1 引言
2006—2020年國家信息化發(fā)展戰(zhàn)略中,提出了“以信息化帶動(dòng)工業(yè)化、以工業(yè)化促進(jìn)信息化,促進(jìn)我國經(jīng)濟(jì)社會(huì)又好又快地發(fā)展”的指導(dǎo)思想。近年來,企業(yè)信息化飛速發(fā)展,2008年,國資委評(píng)出10家中央企業(yè)信息化水平為A級(jí),這些企業(yè)信息化水平已部分達(dá)到或接近世界先進(jìn)水平,信息化已成為企業(yè)經(jīng)濟(jì)發(fā)展的第一驅(qū)動(dòng)力。
然而,從信息化這枚書寫著各種輝煌的硬幣正面翻到背面,我們可以看到太多的風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì),我國企業(yè)信息化實(shí)施成功的比例僅為15%,實(shí)施后達(dá)不到預(yù)期效果的比例為35%,實(shí)施失敗的比例達(dá)50%。比如,對于近年來在大型企業(yè)中廣泛推進(jìn)的信息化項(xiàng)目企業(yè)資源規(guī)劃(EntERPrie Resourse Planning,ERP),聯(lián)想公司前總裁柳傳志就有“上ERP是找死,不上ERP是等死”的說法。這樣高的信息化風(fēng)險(xiǎn),可能給企業(yè)帶來經(jīng)濟(jì)、法律、聲譽(yù),甚至政治方面的損失。
信息化風(fēng)險(xiǎn)也是圍內(nèi)外IT研究的一大熱點(diǎn),目前已制定了多種標(biāo)準(zhǔn)。比如國際上有信息及相關(guān)技術(shù)控制目標(biāo)(Control objectives for Information and Rehted Technology,CobiT)、信息技術(shù)控制指南(Information Technology Control Guidelines,ITCG)等風(fēng)險(xiǎn)治理標(biāo)準(zhǔn),圍內(nèi)也于2007年6月14日發(fā)布了《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。然而,不同企業(yè)對信息化風(fēng)險(xiǎn)的認(rèn)識(shí)有很大差別,很多企業(yè)至今還沒有建立完善的信息化風(fēng)險(xiǎn)防控機(jī)制。
本文根據(jù)作者信息化風(fēng)險(xiǎn)管理實(shí)踐,結(jié)合當(dāng)前國內(nèi)外主要研究成果,對信息化風(fēng)險(xiǎn)的主要類型、可能的危害、建議采取的對策等方面進(jìn)行了闡述。
2 風(fēng)險(xiǎn)類型
最初,對于信息化風(fēng)險(xiǎn)人們只是關(guān)注病毒、黑客攻擊以及殺毒軟件、防火墻等安全技術(shù)的使用。隨著信息化應(yīng)用的深入,人們認(rèn)識(shí)到這并不僅僅是一個(gè)技術(shù)問題。目前,一般將企業(yè)信息化風(fēng)險(xiǎn)理解為由于各種不確定因素,使企業(yè)信息化結(jié)果與預(yù)期發(fā)生偏離,因而給企業(yè)造成各種損失的可能性。
產(chǎn)生信息化風(fēng)險(xiǎn)的原因主要有三種:信息犯罪;信息化項(xiàng)目效果與預(yù)期不符;對于正常運(yùn)行的系統(tǒng),由于意外而不可用,使企業(yè)管理陷入混亂等。
2.1 信息犯罪
實(shí)施企業(yè)信息化,首先要建設(shè)企業(yè)信息網(wǎng)絡(luò)。如同有了公路就無法完全避免交通事故一樣,在企業(yè)信息網(wǎng)絡(luò)上也無法徹底避免信息犯罪這種風(fēng)險(xiǎn)。如果信息犯罪的發(fā)起方在企業(yè)信息網(wǎng)內(nèi)部,企業(yè)要承擔(dān)一定的法律責(zé)任;如果企業(yè)是信息犯罪的受害方,無論其來源是外部攻擊還是內(nèi)部員工,都會(huì)給企業(yè)造成損失。
企業(yè)可能遇到的信息犯罪種類包括:非法侵入特定計(jì)算機(jī)信息系統(tǒng)罪、破壞計(jì)算機(jī)信息系統(tǒng)罪、侵犯計(jì)算機(jī)軟件著作權(quán)和假冒硬件的犯罪等。比如,因使用盜版Windows軟件而受到微軟起訴的案件就時(shí)有報(bào)道。
