風險控制的目標內容,為企業信息系統安全審計提出了具體指導�����。此外����,國際知名的信息安全標準也都提出了各自的IT風險管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技術基礎架構庫)�、ISO27001(信息安全管理使用規則)����、CMMI(CapabilityMaturityModelIntegration�����,能力成熟度模型集成)��、Prince2(ProjectsINControlledEn-vironments����,受控環境下的項目)等����。
近年來,我國的信息化主管部門以及各行業也積極加強了企業風險管理。以金融業為例����,2004年9月銀監會發布了《商業銀行內部控制評價試行辦法》��,其中包括了對銀行計算機系統的IT風險控制要求;2009年銀監會出臺了《商業銀行信息科技風險管理指引》,2011年銀監會發布了《商業銀行業務連續性監管指引》。與此同時�����,其他行業監管部門也已經或計劃出臺類似的風險管理措施���。上述標準或指南為企業IT風險管理提供了原則指導和對策框架��,如何將這些原則性建議與企業自身的工作實際相結合����,如何將IT風險管理融入常態化的企業管理機制���,仍然是企業管理實踐中的難點�����。因此����,本文以我國企業IT風險管理的先行行業———金融業的管理實踐為例,詳細探討企業IT風險管理的體系結構及其關系,并就企業IT風險管理的實施提出具體建議。
3企業IT風險管理的體系框架
企業IT風險管理框架通過對企業信息安全各個層面實際需求和風險的分析�,引入恰當的安全控制措施����,并且同信息系統審計相結合���,從而保證企業信息資產的安全性�����、完整性和可用性。企業IT風險管理框架可分為風險治理��、風險評估和風險應對三個主要的方面�����,并通過風險溝通和監控等手段將三方面有效結合�����。該體系框架遵循PDCA(Plan、Do����、Check���、Act)的管理模式����,能確保企業IT風險管理始終保持在可持續發展的軌道上,并通過階段性地進行信息系統審計����,以發現存在的偏離����,及時調整到信息化的最終目標上來���。
3.1風險治理
主要內容包括建立基于風險的信息科技決策、定義風險策略�、建立風險組織和風險整合等內容�����。例如宣傳IT風險對于決策的價值、將IT風險考慮納入業務和IT決策��、整合IT風險策略和業務風險策略等都屬于風險治理的內容���。
3.2風險評估
主要內容包括風險識別�����、風險分析和風險維護等內容���。諸多國際標準都提出了信息安全風險評估的標準����,如ISO27001(信息安全管理體系規范)、ISO/IECTR13335(信息技術安全管理指南)����、NISTSP800-30(信息技術系統風險管理指南)等��,可作為企業實施風險評估實踐的參考。風險評估包括識別具體的風險管理對象��、識別風險�����、根據模型進行評估、識別現有控制、分析剩余風險等步驟���。風險維護就是對企業識別出的風險進行管理,跟蹤風險處置情況,更新風險清單�����,可通過創建和維護風險數據庫來實現�����。風險維護也是風險評估的重要內容��,以實現對風險的持續管理和改進。
3.3風險應對
風險應對就是對已識別的風險進行評估后,制定并落實相應的措施和整體策略����,使剩余風險處于可控的范圍���。風險應對措施包括接受風險�����、轉移風險、避免風險和降低風險。風險應對活動包括確定風險處置方案����、實施風險處置�、響應和處理風險事件等。
3.4風險監控/溝通
風險監控/溝通是鏈接企業IT風險管理各要素的關鍵環節,是企業IT風險管理體系得以運轉的重要方面����,包括建立和運行風險指標體系、IT風險內部監督體系�、風險報告體系以及風險溝通渠道等�。風險管理需要從管理層到普通員工的共同參與�����,這需要將風險直觀準確地展現�����、橫向和縱向的溝通���、并持續進行監控��。
4企業IT風險管理的實施步驟
為了推進企業IT風險管理體系的實施,本文在總結金融企業信息系統安全風險管理的實施過程,得出企業IT風險管理可行的實施步驟����,具體包括識別管理對象��、風險識別、風險分析評估、風險應對��、風險監控/溝通等五大關鍵步驟�����。
4.1管理對象識別
明確風險管理對象是企業實施風險管理的首要步驟����,本文提出風險地圖(RiskMap)的概念��,即實現風險評估對象的可視化����,明確識別出全部或特定領域的所有管理對象���,只有保證企業風險地圖的全面性和準確性�,才能準確識別并標示出IT風險所在的位置���,從而進行有效的管理��,一個全面的IT風險管理可從如下三大維度進行風險管理對象的識別:(1)從資產的角度進行識別����,即對組成信息系統的系統�����、設備和數據等信息資產進行全面識別和統計��,具體實施細則可參照ISO27001���。(2)從管理領域的角度進行識別����,如變更管理���、事件管理��、配置管理等�����,具體實施細則可參照COBIT�����。(3)從服務的角度進行識別���,具體實施細可參照ISO20000執行����。
