信息系統(tǒng)應(yīng)用中的風(fēng)險(xiǎn)控制

1、引言： 個(gè)人從事 IT 行業(yè)多年， 早期作開發(fā)工作， 后來做 ERP 實(shí)施， 負(fù)責(zé)完成了多個(gè)大型企業(yè)的 ERP 項(xiàng)目，目前轉(zhuǎn)入到甲方單位做些項(xiàng)目管理的工作。在長期的軟件項(xiàng)目工作經(jīng)歷中，接 觸到的客戶中或多或少的表現(xiàn)出對信息系統(tǒng)風(fēng)險(xiǎn)的錯(cuò)誤認(rèn)識， 存在誤解的既有企業(yè)的普通員 工，也有企業(yè)領(lǐng)導(dǎo)。 信息系統(tǒng)的風(fēng)險(xiǎn)和系統(tǒng)的應(yīng)用是伴生的，風(fēng)險(xiǎn)是永遠(yuǎn)客觀存在的，怎樣防范風(fēng)險(xiǎn)、怎樣 控制風(fēng)險(xiǎn)，這是企業(yè) 信息化 建設(shè)過程中必須應(yīng)對的問題。本文中結(jié)合我個(gè)人從事 IT 行業(yè)的 經(jīng)歷和經(jīng)驗(yàn)， 面向即將實(shí)施信息系統(tǒng)或已經(jīng)建設(shè)了信息系統(tǒng)的企業(yè)， 對信息系統(tǒng)風(fēng)險(xiǎn)管理中 的問題提出我的觀點(diǎn)和相應(yīng)的解決辦法。 正文： 當(dāng)前各個(gè)

2、行業(yè)的企業(yè)內(nèi)部各項(xiàng)信息化工作開展的如火如荼，ERP、電子商務(wù)、CRM，建 設(shè)工作由點(diǎn)到面， 從業(yè)務(wù)運(yùn)營到 企業(yè)管理 、從單一應(yīng)用到綜合治理， 在企業(yè)內(nèi)部各個(gè)層面逐 步展開。系統(tǒng)建設(shè)大多已初具規(guī)模， 企業(yè)的信息化框架也逐步確立?？梢钥吹?，信息化為企 業(yè)經(jīng)營帶來了明顯的經(jīng)濟(jì)效益，為企業(yè)管理改革提供了有力的支持。 凡事都具有兩面性，企業(yè)在收獲信息化成果的同時(shí)，也應(yīng)該看到信息化帶來的巨大風(fēng)險(xiǎn)， 應(yīng)該對這類風(fēng)險(xiǎn)安排適當(dāng)?shù)目刂拼胧?。但是在我的工作?jīng)歷中，大多數(shù)客戶，特別是IT 建 設(shè)剛剛起步的一些企業(yè)， 對此風(fēng)險(xiǎn)問題都表現(xiàn)出不同程度的漠視， 或者錯(cuò)誤的認(rèn)識。 歸納一 下，主要有以下幾種錯(cuò)誤觀點(diǎn)： 1、認(rèn)為

3、信息系統(tǒng)應(yīng)該達(dá)到 安全 可靠，否則就是開發(fā)商的水平不高； 2、要求系統(tǒng)提供商承諾軟件系統(tǒng)功能無差錯(cuò)； 3、要求系統(tǒng)提供商承擔(dān)系統(tǒng)錯(cuò)誤造成的損失和影響； 信息系統(tǒng)風(fēng)險(xiǎn)分析： 面提到的幾種觀點(diǎn)，其根本，還在于認(rèn)為 “信息系統(tǒng)可以做到安全可靠 ”，這實(shí)際是對 信息系統(tǒng)風(fēng)險(xiǎn)問題的錯(cuò)誤認(rèn)識。 信息系統(tǒng)本身具有很大的 “脆弱性 ”，信息系統(tǒng)依賴的硬件、信息 系統(tǒng)應(yīng)用 的 IT 技術(shù)（軟 件方面）、信息系統(tǒng)的建設(shè)和使用過程都存在著大量的風(fēng)險(xiǎn)因素，這類風(fēng)險(xiǎn)客觀長期存在， 既有有形的風(fēng)險(xiǎn)（設(shè)備、環(huán)境）、也有無形的風(fēng)險(xiǎn)（行為、道德）。 下面，將從這些角度分析一下信息系統(tǒng)常見的風(fēng)險(xiǎn)因素： 1、系統(tǒng)硬件環(huán)境風(fēng)險(xiǎn) 信息

