IT风险管理系统

2016-07-23徐志刚

环球市场 2016年2期

徐志刚

IT风险管理系统

徐志刚

四川信息职业技术学院

摘要：国际IT治理的五个领域，即：战略一致、价值交付、资源管理、风险管理、绩效测评都与IT价值相关联。其中两个收益方面内容（即：价值交付和风险管理）直接与价值有关。那么如何做好风险管理，从哪些方面去识别风险、如何去识别风险、如何去做IT风险评估、如何进行事件发生的可能性及后果分析等都需要相应的手段和工具。这样才能够对IT基础做到有效治理，实现战略价值。

关键词：IT风险；风险管理；管理系统

一、主要目标、研究内容、技术关键、技术路线和应用方案

1.主要目标

研究开发“IT风险管理系统”，为IT系统风险识别、评估、监控、处置等一系列风险管理活动提供便捷的工具和技术手段。

2.主要内容

通过IT技术手段实现对业务流程的风险控制。实现信息技术与业务流程的紧密的结合，体现业务的支撑和载体。在业务流程中所产生的风险的技术特点，通过对信息技术的改造实现业务流程的优化相对于单纯对业务流程的改造更容易实现，更容易为企业所接受。

IT风险管理系统业务流程：系统登记→威胁识别→脆弱性识别→风险识别→风险评估→控制分析→风险处置→风险监控。

3.技术关键

解决如何在风险可控的状态下实现信息技术和业务诉求的有效融合。完成一个完整的系统包括了用户管理、流程管理和信息查询等功能模块。以下为该系统思路的核心业务功能流程。

4.技术路线和应用方案

八大主要功能流程，构成整个风险管理体系的风险识别、评估、监控、处置等一系列活动，对于资产管理、新资产上线安全评估等子流程和功能会在具体的开发工作中细化。

二、国内外研究现状、发展趋势和知识产权状况分析

1.国外现状

国外软件项目风险管理的研究于1989年的美国，由于美国军方自主设在卡内基.梅隆大学的SEI则是1900年来研究和时间软件风险管理的最大基地，此外英国和芬兰、挪威、荷兰、瑞典等国组成的北欧经济圈以及澳大利亚、日本、韩国也有一定的成果问世，而其他国家和地区只有零星的相关报道，都未形成规模气势。

2.国内现状

国内IT业在过去相当一段时间内不重视项目的风险管理，其根源在于IT行业当时的平均利润远远高于传统行业，即使内部存在问题，风险发生都仍能赢利，所以众多IT企业忽视了项目风险的管理作用，IT行业的竞争日益激烈行业平均利润逐渐下降，从而促进越来越多的企业重视项目的风险管理。该项目通过IT治理的五个领域，即：战略一致、价值交付、资源管理、风险管理、绩效测评都与IT价值相关联。其中两个收益方面内容（即：价值交付和风险管理）直接与价值有关。

3.发展趋势

目前我们在这一领域的研究、交流和应用还比较薄弱，但是，一些高端行业（银行、运营商）对此已经对此产生了浓厚的兴趣，并开始给予高度的重视。随着信息化程度的日益提高，相关的标准、规范和知识框架、方法体系的研究，势必成为促进信息化建设向有序化方向发展的重要保障。IT治理也将在各行业中发挥越来越重要的作用。

4.知识产权状况

据资料查证，目前我国在这一领域的研究、开发和应用还比较薄弱，随着信息化程度的日益提高，相关的标准、规范和知识框架、方法体系的研究，势必成为加快信息化建设向有序化方向发展的重要保障。据搜索了解，现在国内尚没有与该项目完全一样的设计，也没有雷同的进展中的项目。

三、项目的创新性

1.理论创新

一般IT管理系统基于IT理论研究，运用到实际中主要靠有经验的IT体系建设人员和IT审计人员进行推动，导致需要的人员经验和成本校对较高，而因为人员素质或更迭对本单位的IT系统认知不足，导致的偏差市场出现，本课题涉及企业信息系统安全管理系统设计，对信息系统风险管理的八个领域（系统登记、威胁识别、脆弱性识别、风险识别、风险评估、控制分析、风险处置、风险监控）进行监控。

2.应用创新