4.2風險識別
風險識別是通過科學方法了解企業所面臨的IT風險��,分析風險的來源�����、性質�����,并進行風險處置和風險管理。風險識別通常采用以下方法:(1)頭腦風暴;(2)德爾菲方法;(3)故障樹分析法��,又稱分解分析法;(4)業務流程分析法;(5)情景分析法;(6)專家預測法��,包括個人經驗法�、專家會議等形式;(7)篩選�、監測、診斷法;(8)資產財務狀況分析法�。其中����,德爾菲方法是最常用的IT風險分析方法之一���,具體是指采用“背對背”的溝通方式征詢專家小組成員的預測意見�����,經過幾輪征詢,使專家小組的意見趨于集中,最后做出合理的預測結論,利用德爾菲法進行IT風險分析的具體流程如下���。除了按照上述方法識別風險,也可直接從風險來源入手建立企業的IT風險清單,如行業公認的風險清單�����、監管要求�����、監管機構風險提示����、過往事件���、自我或外部風險評估結果��、內部審計發現��、管理層和內部員工在工作中的認識等。
4.3風險分析評估
IT風險分析評估是根據一定的評估模型�,評估企業IT固有風險值�����、控制風險值,再根據固有風險值和控制風險值計算出剩余風險值。風險分析是IT風險管理中較難實施的一個環節���,尤其是評估模型的制定,可以采用較易開展的定性方式,也可采用準確度較高的定量計算���,也可以定量和定性綜合使用。以下是一種較為通用的風險分析模型和流程���,可以對風險進行量化評估,具體流程包括:(1)計算固有風險值�����。從影響程度和發生可能性兩個維度進行評分,可得出固有風險分值��。如下是風險評估的量化模型和公式�。其中風險評分從影響程度和發生可能性兩方面進行計算,并給出影響程度和發生可能性兩方面的評估參數示例���。(2)計算控制風險值。結合現有控制評估的結果����,從設計�、執行、補償性控制三個層面�����,參照衡量標準�,最終確認控制風險分值。(3)計算剩余風險評估�����。在獲得每一個風險的固有風險等級和控制風險等級后��,可根據矩陣獲得剩余風險等級值���。
4.4風險應對
首選需要確定管理層的風險偏好等級�����。風險偏好是為了實現目標����,企業在承擔風險的種類、大小等方面的基本態度�����。然后根據剩余風險評估結果及風險偏好���,依據內外部需求���,并結合實際情況�����,針對剩余風險提供恰當的控制改進建議����,以將剩余風險降低到可接受的水平�����。風險處置措施包括接受風險�、轉移風險���、避免風險和降低風險����。在風險處置計劃方面���,一方面需要體現可操作性����,如分為短期(半年),中期(1年),長期(2-3年)��,同時也需要考慮多個維度���,如組織架構�����、人員�、制度流程和技術等���。
4.5IT風險監控/溝通
風險指標是有效進行風險監控和溝通的重要手段����。指標是一種可量化的��、被事先認可的、用來反映組織目標實現程度的重要標識�,是績效管理的有效手段��。企業IT風險管理引入指標體系�����,可以促進整個活動的有效開展。指標的功能主要表現在以下三個方面:(1)在準備階段��,可以清楚的反映目前企業的信息安全現狀�,并為制定目標提供依據;(2)在實施過程中�����,階段性地反映進展情況;(3)便于各層人員把握活動的進展情況:使高層領導清晰地了解關鍵要素的進展和改進情況;使管理者集中精力于對活動中的重要和關鍵要素��,及時診斷活動中出現的問題并采取措施。在實踐中,應針對關鍵的風險領域�,即根據企業及領導層的風險偏好�,建立可監控、可量化的IT關鍵風險指標。IT關鍵風險指標來源可包括內外部監管機構數據��、自動監控平臺數據���、IT風險檢查果����、IT風險自報結果等。關鍵風險指標可分為風險指標(KRI)、控制指標(KCI)�����。以變更管理的風險管理指標���,可設置緊急變更次數�、變更失敗比例、變更導致的事件數量等,針對每個變更管理風險管理指標,制定出相應的控制指標��,如預警閥值和容忍閥值����。
5結語
本文從IT風險管理框架和風險評估實踐兩個方面,分別闡述了企業實施IT風險管理的重點和實施方法。通過直觀的圖表清晰地展現了企業IT風險管理體系的結構、關聯和主要活動�。同時結合多年對信息安全風險管理理論和實踐的研究����,較為全面和具體地提出了企業IT風險管理實施的步驟建議����,旨在為企業提供切實可行的風險管理實踐參考���。限于篇幅���,本文無法對IT風險管理的所有環節進行深入探討��,且不同的企業有不同的安全需求和偏好��,因此在實施IT風險管理的過程中還需根據自身的實際情況應地制宜、靈活應用���。
作者:惠志斌 單位:上海社會科學院信息研究所