4、系統(tǒng)的運(yùn)用，依賴于特定的硬件環(huán)境，例如 服務(wù)器 、網(wǎng)絡(luò)等等，這些環(huán)境依賴大量的硬 件設(shè)備，這些設(shè)備自身都存在一定的故障率，這類故障發(fā)生時(shí)必然影響信息系統(tǒng)正常運(yùn)行。 這類故障比較常見，大多數(shù)人也都能理解。 2、信息系統(tǒng)技術(shù)帶來的 風(fēng)險(xiǎn) 信息系統(tǒng)的建設(shè)總是利用一定的技術(shù)手段進(jìn)行實(shí)現(xiàn)， 例如 Dot NET 、J2EE、VB 、數(shù)據(jù)庫、 應(yīng)用服務(wù)器等， 這些技術(shù)手段雖然都是商業(yè)化的， 但其自身也是一個(gè)信息產(chǎn)品， 受制于信息 系統(tǒng)建設(shè)的客觀因素， 依然不可能根除出現(xiàn)錯(cuò)誤的可能， 這些產(chǎn)品的廠商在推廣中強(qiáng)調(diào)的 “安 全性”、 “可靠性 ”，更多的表現(xiàn)為一種營銷宣傳，根本不可能在購買合同中進(jìn)行明確的承諾

5、（這些供應(yīng)商都會在合同中采用 “責(zé)任限制 ”的條款對這樣的風(fēng)險(xiǎn)進(jìn)行規(guī)避） 。那么在這些技 術(shù)手段之上構(gòu)建的信息系統(tǒng)自然會受到這些風(fēng)險(xiǎn)的影響。 3、信息系統(tǒng)建設(shè)過程中隱藏的風(fēng)險(xiǎn) 信息系統(tǒng)建設(shè)的過程，無論是自建還是采購，都必然經(jīng)歷需求調(diào)研分析、系統(tǒng)規(guī)劃設(shè)計(jì)、 系統(tǒng)開發(fā)測試、 系統(tǒng)實(shí)施等幾個(gè)過程， 這些過程中都存在導(dǎo)致日后系統(tǒng)出現(xiàn)錯(cuò)誤造成損失的 風(fēng)險(xiǎn)。例如： 需求調(diào)研階段， 技術(shù)人員對需求認(rèn)識的局限性， 將造成未來系統(tǒng)的局限性。 在日后 系統(tǒng)應(yīng)用 過程中，當(dāng)這種局限性的條件滿足時(shí)，可能對系統(tǒng)的使用產(chǎn)生影響； 系統(tǒng)開發(fā)測試階段，每一項(xiàng)功能都是由技術(shù)人員編寫程序代碼實(shí)現(xiàn)，此項(xiàng)工作繁瑣且復(fù) 雜，人非機(jī)器，

6、 錯(cuò)誤是不可絕對避免，開發(fā)的質(zhì)量需要測試工作來保證。測試工作只是模擬 未來的使用方式來驗(yàn)證系統(tǒng)， 不可能對系統(tǒng)進(jìn)行全方位的驗(yàn)證， 系統(tǒng)出錯(cuò)的可能性永遠(yuǎn)存在。 另外，作為這項(xiàng)工作主要的參與者，人的責(zé)任心這樣的道德風(fēng)險(xiǎn)也不能小視； 4、信息系統(tǒng)使用、維護(hù)過程中 “人 ”的風(fēng)險(xiǎn) 信息系統(tǒng)的最終價(jià)值是通過人的使用發(fā)揮出來的，在系統(tǒng)的使用中，操作人員不當(dāng)操作 可能造成錯(cuò)誤；系統(tǒng)維護(hù)中，維護(hù)人員的能力、經(jīng)驗(yàn)的欠缺，可能對系統(tǒng)引入新的錯(cuò)誤，這 些都是導(dǎo)致?lián)p失發(fā)生的風(fēng)險(xiǎn)。 5、信息系統(tǒng)應(yīng)用集中，自動(dòng)化程度提高，風(fēng)險(xiǎn)擴(kuò)大 信息系統(tǒng)經(jīng)過這些年的發(fā)展，從最初的單機(jī)、單點(diǎn)應(yīng)用，演變到現(xiàn)在的網(wǎng)絡(luò)化應(yīng)用，數(shù) 據(jù)集中、邏輯

