IT系统风险管理体系的构建思路

 

说明：本篇文章版权由ECF和HP所有。

都说企业信息安全很重要，许多企业的IT主管们都想方设想地去实现企业的信息安全，但总归是有一次次突发的事件，使得IT主管们认识到，越来越庞大的IT资产管理难度越来越大，特别是对于持续运行的大型IT系统而言，需要有一个清晰而明确的管理策略，而这些策略还需要前置，也就是IT系统的风险管理体系去支撑IT系统的运营。

一般来说，企业信息系统的安全主要有如下四个来源：人、流程、技术和其它因素，需要重点说明的一点是，在IT系统部署中，采用了太新的技术，往往也是一件高风险的事情，特别是这项技术没有经过充分验证的情况下，IT系统的风险会成几何倍数的增长。同时，一个过于复杂的IT系统也是风险的源头之一，太过于复杂的系统，往往对于运营与维护的要求就非常高，在这个过程中往往容易出错，再者对操作人员的能力水平要求也较高，这又是另一个难题。

而IT系统的风险往往会对业务带来如下影响：

1、性能：IT系统风险有的时候是致命的，但有的时候看起来也不是特别致命，无非是系统的性能慢一些，导致一线的许多操作人员是“人等系统”，在这里IT系统的性能就影响到了人员的绩效，正好在英语中，性能与绩效是同一个词，看来这两者之间还真的是有非常大的关联。

2、安全：IT风险最大的风险，也是最直接的风险就是安全，这也会影响到业务的安全，如IT系统的数据由于服务器出问题全面丢失了，企业会面临着怎么样的问题？或者都有可能导致企业的关门大吉也不为过。

3、成本：包括金钱成本和时间成本：在不久之前，我就某房地产企业的ERP系统，由于性能问题，无法按照计划进行开盘，导致当天损失了上亿的交易额的问题，一怒之下直接将原有IT系统废除，重新构建的案例，在这个例子中就出现了典型的成本代价。

下图是一个典型的风险管理模型，在这个风险管理模型中，我们可以看到，企业信息系统的风险管理是由识别、分析、计划、跟踪、控制五大过程组成的闭环，在这个闭环中一个核心成果必须全程管理，也就是我们常说的《风险登记册》。在这个闭环的过程中，需要IT人员定期的、或是通过事件触发的进行IT风险线索进行识别定义，明确了风险之后进行整体分析，并给出相应的应对策略和计划，在风险爆发的时候通过有效跟踪，确保风险得到控制，最终平息该风险。

说明：本篇文章版权由ECF和HP所有。