為了便于調(diào)查計(jì)算機(jī)犯罪時(shí)的取證,2006年3月1日起施行的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定(公安部令第82號(hào))》中,第十三條規(guī)定“互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位依照本規(guī)定落實(shí)的記錄留存技術(shù)措施,應(yīng)當(dāng)具有至少保存六十天記錄備份的功能!边`反者可能受到警告、罰款、停機(jī)整頓,直至取消聯(lián)網(wǎng)資格等處罰。
還有一些情況,雖然不一定觸犯法律,但同樣會(huì)給企業(yè)帶來嚴(yán)重?fù)p失。比如:企業(yè)關(guān)鍵數(shù)據(jù)通過移動(dòng)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)等途徑泄露;企業(yè)員工或相關(guān)人員利用企業(yè)信息網(wǎng)絡(luò)發(fā)布擾亂企業(yè)或社會(huì)公共秩序的信息;企業(yè)員工工作時(shí)間通過企業(yè)信息網(wǎng)絡(luò)玩游戲、炒股、購物等與工作內(nèi)容無關(guān)的活動(dòng),降低了企業(yè)工作效率、浪費(fèi)了資源,同時(shí)增加了互聯(lián)網(wǎng)上病毒、木馬的入侵機(jī)會(huì)。
2.2 項(xiàng)目效果與預(yù)期不符
每一個(gè)具體的信息化項(xiàng)目,其實(shí)質(zhì)都是要變革企業(yè)的管理方式,而管理方式的變革必然觸及企業(yè)的核心,其風(fēng)險(xiǎn)性是必然的。對風(fēng)險(xiǎn)的評(píng)估控制不力,將導(dǎo)致項(xiàng)目實(shí)施的效果與預(yù)期產(chǎn)生偏差,甚至可能還不如項(xiàng)目實(shí)施前原有的管理方法,給企業(yè)帶來經(jīng)濟(jì)上的,以及時(shí)間、人力、物力上的損失。造成這一風(fēng)險(xiǎn)的主要原因有5個(gè)。
2.2.1 規(guī)劃動(dòng)機(jī)問題
有些企業(yè)實(shí)施信息化并不是為了提升管理水平、促進(jìn)戰(zhàn)略目標(biāo)的實(shí)現(xiàn),而是盲目攀比,為了“面子工程”。很顯然,根據(jù)這樣的動(dòng)機(jī)來實(shí)施信息化,風(fēng)險(xiǎn)性是必然的。
2.2.2 產(chǎn)品選型問題
因產(chǎn)品選型不當(dāng)可能立刻發(fā)現(xiàn)問題,也有可能在以后的使用中發(fā)現(xiàn)問題。比如,對自身需求與問題認(rèn)識(shí)不清,只是根據(jù)方案提供商的實(shí)力作為選型標(biāo)準(zhǔn);盲目采用新的信息科學(xué)技術(shù),實(shí)際采用后發(fā)現(xiàn),新技術(shù)產(chǎn)生的新問題往往很難一下子找到比較好的解決方式等。
2.2.3 供應(yīng)商問題
信息化供應(yīng)商提供虛假資質(zhì)及虛報(bào)項(xiàng)目參與人員。虛報(bào)的項(xiàng)目參與人員、不具備本行業(yè)信息化的產(chǎn)品及服務(wù)能力、誘導(dǎo)客戶增加不必要的模塊等。
2.2.4 實(shí)施問題
信息化項(xiàng)目實(shí)施前,企業(yè)業(yè)務(wù)流程未能規(guī)范化;項(xiàng)目實(shí)施過程中,管理不到位;系統(tǒng)測試雖合格但上線后發(fā)現(xiàn)很多問題會(huì)接踵而來;項(xiàng)目需求不清晰,實(shí)施過程中反復(fù)修改實(shí)施規(guī)劃甚至終止項(xiàng)目建設(shè)等。
2.2.5 使用問題
