浅析信息系统风险管理

浅析信息系统风险管理

发表时间：2015-01-20T09:20:51.360Z 来源：《工程管理前沿》2015年第2期供稿作者：何晓爽[导读] 风险管理是信息系统项目管理中的一项重要活动和过程，也是一门复杂的管理科学与艺术。鉴于风险管理的重要性，我们必须高度重视，做到理论与实际相结合何晓爽

广东电网有限责任公司湛江供电局 524000 摘要：随着网络化的不断扩大，信息系统安全问题已成为国际、国家、社会、企业各领域关注的问题。信息系统安全问题在很大程度上由于风险的存在，因此，风险管理是确保信息系统安全的最重要因素。信息系统项目的风险管理能为企业领导提供更好的决策支持，为企业运营提供更有效的管控手段。简单的分析了管理信息系统未来的发展趋势以及管理信息系统正在日益改变我们的工作与生活方式。

关键词:信息系统;风险管理;应用引言

信息系统是企业实现信息化的最要标准，信息系统的建立为企业的经营带来了很大的便捷。信息系统项目的风险管理在信息系统项目的管理中起着至关重要的作用。信息系统风险管理必须根据实际情况来进行风险评估和风险防止，从而确保信息系统的安全性，进而为企业安全运行提供了基础保障。

1.信息系统安全风险影响因素分析

信息系统安全首要问题是必须保证计算机硬件的可靠性。由于计算安全态势值是实时的，因此，其也能够起到实时监控。过去和当前的信息系统安全状况可以通过评估来判断，并且能够为信息系统管理者提供预警机制。以风险指标为手段，按照风险识别、计量、缓释和监测报告的流程，全面整合各项需求，从企业级的高度规划和建设全面风险管理信息系统，打造全行统一的风险管理工作平台，确保系统建设与业务规划相匹配。交互是风险管理决策支持的核心，使计算机利用已有数据库中的数据预测风险管理人员提出的各种可供选择方案的可能结果，并且作出最佳选择。当社会各个重要领域进入信息化后，为了保证关键信息系统的安全，系统的安全性和系统的可靠性作为安全的重要内涵引起人们的高度重视。信息安全风险评估是实现信息安全保障工作的重要环节，是建立信息安全管理体系工作的重要步骤，是信息安全风险管理的重要工作阶段,是信息安全保障工作的主要核查手段。信息系统的正常运行和信息的存储与挖掘是需要在信息系统之间进行的，这就必须保证信息的安全和传输网络的可靠。只有对风险进行有效的管理和监控，才能实现潜在风险最小化和潜在机会最大化，完成项目建设目标。因此，对信息系统项目进行风险管理是非常重要和关键的。在对信息系统安全风险评价的时候，主要是从物理环境安全性、网络运行安全性、信息保密状况、安全管理能力、威胁对抗能力五个方面来进行评价最为合适。

2.信息系统风险管理的问题

风险管理活动首先要编制一个风险管理计划，这一环节是确定项目风险管理的总章程和计划，内容包括风险预测、应对方法、职责分工、资源分配等。信息环境下的信息系统存在的固有风险包括：信息系统程序容易被非法调用甚至篡改、信息处理过程和处理权责的集中化、微缩存储的数据与信息易于被窃取以及计算机设备的脆弱性等。为了能使得最终的评价结果更为科学、可信，最好的解决方法就是专家在给出评价值的同时也将其对该方面了解知识的程度也标注出来，这样的结果更为科学，在带来方便性的同时，也带来了很大的安全隐患，如果有人成功入侵服务器，严重的话可能出现最坏的结果。值得注意的是，风险识别有时不仅仅存在于项目开始时，而是可能在以后的过程中都需要进行。固化和优化风险管理业务流程，提升全行风险管理规划水平，支持新资本协议实施和全面风险管理体系落地。因此，在对信息系统安全风险评价过程中，应该将反应专家掌握信息量多少的灰度引入评价标度中。由于需求风险控制到位，我们所提交的系统设计方案也得到了用户的肯定。与项目人员签订相应的意向书，并做了一定的物质补偿，以保持内部人员的相对稳定。因此，基于顾客知识信息的信息系统对企业的可持续发展具有重要作用。其信息系统的安全风险问题是企业必须注重的，定期的信息系统安全风险评价是大型企业进行信息系统管理中必不可少的一步。显然，通过对信息系统控制的持续测试与审查，风险管理审计能够尽早发现信息系统中存在的问题，

3.信息系统在企业风险管理中的作用 3.1提供高效的信息沟通渠道信息系统安全风险评价是对信息系统管理和风险预测中必不可少的一部分，科学合理的信息系统风险评价方法是有效避免信息系统遭受损伤的关键一环。如企业信息系统应保证企业所有员工都能够收到高层管理人员发布的风险管理目标、操作指南等信息，在分析过程中，我组织风险专家对风险的概率及影响进行了科学的分析评估，对风险清单中列明的所有风险计算出一个确定的风险值，然后再根据风险值确定风险相对优先顺序。只有对风险进行有效的管理和监控，才能实现潜在风险最小化和潜在机会最大化，完成项目建设目标。因此，对信息系统项目进行风险管理是非常重要和关键的。通过信息系统，企业还能记录风险管理的全过程，包括管理和控制状况，生成报告以满足组织治理的需要。

3.2为整体风险评估提供信息支持对于信息系统项目而言，系统的功能和质量也是重要的风险之一。如果实施的信息系统不符合用户需求，或者在运行中频频出现问题，则项目无疑是失败的。从某种程度上说，风险评估是一个综合利用和分析企业战略、经营环境、运营活动及其相关风险等信息的过程。企业自身发展过程中业务流程不断发生变化，以及新系统的应用促使企业产生新的变革等，都会给需求带来不确定性风险。为此需要对已识别风险进行定期跟踪、监测残余的风险、识别新产生的风险，这对于保证项目的顺利实施是必不可少的。对风险的影响范围与程度形成更为准确地认识与评估。

3.3随着项目所处环境位置的不断变化，在某种特定环境下，次要风险也有可能会转化成主要风险，从而对项目造成大的影响。进风险管理在各部门间的整合实施企业风险管理的一个巨大障碍源于企业各个职能部门的风险管理活动缺乏整合。信息系统项目有其自身的独创性，决定了其风险的多样性和复杂性。在编制风险管理计划时，充分分析了项目的风险源，并与各部门协作控制与开发管理风险的方法。信息系统中信息的收集和管理都是有管理人员参与的，基于人性的不确定性和功利性，信息数据很容易被泄密，所以必须加强管理层的保密工作和安全防范意识。不断完善模型和数据，最终建立一套满足业务要求的风险管理数据标准体系。指标体系包括以资本充足率为代表的宏观指标、行业限额为代表的中观指标和客户违约概率为代表的微观指标。专家评价结果的借鉴来对企业信息系统安全风险管理和预防方面做出科学的决策。