7、集中； 應(yīng)用方式從早期的簡單記錄功能，到目前的自動(dòng)化處理，這些既是技術(shù) 發(fā)展的方向， 也是 企業(yè)管理 變革的要求。 集中降低了 信息化 建設(shè)的成本、 增強(qiáng)了系統(tǒng)的靈活 性，自動(dòng)化降低了企業(yè)的運(yùn)營成本，但也不可否認(rèn)，風(fēng)險(xiǎn)也相應(yīng)增大了，一個(gè)小小的錯(cuò)誤， 可能會影響到整個(gè)企業(yè)正常經(jīng)營。 6、網(wǎng)絡(luò)風(fēng)險(xiǎn) 信息技術(shù)發(fā)展到今天，網(wǎng)絡(luò)是最偉大的技術(shù)創(chuàng)新，目前企業(yè)幾乎所有的應(yīng)有系統(tǒng)都基于 網(wǎng)絡(luò)進(jìn)行構(gòu)建， 從內(nèi)部辦公網(wǎng)到 電子商務(wù) 、從財(cái)務(wù)系統(tǒng)到網(wǎng)上結(jié)算， 網(wǎng)絡(luò)也成為保險(xiǎn)公司提 升服務(wù)質(zhì)量、擴(kuò)寬營銷渠道的一個(gè)重要的手段。網(wǎng)絡(luò)的大量應(yīng)用， 也帶來了大量的風(fēng)險(xiǎn)，例 如黑客、病毒等等。 綜合上面的分析， 信息系統(tǒng)的建設(shè)

8、過程、 使用過程、 以及相關(guān)的環(huán)境因素中都存在著大量的 導(dǎo)致?lián)p失的 風(fēng)險(xiǎn)因素，這些風(fēng)險(xiǎn)大多都是信息系統(tǒng)建設(shè)自身的特點(diǎn)所決定的， 客觀的講， 風(fēng) 險(xiǎn)不可能完全消除。 對待信息系統(tǒng)風(fēng)險(xiǎn)， 科學(xué)的態(tài)度應(yīng)當(dāng)是怎樣去降低風(fēng)險(xiǎn)發(fā)生的概率？怎 樣去控制風(fēng)險(xiǎn)帶來的損失？如果損失發(fā)生怎樣償付、 沖減損失？這三個(gè)方面同保險(xiǎn)領(lǐng)域中風(fēng) 險(xiǎn)管理的思路是一致的，是風(fēng)險(xiǎn)管理的三個(gè)基本面：風(fēng)險(xiǎn)防范、損失控制、風(fēng)險(xiǎn)融資。 風(fēng)險(xiǎn)防范策略和方法： 通過上面的分析，信息系統(tǒng)的風(fēng)險(xiǎn)客觀長期存在，科學(xué)的方法在于建立有效的風(fēng)險(xiǎn)防范、 損失控制、風(fēng)險(xiǎn)融資的手段。其中，對于信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行融資，手段有限，僅能針對硬件 設(shè)備的損失風(fēng)險(xiǎn)，例如購買

