1 引言

    在加快實(shí)現(xiàn)企業(yè)信息化建設(shè)的過(guò)程中，企業(yè)越來(lái)越關(guān)注信息化項(xiàng)目的合理性、有效性、經(jīng)濟(jì)性、可用性和安全性。在這種需求的推動(dòng)下，信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估走上了風(fēng)險(xiǎn)控制的前臺(tái)，成為企業(yè)信息化項(xiàng)目治理的重要組成部分。

    運(yùn)用先進(jìn)的評(píng)估方法，逐步完善信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程，建立風(fēng)險(xiǎn)特征的評(píng)估模型，并通過(guò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的手段，保障信息資產(chǎn)的安全、數(shù)據(jù)的完整、提高信息系統(tǒng)的效率，可以使企業(yè)不斷加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理和內(nèi)部控制，以適應(yīng)風(fēng)險(xiǎn)環(huán)境日益復(fù)雜化的需要，確保信息系統(tǒng)安全、穩(wěn)定、有效運(yùn)行。

    2 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析

    信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估已得到國(guó)際社會(huì)的普遍重視，風(fēng)險(xiǎn)評(píng)估的重點(diǎn)也從操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境發(fā)展到整個(gè)管理體系。西方國(guó)家在實(shí)踐中不斷發(fā)現(xiàn)，風(fēng)險(xiǎn)評(píng)估作為保證信息安全的重要基石發(fā)揮著關(guān)鍵作用。在信息安全、安全技術(shù)的相關(guān)標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)評(píng)估均作為關(guān)鍵步驟進(jìn)行闡述，如ISO13335、COBIT、BS7799-3等。

    我國(guó)的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作目前還處于起步階段，沒(méi)有形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開(kāi)展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的人才隊(duì)伍。目前我國(guó)所進(jìn)行的一些信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的探索和嘗試以及開(kāi)發(fā)的一些計(jì)算機(jī)審計(jì)軟件大都停留在對(duì)被評(píng)估單位的電子數(shù)據(jù)進(jìn)行處理的階段。無(wú)論是國(guó)際上大型的跨國(guó)公司還是國(guó)內(nèi)一些規(guī)模較大的企業(yè)都在不斷地?cái)U(kuò)大信息技術(shù)在其經(jīng)營(yíng)活動(dòng)的應(yīng)用范圍，運(yùn)用傳統(tǒng)的信息技術(shù)和風(fēng)險(xiǎn)評(píng)估知識(shí)已經(jīng)不能實(shí)現(xiàn)真正意義上的“風(fēng)險(xiǎn)基礎(chǔ)模式”的風(fēng)險(xiǎn)評(píng)估，這些都影響到我國(guó)IT治理和信息系統(tǒng)風(fēng)險(xiǎn)控制的實(shí)施。

    隨著企業(yè)經(jīng)營(yíng)管理活動(dòng)對(duì)信息技術(shù)的高度依存，信息科技風(fēng)險(xiǎn)控制已成為企業(yè)風(fēng)險(xiǎn)管理的重要內(nèi)容，并需要從戰(zhàn)略的角度將信息系統(tǒng)與實(shí)現(xiàn)公司治理的總體目標(biāo)緊密聯(lián)系在一起。因此，需要解析企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀及存在的問(wèn)題，并根據(jù)國(guó)際經(jīng)驗(yàn)與我國(guó)實(shí)際情況進(jìn)行差異性分析，找到我國(guó)企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的有效方法。

    3 風(fēng)險(xiǎn)評(píng)估流程分析

    企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的實(shí)施流程主要包括如下步驟：

    1）對(duì)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略進(jìn)行分析。

    企業(yè)首先應(yīng)明確信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略，并在內(nèi)部進(jìn)行發(fā)布，強(qiáng)調(diào)對(duì)信息安全的支持與承諾，使其與企業(yè)的發(fā)展相一致。

    信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估必須對(duì)信息系統(tǒng)業(yè)務(wù)支持的可行性進(jìn)行分析，了解技術(shù)發(fā)展的內(nèi)外部狀況和管理層對(duì)信息技術(shù)的支持度等實(shí)際狀況，評(píng)價(jià)信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略是否與業(yè)務(wù)發(fā)展戰(zhàn)略相一致。

    信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略及流程如圖1所示，首先需要確定總風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)；其次把確認(rèn)的風(fēng)險(xiǎn)進(jìn)行排序，建立戰(zhàn)略風(fēng)險(xiǎn)和流程風(fēng)險(xiǎn)項(xiàng)目；最后確定流程執(zhí)行的效力。

 圖1 信息系統(tǒng)風(fēng)險(xiǎn)戰(zhàn)略及流程

    2）對(duì)風(fēng)險(xiǎn)評(píng)估內(nèi)容進(jìn)行詳細(xì)定義。

    建立信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍的表格，如該項(xiàng)評(píng)估所包含的系統(tǒng)、人員、資源等。對(duì)信息系統(tǒng)的運(yùn)行進(jìn)行評(píng)估，如主機(jī)系統(tǒng)、硬件設(shè)備、人員管理、災(zāi)難備份、權(quán)限管理等。

    建立信息系統(tǒng)流程評(píng)估表格，如主流程、次流程、流程所對(duì)應(yīng)的操作；流程中的主要固有風(fēng)險(xiǎn)、風(fēng)險(xiǎn)的控制手段等。

    3）明確審計(jì)的技術(shù)和步驟。

    確定信息系統(tǒng)審計(jì)需要使用的技術(shù)和技術(shù)使用的步驟，常用的測(cè)試技術(shù)有現(xiàn)場(chǎng)觀察、訪談、審閱、再執(zhí)行、知識(shí)評(píng)估等。

    4）出具審計(jì)報(bào)告。

    對(duì)信息系統(tǒng)進(jìn)行測(cè)試后，出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)包括信息系統(tǒng)的基本情況、面臨的內(nèi)外部風(fēng)險(xiǎn)、評(píng)估所發(fā)現(xiàn)的問(wèn)題、對(duì)評(píng)估發(fā)現(xiàn)事項(xiàng)提出的建議。

    5）風(fēng)險(xiǎn)問(wèn)題的跟蹤和跟進(jìn)。

    評(píng)估完成后，對(duì)發(fā)現(xiàn)的問(wèn)題需根據(jù)問(wèn)題的對(duì)象和重要性，提出相關(guān)報(bào)告并跟蹤解決。

    4 結(jié)論

    將業(yè)務(wù)評(píng)估模型和技術(shù)評(píng)估模型相結(jié)合，建立一套基于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估模型與實(shí)施方法，可以避免傳統(tǒng)評(píng)估模型應(yīng)用在企業(yè)風(fēng)險(xiǎn)評(píng)估上的片面性。并通對(duì)企業(yè)的主要風(fēng)險(xiǎn)進(jìn)行識(shí)別，發(fā)現(xiàn)控制缺陷、漏洞和以前從信息系統(tǒng)內(nèi)部看不到的潛在風(fēng)險(xiǎn)，提出有效的解決方案，幫助企業(yè)建立健全內(nèi)部控制機(jī)制，并根據(jù)業(yè)務(wù)發(fā)展的需要，明確信息化建設(shè)的目標(biāo)和內(nèi)容，不斷調(diào)整現(xiàn)有的信息系統(tǒng)管理架構(gòu)和流程，使其更好地服務(wù)于企業(yè)的生產(chǎn)經(jīng)營(yíng)管理。