IT系統(tǒng)風險管理
都說企業(yè)信息安全很重要,許多企業(yè)的IT主管們都想方設想地去實現(xiàn)企業(yè)的信息安全,但總歸是有一次次突發(fā)的事件,使得IT主管們認識到,越來越龐大的IT資產(chǎn)管理難度越來越大,特別是對于持續(xù)運行的大型IT系統(tǒng)而言,需要有一個清晰而明確的管理策略,而這些策略還需要前置,也就是IT系統(tǒng)的風險管理體系去支撐IT系統(tǒng)的運營。
一般來說,企業(yè)信息系統(tǒng)的安全主要有如下四個來源:人、流程、技術和其它因素,需要重點說明的一點是,在IT系統(tǒng)部署中,采用了太新的技術,往往也是一件高風險的事情,特別是這項技術沒有經(jīng)過充分驗證的情況下,IT系統(tǒng)的風險會成幾何倍數(shù)的增長。同時,一個過于復雜的IT系統(tǒng)也是風險的源頭之一,太過于復雜的系統(tǒng),往往對于運營與維護的要求就非常高,在這個過程中往往容易出錯,再者對操作人員的能力水平要求也較高,這又是另一個難題。
而IT系統(tǒng)的風險往往會對業(yè)務帶來如下影響:
1、 性能:IT系統(tǒng)風險有的時候是致命的,但有的時候看起來也不是特別致命,無非是系統(tǒng)的性能慢一些,導致一線的許多操作人員是“人等系統(tǒng)”,在這里IT系統(tǒng)的性能就影響到了人員的績效,正好在英語中,性能與績效是同一個詞,看來這兩者之間還真的是有非常大的關聯(lián)。
2、 安全:IT風險最大的風險,也是最直接的風險就是安全,這也會影響到業(yè)務的安全,如IT系統(tǒng)的數(shù)據(jù)由于服務器出問題全面丟失了,企業(yè)會面臨著怎么樣的問題?或者都有可能導致企業(yè)的關門大吉也不為過。
3、 成本:包括金錢成本和時間成本:在不久之前,我就某房地產(chǎn)企業(yè)的ERP系統(tǒng),由于性能問題,無法按照計劃進行開盤,導致當天損失了上億的交易額的問題,一怒之下直接將原有IT系統(tǒng)廢除,重新構建的案例,在這個例子中就出現(xiàn)了典型的成本代價。
下圖是一個典型的風險管理模型,在這個風險管理模型中,我們可以看到,企業(yè)信息系統(tǒng)的風險管理是由識別、分析、計劃、跟蹤、控制五大過程組成的閉環(huán),在這個閉環(huán)中一個核心成果必須全程管理,也就是我們常說的《風險登記冊》。在這個閉環(huán)的過程中,需要IT人員定期的、或是通過事件觸發(fā)的進行IT風險線索進行識別定義,明確了風險之后進行整體分析,并給出相應的應對策略和計劃,在風險爆發(fā)的時候通過有效跟蹤,確保風險得到控制,最終平息該風險。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112189075.html