資源描述:
《企業(yè)IT風(fēng)險管理的體系構(gòu)建與實現(xiàn)路徑.pdf》由會員上傳分享����,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1���、2014年第2期sienceandT�����。���。entResearch2014N。.2doi:10.3969/j.issn.1000—7695.2014.02.042企業(yè)IT風(fēng)險管理的體系構(gòu)建與實現(xiàn)路徑惠志斌(上海社會科學(xué)院信息研究所���,上海200235)摘要:通過對企業(yè)面臨的IT風(fēng)險的分析�����,指出企業(yè)IT風(fēng)險管理的必要性和重要性�,進而系統(tǒng)論述企業(yè)IT風(fēng)險及其管理的相關(guān)概念����;借鑒國內(nèi)外IT風(fēng)險管理標準和金融企業(yè)IT風(fēng)險實施經(jīng)驗,研究適合現(xiàn)代企業(yè)的IT風(fēng)險管理體系框架����,并提出系統(tǒng)����、全面����、可操作的IT風(fēng)險管理實現(xiàn)路徑的建議�。關(guān)鍵詞:信息安全;信息
2�、系統(tǒng);IT風(fēng)險�����;IT風(fēng)險管理�����;1T風(fēng)險評估中圖分類號:g201��;F272.35文獻標志碼:A文章編號:1000—7695(2014)02—0194—05TheoreticalConstructionandRealizationApproachesofEnterpriseITRiskManagementSystemHUIZhibin(InstituteofInformation����,ShanghaiAcademyofSocialSciences,Shanghai200235��,China)Abstract:Aftertheanalysis
3、oftheinformationtechnologyrisksfacingenterprises�,thearticlepointsoutthenecessityandimportanceofenterprisesITrisksmanagement.ThensystematicallydiscussestheconceptsofenterpriseITriskanditsmanagement.Meanwhile,thearticleintroducesthestandardsandexperiencesofenterprisesIT
4�����、risksmanagementathomeandabroad.Basedonthis�����,thearticlebuildstheframeworkofITriskmanagementfittingformodernenterprisedevelop—ment�����,andbringsforwardthesystematicandoperableapproachestotheimplementationofenterprisesITriskmanagement.Keywords:informationsecurity�;informations
5、ystem�����;ITrisk����;ITriskmanagement;ITriskassessment現(xiàn)代信息技術(shù)與企業(yè)業(yè)務(wù)流程的高度融合�,極個頗有爭議的概念����。其中����,國際標準化組織在大地提升了企業(yè)效率和核心競爭力�,與此同時,由“ISO/IECGuide73:2002”中將風(fēng)險定義為“事件發(fā)于企業(yè)IT系統(tǒng)的高度復(fù)雜���、日趨開放和影啕全局�,生的可能性及其后果的結(jié)合”��;國際內(nèi)部審計協(xié)會圍繞信息技術(shù)產(chǎn)生的系統(tǒng)性風(fēng)險也在全面凸顯����,成(IIA)對風(fēng)險定義為“可能對企業(yè)目標的實現(xiàn)產(chǎn)生為企業(yè)運營風(fēng)險的重要來源,由此導(dǎo)致的企業(yè)IT事影響的事件和不確定性”���;美國
6�、反虛假財務(wù)報告委員故使企業(yè)不得不承受遠比以前更高的成本�,甚至導(dǎo)會(COSO)發(fā)布的《企業(yè)風(fēng)險管理一整合框架》致企業(yè)的整體崩潰。當(dāng)前��,越來越多的企業(yè)開始認中則將風(fēng)險定義為“一個事項將會發(fā)生并給目標實識到IT風(fēng)險的重要性,圍繞企業(yè)IT風(fēng)險的辨識�����、衡現(xiàn)帶來負面影響的可能性”�����。關(guān)于IT風(fēng)險的認識��,量���、分析���、管理的相關(guān)知識和技術(shù)逐漸獨立開來,同樣存在著不同的觀點�����?�!禝T風(fēng)險——基于IT治理成為信息時代企業(yè)風(fēng)險管理的重要門類�����。在上述背的風(fēng)險管理之道》一書中認為IT風(fēng)險是指“對企業(yè)景下,本文以企業(yè)IT風(fēng)險最為緊迫的銀行業(yè)為主要業(yè)務(wù)造成負面影響的
7�、信息技術(shù)失效”。中國銀監(jiān)會頒考察對象���,系統(tǒng)探討企業(yè)IT風(fēng)險管理的認知框架和布的《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》中實現(xiàn)路徑�,以此推動我國IT風(fēng)險管理理論和實踐的IT風(fēng)險是指“信息系統(tǒng)在規(guī)劃��、研發(fā)��、建設(shè)�、運發(fā)展行���、維護�、監(jiān)控及退出過程中���,由于技術(shù)和管理缺陷產(chǎn)生的操作��、法律和聲譽等風(fēng)險”�。賽門鐵克公司1企業(yè)IT風(fēng)險的概念和類型發(fā)布的《IT風(fēng)險管理報告》中認為���,IT風(fēng)險主要包正如德國社會學(xué)家盧曼所說����,人類正處在一個括安全性、可用性�、能力和合規(guī)性四個方面?!俺嗣半U別無選擇的社會”。人們越來越發(fā)現(xiàn)這個雖然各方對企業(yè)風(fēng)險和企業(yè)IT風(fēng)險的
8����、理解并不世界的不確定性和高風(fēng)險并沒有因為科技的進步和相同,但根據(jù)上述概念可以對企業(yè)IT風(fēng)險做如下定文明的發(fā)展而自然消減�����,而是相反���。由于理解程度義:企業(yè)IT風(fēng)險是企業(yè)IT系統(tǒng)對企業(yè)業(yè)務(wù)和經(jīng)營目和研究角度的不同�����,關(guān)于企業(yè)層面的風(fēng)險一直是一標造成的不確定
