信息科技风险(以下简称“IT风险”)具有技术含量高、突发性强、覆盖面广、快速蔓延的特点,同时IT风险管理过程中又存在认知弱、基础差、难计量的问题。因此,做好IT风险管理必须要建立良好的管理机制,进行符合自身的管理框架与任务规划,并且进行持续的分布持续推进,这样才能最大程度上降低IT风险所带来的潜在损失。IT风险管理是指通过建立有效的机制,实现对IT风险的识别、计量、评估、预警和控制,确保信息系统高效、可靠、安全、平稳、持续运行,规避因为信息技术应用而引起的各种风险。
IT风险管理从信息技术、风险管理、审计方面设立三道防线,首先是由信息技术部从技术手段上看能够进行控制、风险管理部门、审计部门分别从风险管理、审计手段去控制风险。这样才能更好地贯彻“责任到位、任务明确、各司其职”的原则。IT风险管理的目标是通过建立有效的管理机制,实现对IT风险的识别、分析和评估、控制、监测及报告,促进信息系统的安全稳定运行,推动业务创新,提高信息技术使用水平,增强业务核心竞争力和可持续发展能力。在风险发生以前建立有效的风险管理措施,降低风险发生的可能性或减少风险可能造成的损失。▼▼全面性原则
IT风险管理应覆盖到各部门、岗位、人员及操作环节中,使IT风险能够被识别、评估、计量、监测和控制。▼▼成本效益原则
对风险管理措施的实施成本与风险可能造成的损失进行分析比较,选取成本效益最佳的风险控制方案。IT风险与控制自我评估是识别和评估IT风险及风险控制措施有效性的管理手段。各相关部门应按照预先设定的工作方法,对其职责范围内的IT风险管理现状进行评价。IT风险与控制自我评估是IT风险管理持续改进的基础工作和关键环节。▼▼关键风险指标(KRI)
关键风险指标(KRI)是反映IT风险水平的一系列统计指标,具有可量化的特点。关键风险指标用于监测可能造成重大IT风险事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标。通过对主要风险类型的早期预警并及时采取应对措施,避免重大IT风险事件的发生。▼▼IT风险监控报表
IT风险监控报表是IT风险监测信息的收集手段,通过定期汇总分析监控报表,能够获取IT风险情况,并能掌握到总体风险变化趋势。IT风险管理流程包括IT风险识别、分析与评估、控制、监测及报告等五个环节:
1、风险识别
IT风险识别是指具有脆弱性,可能受到威胁侵害,需要保护的信息资源或资产进行识别和分类,并对相关的威胁和脆弱性进行确认的过程。风险识别是风险管理的第一步,也是风险管理的基础。2、风险分析与评估
IT风险分析是指对风险的可能性及其发生以后所造成的影响进行综合度量。IT风险评估单位应通过定性或定量的评估方法,判断风险的影响程度和发生可能性,确定风险的等级。3、风险控制
IT风险控制指根据风险偏好及风险评估的结果建立相应的风险管理措施。通过建立事前预防、事中监控及事后复核的风险管控手段降低风险发生的可能性及其造成的影响,并根据IT风险容忍程度采取规避、降低、转移风险的方式,将风险控制到可接受的水平之内。4、风险监测
IT风险监测是指对IT风险进行定期或持续的检查,及时发现新出现的IT风险以及风险管理措施出现的问题,并采取相应的补救措施,以保证IT风险在不断变化的内外部环境中,始终处于风险容忍水平之下。5、风险报告
IT风险报告指信息科技部门、风险管理部门和审计部门依据特定的格式和程序对IT风险状况进行描述、分析和评价,并形成的IT风险报告,相关部门按照规定的报告路线进行汇报。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。