9、保險(xiǎn)、設(shè)備托管等等， 對此將不作探討。下面重點(diǎn)從企業(yè)自身工 作建設(shè)的角度來討論信息系統(tǒng)風(fēng)險(xiǎn)防范、損失控制的方法。 1、加強(qiáng)信息系統(tǒng)建設(shè)過程的風(fēng)險(xiǎn)管理 企業(yè)的 信息化 系統(tǒng)建設(shè)，即使是通過采購買入，企業(yè)作為甲方首先要對自己負(fù)責(zé)，需要 主動(dòng)承擔(dān)主持、 規(guī)劃、協(xié)調(diào)、監(jiān)控等關(guān)鍵職責(zé)，相應(yīng)的信息系統(tǒng)風(fēng)險(xiǎn)管理措施應(yīng)首先從自身 進(jìn)行強(qiáng)化。否則，項(xiàng)目最終失敗后，企業(yè)即使從供應(yīng)商處得到補(bǔ)償，也是個(gè)兩敗的結(jié)果。 前面分析了，信息系統(tǒng)的建設(shè)過程本身存在一系列的風(fēng)險(xiǎn)，開發(fā)信息系統(tǒng)的過程是決定 系統(tǒng)風(fēng)險(xiǎn)的關(guān)鍵因素，因此加強(qiáng)管理的措施主要就是建立對活動(dòng)的評審和 審計(jì) 。 系統(tǒng)的建設(shè)從立項(xiàng)到最終的投入使用，包含了大量的過程

10、活動(dòng)，從質(zhì)量監(jiān)控的角度，需 求整理、項(xiàng)目采購、項(xiàng)目計(jì)劃、系統(tǒng)規(guī)劃、應(yīng)用測試、客戶培訓(xùn) 六項(xiàng)工作是管理的重心。信 息系統(tǒng)自身的特殊性， 不同于傳統(tǒng)的實(shí)物產(chǎn)品， 可度量性差， 其過程表現(xiàn)的是人的行為和思 想活動(dòng)，因此建立工作過程文檔實(shí)屬必要，這將構(gòu)成進(jìn)行 質(zhì)量管理 、控制風(fēng)險(xiǎn)的基礎(chǔ)。 2、加強(qiáng)信息系統(tǒng)存續(xù)階段的風(fēng)險(xiǎn)控制 信息系統(tǒng)猶如一輛汽車，在其使用過程中需要進(jìn)行日常保養(yǎng)（糾錯(cuò)性維護(hù)），必要時(shí)可 能還需進(jìn)行改造（改進(jìn)性維護(hù)），以便能夠適應(yīng)業(yè)務(wù)發(fā)展的要求。 信息系統(tǒng)維護(hù)工作是個(gè)很有挑戰(zhàn)性的工作，難點(diǎn)不是某個(gè)錯(cuò)誤多么隱蔽，多么難改，而 是在這樣長期的變化環(huán)境中，怎樣保持系統(tǒng)的可靠和穩(wěn)定。在工作中，時(shí)常

11、聽到 IT 人員抱 怨某某系統(tǒng)又要改了， 業(yè)務(wù)人員抱怨系統(tǒng)改正了老問題又帶來新問題， 或者是曾經(jīng)修正了的 問題又出現(xiàn)了，這幾乎成了維護(hù)工作的常見病。 個(gè)人在專業(yè) IT 公司長期從事軟件產(chǎn)品的管理工作， IT 公司軟件產(chǎn)品管理和企業(yè)維護(hù)信息 系統(tǒng)的工作面臨的挑戰(zhàn)是相同的， 產(chǎn)品管理同樣面臨怎樣保證產(chǎn)品適應(yīng)市場的變化、 客戶的 需求，同時(shí)還要在長期的應(yīng)用中保持穩(wěn)定。要達(dá)到這樣的要求，從本質(zhì)上講，規(guī)劃是根本， 但從日常管理上講，完備的 配置管理 是保障。 軟件配置管理 的目的是在軟件系統(tǒng)的整個(gè)生存周期過程中建立和維護(hù)軟件項(xiàng)目產(chǎn)品的完整 性和一致性。具體講，涉及三個(gè)方面：版本管理、變更管理和過程支持，