企業(yè)引入信息化后不能與企業(yè)當(dāng)下的管理能力、業(yè)務(wù)流程相適應(yīng),導(dǎo)致最終出現(xiàn)手工與信息化兩套模式同時(shí)運(yùn)行的現(xiàn)象,甚至有的企業(yè)在購買了一些“豪華產(chǎn)品”后,就一直將其束之高閣。一些企業(yè)實(shí)施信息化的初衷是想解決成本居高不下等企業(yè)管理頑疾,而忽視了產(chǎn)生這些問題深層次的原因,結(jié)果導(dǎo)致實(shí)施信息化后,問題反而雪上加霜。
2.3 系統(tǒng)可用性降低
對于成功實(shí)施并上線運(yùn)行的項(xiàng)目,由于各種原因,可能導(dǎo)致項(xiàng)目可用性降低,甚至完全不可用。比如系統(tǒng)運(yùn)行速度變慢、時(shí)通時(shí)斷、存儲(chǔ)于各種介質(zhì)中的電子數(shù)據(jù)丟失或被破壞等。出現(xiàn)這些情況時(shí),如果沒有應(yīng)急預(yù)案或應(yīng)急預(yù)案效果不佳,則很有可能使企業(yè)管理陷入混亂。造成這一風(fēng)險(xiǎn)的主要原因有以下3種。
2.3.1 信息犯罪導(dǎo)致可用性降低
當(dāng)信息犯罪的對象在企業(yè)網(wǎng)內(nèi)部時(shí),將給企業(yè)信息化的可用性帶來嚴(yán)重影響。目前,主要表現(xiàn)形式有蓄意攻擊信息系統(tǒng),比如拒絕服務(wù)攻擊(Denia1 of service.DOS)之類,使得企業(yè)網(wǎng)上的系統(tǒng)完全不可用;非法獲取、篡改企業(yè)的機(jī)密信息,破壞企業(yè)關(guān)鍵系統(tǒng)的正常運(yùn)行等黑客攻擊;病毒、蠕蟲、木馬等攻擊造成數(shù)據(jù)資源被破壞、丟失或長時(shí)間不可用等。
2.3.2 網(wǎng)絡(luò)設(shè)施及鏈路的破壞
網(wǎng)絡(luò)設(shè)施包括機(jī)房及機(jī)房相關(guān)設(shè)施,機(jī)房內(nèi)的硬件設(shè)備等;鏈路包括局域網(wǎng)內(nèi)線路、室外光纜線路及無線鏈路等。對于網(wǎng)絡(luò)設(shè)施及鏈路的破壞原因,既可能是人為蓄意破壞,也可能是自然及物理原因造成的破壞。無論原因如何,造成的損失有兩個(gè)方面:一方面是網(wǎng)絡(luò)設(shè)備或光纜的直接損失,修復(fù)一般都需要一定時(shí)間及費(fèi)用;另一方面,更重要的是網(wǎng)絡(luò)停用造成的間接損失。
部分網(wǎng)絡(luò)設(shè)施、鏈路的人為蓄意破壞屬于犯罪范圍;自然原因包括惡劣天氣對無線鏈路的影響,地震火災(zāi)等對機(jī)房的影響等;機(jī)房還面臨著空調(diào)及電源系統(tǒng)出現(xiàn)問題。供電、溫濕度、潔凈度等不達(dá)標(biāo),使機(jī)房內(nèi)的設(shè)備受到影響等。
2.3.3 操作失誤
由于缺乏責(zé)任心或技能不足而導(dǎo)致系統(tǒng)故障或被破壞。比如,錯(cuò)誤的刪除命令可能導(dǎo)致大量信息瞬問消失。系統(tǒng)使用人員或管理人員可能因操作失誤對系統(tǒng)造成影響,尤其是系統(tǒng)管理人員一旦出現(xiàn)失誤,造成的損失可能會(huì)更大。
3 防控對策
應(yīng)對信息化風(fēng)險(xiǎn),企業(yè)應(yīng)樹立適合自身實(shí)際的信息化風(fēng)險(xiǎn)管理理念,設(shè)立有效的組織機(jī)構(gòu),定期進(jìn)行風(fēng)險(xiǎn)評(píng)估;對發(fā)現(xiàn)的問題及時(shí)處理,制定應(yīng)急預(yù)案,以防范突發(fā)事件。對全體員工進(jìn)行教育與培訓(xùn),增強(qiáng)信息安全知識(shí),強(qiáng)化信息安全意識(shí)。
研究信息化風(fēng)險(xiǎn),目的是發(fā)現(xiàn)風(fēng)險(xiǎn),并進(jìn)行有效地控制和防范,減少企業(yè)損失,目標(biāo)是要確定應(yīng)對這些風(fēng)險(xiǎn)的最佳策略。同時(shí)應(yīng)認(rèn)識(shí)到,完全消除信息化風(fēng)險(xiǎn)是不可能,也是沒必要的。比如,如果某項(xiàng)風(fēng)險(xiǎn)只影響到10元的成本費(fèi)用,那么就沒有必要采取20元以上的治理措施;如果某臺(tái)染毒計(jì)算機(jī)通過重裝系統(tǒng)用2個(gè)小時(shí)能解決,那么就沒必要花上2天時(shí)間去琢磨病毒的機(jī)理。一般不久后,殺毒軟件的新病毒庫就能直接處理當(dāng)前病毒。
