最近更新赞助商链接
导读:风险管理的动力是应对不断变化的内外部因素,确保服务目标的有效达成;风险管理的愿景则是尽可能降低成本且提高信息科技的服务价值。信息科技工作就像是在拉满红线的舞台上跳舞,而信息科技风险管理工作则可以帮助我们不忽略任何一条红线,也不因为红线而忽略任何一块舞台。且跟随IT常青树一起认知什么是科技风险管理吧。
▌科技风险管理的必要性
随着信息技术在各行各业的全面渗透,信息服务已经与企业的业务运营、交易处理、经营管理和内部控制等方面融合紧密,并且已经成为企业实施业务运营、提升竞争能力、布局经营战略和开展业务创新的最为重要的基础性服务平台。
信息科技面向业务支撑的活动中,由于自然因素、人为因素、技术漏洞和管理缺陷等原因,都会直接或间接的导致业务操作、法律和声誉等方面的风险。信息科技风险可以说是唯一能够导致一个企业主要业务在瞬间瘫痪的风险,同时不当的人机操作也会导致企业产生各种经济损失和社会声誉风险,所以说信息科技风险已经成为企业生产经营过程的主要风险之一,信息科技风险防范已成为企业全面风险管理的重要任务。
建立信息科技风险管理的意义就在于可以将事后控制变为事前预防,从根本上改变因缺乏风险管理而产生的滞后和拖沓的心态,并让相关部门的工作重心始终放在那些决定信息科技服务成败至关重要的问题上。
▌什么是信息科技风险
银监会《商业银行信息科技风险管理指引》(银监发[2009年]19号)所定义的信息科技风险是指:信息科技业务在商业银行应用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
信息科技风险管理实质上是针对作为业务运行支撑的信息科技应用,在其生命周期中,由于人为或自然原因而导致的对业务运行造成不利影响的数据丢失或损毁、系统宕机、网络故障等安全事件及其潜在可能性的综合性管理。
▌科技风险的主要分类
随着企业信息技术的深入应用和风险管理意识的逐步提升,企业已经由早期单一的信息安全风险管理转变为涵盖IT战略、数据资产、应用开发与维护、信息安全、外包管理、业务连续性、生产运行管理等方面的全面信息科技风险管理,信息科技风险管理水平体现了企业信息化程度和整体的风险管理水平。具体包含在以下几个方面:
IT战略风险:主要包含企业IT与企业发展战略一致性、IT的价值呈现、IT的创新发展等战略部署漏洞和威胁。
业务支撑风险:主要包含IT对业务需求的响应能力、IT对业务流程的支撑能力、IT内控合规的保障能力、IT的履约能力、IT的业务绩效等业务支撑能力漏洞与威胁。
数据资产保护风险:主要包含企业的生产运行数据、服务运营数据、经营决策数据,以及与之相关的中间业务数据的不完整、不准确、不合规等质量问题与威胁。
信息安全风险:主要包含日志安全、数据安全、内容安全、接口传输安全、终端显示安全、业务敏感信息安全和信息系统安全等方面的安全漏洞与威胁。
信息技术风险:主要包含企业信息技术创新所需要的相关技术不配套、不成熟,或者技术创新所需要的相应环境、设施、设备不够完善所造成的问题与威胁。
信息系统开发风险、测试与维护风险:主要包含信息系统全生命周期过程活动(包括信息系统计划管理、需求分析、规划、采购、开发、测试、部署、维护、升级和报废等)带来的合规性、健康性和防御能力的漏洞与威胁。
信息科技运行风险:主要包含数据资产访问与管理、IT服务运行操作、IT服务级别管理等方面带来的运行能力漏洞与威胁。
业务连续性管理风险:主要包含常规和特殊业务场景下,IT服务组合的中断和异常,对于企业带来的经济和社会声誉损失和威胁。
外包管理风险:主要包含外包选型、外包能力部署、外包服务实施、外包绩效管理、外包资源管理等方面对外包目标实现和知识产权保护方面带来的漏洞和威胁。
▌科技风险的关键目标
企业应设置清晰的、可实现的、符合战略发展要求的科技风险管理目标。以风险管控目标为驱动力,全面部署各项风险管控策略和策措。总结来说,一般性企业的科技风险管理目标课以包含如下几个方面:
建立可靠的数据资产保护机制,塑造企业安全可靠的业务运营环境,确保企业可持续性的发展前进;
建立科学的信息科技风险管理体系,形成闭环与自治性风险防控能力,促进业务健康稳定的运营发展;
加强安全漏洞的检测和防御能力,提升风险预防和应急处置能力,减少业务中断和异常导致的经济和声誉损失;
加强风险评估与研判能力,保障业务持续创新,促进合作资源的有效交流与共享。
相关文章发表评论最近更新赞助商链接