12、有效地版本管理要 能夠的標(biāo)示系統(tǒng)的變化，變化要可追溯；變更管理要記錄每次變化的原因，或是Bug ，或是 需求，建立變更和系統(tǒng)版本之間的聯(lián)系，保證系統(tǒng)的變更是受控的。 3、信息系統(tǒng)建設(shè)中應(yīng)規(guī)劃 風(fēng)險(xiǎn) 控制支持功能 企業(yè)在引入信息系統(tǒng)時(shí)，應(yīng)將信息系統(tǒng)作為一個(gè)風(fēng)險(xiǎn)源，對業(yè)務(wù)流程規(guī)劃時(shí)，應(yīng)考慮其 影響， 根據(jù)效益原則進(jìn)行風(fēng)險(xiǎn)控制。 在建設(shè)信息系統(tǒng)時(shí)， 需明確提出建立必要的風(fēng)險(xiǎn)控制措 施，或從制度、或從信息系統(tǒng)自身。例如：系統(tǒng)對外報(bào)出的數(shù)據(jù)，在報(bào)出前完成和原始數(shù)據(jù) 的核對； 自動(dòng)處理的業(yè)務(wù)， 階段性的進(jìn)行核查。 相應(yīng)的信息系統(tǒng)要提供合適的功能支持完成 此類工作。 有了這樣的手段，在各部門崗位中再輔以恰當(dāng)

13、的崗位職責(zé)認(rèn)定，業(yè)務(wù)崗位工作職責(zé)中納 入風(fēng)險(xiǎn)控制要求， 業(yè)務(wù)部門對業(yè)務(wù)執(zhí)行結(jié)果負(fù)責(zé)。 信息系統(tǒng)建設(shè)和業(yè)務(wù)部門日常工作之間建 立責(zé)任推動(dòng)機(jī)制，相互配合，相互促進(jìn)，實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)控制工作的良性發(fā)展。 4、建立企業(yè)信息 安全審計(jì) 制度 上面討論的方法僅僅是一些針對性的辦法、措施，上升到整個(gè)企業(yè)的高度，依然無法有 效地保證企業(yè)的信息 安全 。因?yàn)檫@些辦法都體現(xiàn)為部門的行為， 行為的選擇具有主觀性、 靈 活性的特征， 只有通過企業(yè)的制度建設(shè)來約束行為， 才能夠保證行為方向的一致和有效， 因 此企業(yè)的信息安全保障需要通過建立一套有效的控制制度來實(shí)現(xiàn)。 在制度建設(shè)上，企業(yè)信息系統(tǒng) 審計(jì) 制度是個(gè)比較好的選

14、擇，其中就包括了信息安全的審 計(jì)。企業(yè)可在適當(dāng)?shù)臅r(shí)機(jī)， 逐步引入審計(jì)制度， 通過第三方或內(nèi)部獨(dú)立的審計(jì)機(jī)構(gòu)對企業(yè)的 信息安全工作周期性的進(jìn)行審計(jì)， 出具審計(jì)報(bào)告， 形成對信息安全的客觀評價(jià)， 根據(jù)評價(jià)來 指導(dǎo)、監(jiān)督信息安全的建設(shè)。 這個(gè)方面業(yè)界已經(jīng)有了成熟的 信息管理 審計(jì)的 標(biāo)準(zhǔn) 和方法，影響力比較大主要有 COBIT 和ISO17799。COBIT是信息系統(tǒng)審計(jì)與控制協(xié)會公布的標(biāo)準(zhǔn)，全稱叫“Control Objectives for Information and Related Technology 。 COBI”T 將 IT 過程、 IT 資源 及信息與企業(yè)的策略與目 標(biāo)聯(lián)系起來， 形成一個(gè)三維的體系結(jié)構(gòu)。 ISO17799 的前身是英國國家標(biāo)準(zhǔn)局制定的 BS7799-1 信息安全管理實(shí)踐規(guī)范和BS7799-2信息安全管理體系規(guī)范，目的是幫助銀行在組 織中建立一個(gè)初步的、易于實(shí)施和維護(hù)的安全管理框架。后來BS7799-1 已被國際標(biāo)準(zhǔn)化組 織采納成為ISO17799。該標(biāo)準(zhǔn)包含100多個(gè)安全控制措施來幫助組織識別在運(yùn)作過程中對 信息安全有影響的元素。這 100多個(gè)控制措施被分成 10個(gè)方面，成為組織實(shí)施信息安全管 理的實(shí)用指南，這 10個(gè)方面分別是：方針、安全組織、信息分類與控制、人事安全