3.1 管理及組織
3.1.1 管理理念
企業(yè)在認(rèn)識(shí)到信息化對企業(yè)發(fā)展作用的同時(shí),更要認(rèn)識(shí)到信息化風(fēng)險(xiǎn)對企業(yè)的影響,建立明確的信息化風(fēng)險(xiǎn)管理理念。
中石油在信息化建設(shè)中,對信息安全管理充分重視,提出了“綜合防范”的原則:在信息安全體系中,管理與技術(shù)同等重要,相互補(bǔ)充、相互配合、缺一不可。從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手,在人員、系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合防范。
3.1.2 理念的落實(shí)
信息化風(fēng)險(xiǎn)具有決策信息風(fēng)險(xiǎn)的特質(zhì),任何企業(yè)實(shí)現(xiàn)信息化,都不可能一蹴而就,而應(yīng)當(dāng)是一個(gè)長期的、分批投入、分步實(shí)現(xiàn)的戰(zhàn)略決策過程。因此,企業(yè)應(yīng)當(dāng)做好信息化決策的長期規(guī)劃,以及實(shí)現(xiàn)這一規(guī)劃的分期目標(biāo),并不斷地根據(jù)上一階段實(shí)踐的反饋結(jié)果,修正下一階段的計(jì)劃方案。
3.1.3 組織機(jī)構(gòu)
企業(yè)要設(shè)立合乎需要的信息化風(fēng)險(xiǎn)管理機(jī)構(gòu)和崗位。對此,企業(yè)領(lǐng)導(dǎo)應(yīng)給予充分重視,管理機(jī)構(gòu)中的工作人員應(yīng)同時(shí)包括相關(guān)專業(yè)管理人員以及信息化工作人員,以保證管理與技術(shù)措施的順利實(shí)施。
信息化環(huán)境下企業(yè)機(jī)構(gòu)和崗位設(shè)置仍應(yīng)符合必要的內(nèi)部牽制原則,應(yīng)當(dāng)加強(qiáng)對重要工作崗位(如系統(tǒng)管理員)的管理,從制度上減少出現(xiàn)問題的可能性。
3.2 風(fēng)險(xiǎn)評(píng)估
3.2.1 概念
風(fēng)險(xiǎn)評(píng)估是識(shí)別及評(píng)價(jià)信息化風(fēng)險(xiǎn)的重要方法。2007年6月14日,我國發(fā)布了信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)GB/T20984—2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。標(biāo)準(zhǔn)中對信息安全風(fēng)險(xiǎn)評(píng)估的定義是:運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,并為提出有針對性的抵御威脅的防護(hù)對策和整改措施提供科學(xué)依據(jù)。
3.2.2 風(fēng)險(xiǎn)源識(shí)別
只有掌握了風(fēng)險(xiǎn)的根源及位置,才有可能進(jìn)一步考慮和設(shè)計(jì)出有效的控制措施并確定相關(guān)責(zé)任人。信息化環(huán)境下的風(fēng)險(xiǎn)識(shí)別是指在全面了解企業(yè)信息化管理流程的基礎(chǔ)上,識(shí)別出相關(guān)風(fēng)險(xiǎn),并判定風(fēng)險(xiǎn)的性質(zhì)、產(chǎn)生的條件、所處的流程等,即實(shí)現(xiàn)風(fēng)險(xiǎn)溯源。
3.2.3 脆弱性評(píng)估
