IT风险管理框架IT风险管理研究框架本文编者：北京谷安天下科技有限公司网址：www.gooann.com地址：北京市海淀区中关村南大街2号数码大厦A座806电话：010-51626887（北京）021-51379800（上海）0755-82024056（深圳）0991-6999166（新疆）手机：13581709033www.gooann.com1IT风险管理框架IT风险管理管理框架作者：陈伟谷安天下技术总监一、信息化面临的风险九十年代以来，信息技术得到了快速的发展和广泛的应用，信息化已成为全球经济社会发展的显著特征，并逐步向一场全方位的社会变革演进。当前，信息技术己深入到各行各业，甚至影响并改变着普通百姓的生活方式，信息资源也日益成为重要生产要素、无形资产和社会财富。由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金，各行各业的信息化呈现出一派欣欣向荣的景象，我国信息化在推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等方面取得了可喜的进展。同时，信息化的应用也有力地推动了中国的经济持续增长、产业的升级、竞争力的提高，信息化与经济发展形成了良性循环。从二十多年的信息化实践来看，目前我国的信息化正处在一个由初级水平的投入期，向中高级水平的见效期过渡的关键时期，信息化的重点己从注重对行业和企业的覆盖，注重硬件产品的配备，逐步过渡到强调整合和开发利用信息资源，对客户需求做出快速反应，提高应用水平和服务质量，使组织的价值最大化。在这一阶段信息化的机会与风险并存，许多以前还没有涉及的深层次问题都会一一暴露出来，这将考验我们是否已经做好必要的思想准备和采取有效的应对措施。IT治理风险中国的信息化建设仍然属于"人治时代"，信息化的随意性较大，企业还没有就信息化形成相关的制度，缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息www.gooann.com2IT风险管理框架化成功与否往往在很大程度上取决于最高管理层对信息化的理解和个人领导力大小的影响，这种不确定性增加了组织的信息化风险，这是IT治理风险的宏观体现。组织在信息化过程中所涉及IT规划、实施、运行、检查等一系统IT流程，缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成IT系统与业务需求的“逻辑错位”，同时也造成了一个个的信息“孤岛”，这是IT治理风险的微观体现。如何在组织中建立较完善的IT治理机制，使信息化的决策与实施成为组织中的一种完善的制度存在，己是摆在我们面前的迫切任务。IT可用性风险而随着信息化的深入，组织的核心应用系统都己构架在IT平台之上，越来越多的政府、商业、教育等机构的业务正常运行离不开IT系统。随着IT技术的高速发展，IT平台（如硬件、网络、系统）的复杂性越来越高，各种系统漏洞层出不穷，频繁的停机事件令用户穷于应付；就算是IT技术系统没有漏洞，也不等于就能提供优质的IT服务；另一方面，国内许多组织不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程也是造成IT系统停机的原因；缺乏必要业务连续性计划也是造成IT可用性降低的重要原因。IT系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。2006年几起信息安全事件，如：银联计算机故障造成不能跨行取款，首都机场离港系统故障造成大量旅客滞留机场，5月份开始的A股交易量连续井喷造成多家证券公司出现“堵单”等事件，就生动地告诫我们，由于脆弱的基础设施和IT管理流程，使得这种不断增强的对IT的依赖性就是潜在的风险。信息安全风险在信息化的整合见效期，对组织而言信息比以往具有更高的价值，而信息固有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时，网上行动的远程化以及互联网“无政府状态”，使得信息安全面临严峻的挑战，即使是一个中学生，通过黑客网站的简单培训，也能发起具有危害性的攻击。目前互联网上黑客网站已超过3万个，一些有影响力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏，造成许多商业网站、政府网站被入侵，大量网银用户网上银行存款被盗，许多敏感机密信息被泄露。www.gooann.com3IT风险管理框架据统计去年产生的电脑病毒和木马的数量达到23万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒，直接及间接经