欢迎来到天天文库
浏览记录
ID:52343869
大小:1.31 MB
页数:5页
时间:2020-03-26
《企业IT风险管理的体系构建与实现路径.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、2014年第2期sienceandT。。entResearch2014N。.2doi:10.3969/j.issn.1000—7695.2014.02.042企业IT风险管理的体系构建与实现路径惠志斌(上海社会科学院信息研究所,上海200235)摘要:通过对企业面临的IT风险的分析,指出企业IT风险管理的必要性和重要性,进而系统论述企业IT风险及其管理的相关概念;借鉴国内外IT风险管理标准和金融企业IT风险实施经验,研究适合现代企业的IT风险管理体系框架,并提出系统、全面、可操作的IT风险管理实现路径的建议。关键词:信息安全;信息
2、系统;IT风险;IT风险管理;1T风险评估中图分类号:g201;F272.35文献标志码:A文章编号:1000—7695(2014)02—0194—05TheoreticalConstructionandRealizationApproachesofEnterpriseITRiskManagementSystemHUIZhibin(InstituteofInformation,ShanghaiAcademyofSocialSciences,Shanghai200235,China)Abstract:Aftertheanalysis
3、oftheinformationtechnologyrisksfacingenterprises,thearticlepointsoutthenecessityandimportanceofenterprisesITrisksmanagement.ThensystematicallydiscussestheconceptsofenterpriseITriskanditsmanagement.Meanwhile,thearticleintroducesthestandardsandexperiencesofenterprisesIT
4、risksmanagementathomeandabroad.Basedonthis,thearticlebuildstheframeworkofITriskmanagementfittingformodernenterprisedevelop—ment,andbringsforwardthesystematicandoperableapproachestotheimplementationofenterprisesITriskmanagement.Keywords:informationsecurity;informations
5、ystem;ITrisk;ITriskmanagement;ITriskassessment现代信息技术与企业业务流程的高度融合,极个颇有争议的概念。其中,国际标准化组织在大地提升了企业效率和核心竞争力,与此同时,由“ISO/IECGuide73:2002”中将风险定义为“事件发于企业IT系统的高度复杂、日趋开放和影啕全局,生的可能性及其后果的结合”;国际内部审计协会围绕信息技术产生的系统性风险也在全面凸显,成(IIA)对风险定义为“可能对企业目标的实现产生为企业运营风险的重要来源,由此导致的企业IT事影响的事件和不确定性”;美国
6、反虚假财务报告委员故使企业不得不承受远比以前更高的成本,甚至导会(COSO)发布的《企业风险管理一整合框架》致企业的整体崩溃。当前,越来越多的企业开始认中则将风险定义为“一个事项将会发生并给目标实识到IT风险的重要性,围绕企业IT风险的辨识、衡现带来负面影响的可能性”。关于IT风险的认识,量、分析、管理的相关知识和技术逐渐独立开来,同样存在着不同的观点。《IT风险——基于IT治理成为信息时代企业风险管理的重要门类。在上述背的风险管理之道》一书中认为IT风险是指“对企业景下,本文以企业IT风险最为紧迫的银行业为主要业务造成负面影响的
7、信息技术失效”。中国银监会颁考察对象,系统探讨企业IT风险管理的认知框架和布的《银行业金融机构信息系统风险管理指引》中实现路径,以此推动我国IT风险管理理论和实践的IT风险是指“信息系统在规划、研发、建设、运发展行、维护、监控及退出过程中,由于技术和管理缺陷产生的操作、法律和声誉等风险”。赛门铁克公司1企业IT风险的概念和类型发布的《IT风险管理报告》中认为,IT风险主要包正如德国社会学家卢曼所说,人类正处在一个括安全性、可用性、能力和合规性四个方面。“除了冒险别无选择的社会”。人们越来越发现这个虽然各方对企业风险和企业IT风险的
8、理解并不世界的不确定性和高风险并没有因为科技的进步和相同,但根据上述概念可以对企业IT风险做如下定文明的发展而自然消减,而是相反。由于理解程度义:企业IT风险是企业IT系统对企业业务和经营目和研究角度的不同,关于企业层面的风险一直是一标造成的不确定
此文档下载收益归作者所有