信息安全風(fēng)險(xiǎn)評(píng)估方法有定性評(píng)估方法與定量評(píng)估方法。定性評(píng)估主要依據(jù)研究者的知識(shí)、經(jīng)驗(yàn)、政策水平等對系統(tǒng)風(fēng)險(xiǎn)狀況做出非量化的判斷,其優(yōu)點(diǎn)是評(píng)估速度快,而且有可能挖掘出一些蘊(yùn)涵很深的問題,缺點(diǎn)是主觀性強(qiáng),對評(píng)估者要求高。定量評(píng)估主要是通過因子分析、聚類分析等方法,運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評(píng)估,其優(yōu)點(diǎn)是結(jié)果直觀,缺點(diǎn)是有些數(shù)據(jù)難以精確計(jì)算,而且可能非常耗時(shí),因此實(shí)踐中常常采用定性與定量評(píng)估相結(jié)合的方式。
風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系如圖1所示。圖1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素,橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評(píng)估過程中,需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。
圖1 風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖
國家標(biāo)準(zhǔn)中給出了風(fēng)險(xiǎn)計(jì)算原理,以下面的公式表達(dá):風(fēng)險(xiǎn)值=R (A,T,V)=R [L(T,V),F(xiàn)(Ia,Va)],其中:
R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);
A表不資產(chǎn);
T表示威脅;
V表示脆弱性;
Ia表示安全事件所作用的資產(chǎn)價(jià)值;
Va表示脆弱性嚴(yán)重程度;
L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;
F表示安全事件發(fā)生后造成的損失。
3.2.4 評(píng)估形式
信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式,以自評(píng)估為主,自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估。周期性進(jìn)行的自評(píng)估可以適當(dāng)簡化,重點(diǎn)針對新威脅,但系統(tǒng)發(fā)生重大變更時(shí),應(yīng)進(jìn)行完整評(píng)估。
自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施。由發(fā)起方實(shí)施的評(píng)估可以降低實(shí)施的費(fèi)用,提高信息系統(tǒng)相關(guān)人員的安全意識(shí),但可能由于缺乏風(fēng)險(xiǎn)評(píng)估的專業(yè)技能,其結(jié)果不夠深入準(zhǔn)確。同時(shí),受到組織內(nèi)部各種因素的影響,其評(píng)估結(jié)果的客觀性易受影響。委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施的評(píng)估,過程比較規(guī)范、評(píng)估結(jié)果的客觀性比較好,可信程度較高;但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制,對被評(píng)估系統(tǒng)的了解,尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。同時(shí),由于引入第三方本身就是一個(gè)風(fēng)險(xiǎn)因素,因此,對技術(shù)支持方的背景與資質(zhì)、評(píng)估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。
檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估。檢查評(píng)估也可委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施,但評(píng)估結(jié)果僅對檢查評(píng)估的發(fā)起單位負(fù)責(zé)。
