1 引言

    在加快實現(xiàn)企業(yè)信息化建設(shè)的過程中，企業(yè)越來越關(guān)注信息化項目的合理性、有效性、經(jīng)濟性、可用性和安全性。在這種需求的推動下，信息系統(tǒng)風(fēng)險評估走上了風(fēng)險控制的前臺，成為企業(yè)信息化項目治理的重要組成部分。

    運用先進的評估方法，逐步完善信息系統(tǒng)風(fēng)險評估的流程，建立風(fēng)險特征的評估模型，并通過信息系統(tǒng)風(fēng)險評估的手段，保障信息資產(chǎn)的安全、數(shù)據(jù)的完整、提高信息系統(tǒng)的效率，可以使企業(yè)不斷加強信息系統(tǒng)風(fēng)險管理和內(nèi)部控制，以適應(yīng)風(fēng)險環(huán)境日益復(fù)雜化的需要，確保信息系統(tǒng)安全、穩(wěn)定、有效運行。

    2 信息系統(tǒng)風(fēng)險評估現(xiàn)狀分析

    信息系統(tǒng)風(fēng)險評估已得到國際社會的普遍重視，風(fēng)險評估的重點也從操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境發(fā)展到整個管理體系。西方國家在實踐中不斷發(fā)現(xiàn)，風(fēng)險評估作為保證信息安全的重要基石發(fā)揮著關(guān)鍵作用。在信息安全、安全技術(shù)的相關(guān)標準中，風(fēng)險評估均作為關(guān)鍵步驟進行闡述，如ISO13335、COBIT、BS7799-3等。

    我國的信息系統(tǒng)風(fēng)險評估工作目前還處于起步階段，沒有形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開展信息系統(tǒng)風(fēng)險評估的人才隊伍。目前我國所進行的一些信息系統(tǒng)風(fēng)險評估的探索和嘗試以及開發(fā)的一些計算機審計軟件大都停留在對被評估單位的電子數(shù)據(jù)進行處理的階段。無論是國際上大型的跨國公司還是國內(nèi)一些規(guī)模較大的企業(yè)都在不斷地擴大信息技術(shù)在其經(jīng)營活動的應(yīng)用范圍，運用傳統(tǒng)的信息技術(shù)和風(fēng)險評估知識已經(jīng)不能實現(xiàn)真正意義上的“風(fēng)險基礎(chǔ)模式”的風(fēng)險評估，這些都影響到我國IT治理和信息系統(tǒng)風(fēng)險控制的實施。

    隨著企業(yè)經(jīng)營管理活動對信息技術(shù)的高度依存，信息科技風(fēng)險控制已成為企業(yè)風(fēng)險管理的重要內(nèi)容，并需要從戰(zhàn)略的角度將信息系統(tǒng)與實現(xiàn)公司治理的總體目標緊密聯(lián)系在一起。因此，需要解析企業(yè)信息系統(tǒng)風(fēng)險評估的現(xiàn)狀及存在的問題，并根據(jù)國際經(jīng)驗與我國實際情況進行差異性分析，找到我國企業(yè)信息系統(tǒng)風(fēng)險評估的有效方法。

    3 風(fēng)險評估流程分析

    企業(yè)信息系統(tǒng)風(fēng)險評估的實施流程主要包括如下步驟：

    1）對信息系統(tǒng)風(fēng)險戰(zhàn)略進行分析。

    企業(yè)首先應(yīng)明確信息系統(tǒng)風(fēng)險戰(zhàn)略，并在內(nèi)部進行發(fā)布，強調(diào)對信息安全的支持與承諾，使其與企業(yè)的發(fā)展相一致。

    信息系統(tǒng)風(fēng)險評估必須對信息系統(tǒng)業(yè)務(wù)支持的可行性進行分析，了解技術(shù)發(fā)展的內(nèi)外部狀況和管理層對信息技術(shù)的支持度等實際狀況，評價信息系統(tǒng)風(fēng)險戰(zhàn)略是否與業(yè)務(wù)發(fā)展戰(zhàn)略相一致。

    信息系統(tǒng)風(fēng)險戰(zhàn)略及流程如圖1所示，首先需要確定總風(fēng)險和剩余風(fēng)險；其次把確認的風(fēng)險進行排序，建立戰(zhàn)略風(fēng)險和流程風(fēng)險項目；最后確定流程執(zhí)行的效力。

 圖1 信息系統(tǒng)風(fēng)險戰(zhàn)略及流程

    2）對風(fēng)險評估內(nèi)容進行詳細定義。

    建立信息系統(tǒng)風(fēng)險評估范圍的表格，如該項評估所包含的系統(tǒng)、人員、資源等。對信息系統(tǒng)的運行進行評估，如主機系統(tǒng)、硬件設(shè)備、人員管理、災(zāi)難備份、權(quán)限管理等。

    建立信息系統(tǒng)流程評估表格，如主流程、次流程、流程所對應(yīng)的操作；流程中的主要固有風(fēng)險、風(fēng)險的控制手段等。

    3）明確審計的技術(shù)和步驟。

    確定信息系統(tǒng)審計需要使用的技術(shù)和技術(shù)使用的步驟，常用的測試技術(shù)有現(xiàn)場觀察、訪談、審閱、再執(zhí)行、知識評估等。

    4）出具審計報告。

    對信息系統(tǒng)進行測試后，出具評估報告。評估報告應(yīng)包括信息系統(tǒng)的基本情況、面臨的內(nèi)外部風(fēng)險、評估所發(fā)現(xiàn)的問題、對評估發(fā)現(xiàn)事項提出的建議。

    5）風(fēng)險問題的跟蹤和跟進。

    評估完成后，對發(fā)現(xiàn)的問題需根據(jù)問題的對象和重要性，提出相關(guān)報告并跟蹤解決。

    4 結(jié)論

    將業(yè)務(wù)評估模型和技術(shù)評估模型相結(jié)合，建立一套基于信息系統(tǒng)風(fēng)險評估評估模型與實施方法，可以避免傳統(tǒng)評估模型應(yīng)用在企業(yè)風(fēng)險評估上的片面性。并通對企業(yè)的主要風(fēng)險進行識別，發(fā)現(xiàn)控制缺陷、漏洞和以前從信息系統(tǒng)內(nèi)部看不到的潛在風(fēng)險，提出有效的解決方案，幫助企業(yè)建立健全內(nèi)部控制機制，并根據(jù)業(yè)務(wù)發(fā)展的需要，明確信息化建設(shè)的目標和內(nèi)容，不斷調(diào)整現(xiàn)有的信息系統(tǒng)管理架構(gòu)和流程，使其更好地服務(wù)于企業(yè)的生產(chǎn)經(jīng)營管理。