3.2.5 評(píng)估時(shí)機(jī)
隨著國際上網(wǎng)絡(luò)黑客等攻擊技術(shù)的不斷改進(jìn),風(fēng)險(xiǎn)處于隨時(shí)變動(dòng)的狀態(tài),因此,風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中。在規(guī)劃設(shè)計(jì)階段,通過風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo);在建設(shè)驗(yàn)收階段,通過風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)達(dá)成與否;在運(yùn)行維護(hù)階段,要不斷地實(shí)施風(fēng)險(xiǎn)評(píng)估以識(shí)別系統(tǒng)面臨的不斷變化的風(fēng)險(xiǎn)和脆弱性,從而確定安全措施的有效性,確保安全目標(biāo)得以實(shí)現(xiàn)。
3.3 風(fēng)險(xiǎn)控制與應(yīng)急預(yù)案
風(fēng)險(xiǎn)防控措施是指按照企業(yè)的風(fēng)險(xiǎn)控制理念及風(fēng)險(xiǎn)評(píng)估結(jié)果,確定的企業(yè)風(fēng)險(xiǎn)控制管理及技術(shù)措施。對信息化系統(tǒng)制定各種措施時(shí),應(yīng)對業(yè)務(wù)流程同時(shí)進(jìn)行檢查,并進(jìn)行必要的優(yōu)化。為保證管理措施的順利實(shí)施,要制定賞罰分明的監(jiān)督檢查制度。
與風(fēng)險(xiǎn)防范措施類似,應(yīng)急預(yù)案的制定也需要根據(jù)情況變化定期檢查更新,同時(shí),為了保證其在出現(xiàn)問題時(shí)真正有效,要進(jìn)行實(shí)際演練。
3.4 教育與培訓(xùn)
為防范信息化風(fēng)險(xiǎn),應(yīng)實(shí)施針對每個(gè)信息化項(xiàng)目的培訓(xùn)和企業(yè)網(wǎng)絡(luò)安全專題培訓(xùn)。對不同的人員實(shí)施以不同目的的培訓(xùn),比如,對于信息安全管理人員的培訓(xùn),要符合國家信息安全相關(guān)要求,取得必要的資格證書;對于信息化項(xiàng)目的實(shí)施,培訓(xùn)應(yīng)貫穿項(xiàng)目建設(shè)的整個(gè)過程;對于一般企業(yè)網(wǎng)絡(luò)使用者,要符合企業(yè)網(wǎng)絡(luò)安全的要求,定期培訓(xùn)、全面覆蓋。
4 結(jié)論
企業(yè)信息化進(jìn)程中必然存在諸多風(fēng)險(xiǎn),但不能因此對信息化產(chǎn)生畏懼感,要認(rèn)識(shí)風(fēng)險(xiǎn)、正視風(fēng)險(xiǎn),并采取相應(yīng)的措施降低風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)。
相信在企業(yè)領(lǐng)導(dǎo)重視之下,樹立科學(xué)的信息化風(fēng)險(xiǎn)防控理念,建立適當(dāng)?shù)慕M織機(jī)構(gòu)后,憑借客觀的風(fēng)險(xiǎn)評(píng)估以發(fā)現(xiàn)風(fēng)險(xiǎn),制定防控措施和應(yīng)急預(yù)案以預(yù)防風(fēng)險(xiǎn),進(jìn)行分級(jí)培訓(xùn)以促進(jìn)全員了解風(fēng)險(xiǎn),信息化風(fēng)險(xiǎn)的范圍與程度一定會(huì)被企業(yè)所掌控,從而保證信息化效果順利實(shí)現(xiàn),為企業(yè)發(fā)展增添強(qiáng)勁動(dòng)力。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)信息化風(fēng)險(xiǎn)與對策研究
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112182995.html