【正文】 密性法律規(guī)則引起的相關(guān)風險。一般在同一條網(wǎng)絡(luò)上的信息所有者并非只有一個。 ? 風險轉(zhuǎn)移： 在企業(yè)接受現(xiàn)有水平的風險；調(diào)整產(chǎn)品和服務(wù)的價格以補償風險損失；進行風險轉(zhuǎn)移，例如：購買保險之前應(yīng)具備一套適當?shù)?、正式的程序來識別和探究信息技術(shù)相關(guān)風險來源；通過制定和實施風險管理程序，將風險降低到可以承受的水平。這就是一種網(wǎng)絡(luò)經(jīng)濟中出現(xiàn)的新的風險 —— 信息技術(shù)的商業(yè)風險。所以企業(yè)都必須注意投資和應(yīng)用信息技術(shù)時的風險管理。將商業(yè)風險管理擴展到企業(yè)各個部門內(nèi)，從而促使所有的雇員對風險管理負責并了解無效技術(shù)管理的危害。 ? 網(wǎng)絡(luò)安全管理： 網(wǎng)絡(luò)安全也構(gòu)成新商業(yè)風險，例如，通過網(wǎng)絡(luò)侵入企業(yè)系統(tǒng)的計算機“黑客”和計算機病毒，會破壞客戶服務(wù)系統(tǒng)或?qū)е滦畔⑹д嫔踔寥縼G失。這種風險來自網(wǎng)絡(luò)和電子商務(wù)的不斷發(fā)展。所以它對商業(yè)運作產(chǎn)生的影響最大，存在風險也最大。它主要在系統(tǒng)以下部分表現(xiàn)出來： ? 用戶界面（ User interface） :必須給予正確的設(shè)定，有足夠的限定，以確保只有有效的數(shù)據(jù)才能進入系統(tǒng)，并且這些數(shù)據(jù)是完整的。 ? 變化處理（ Change Management）： 對變化有處理能力的流程，通過這些流程，應(yīng)用系統(tǒng)的任何改變均能傳輸并予以實行。 ? 業(yè)務(wù)流程（ Business Process） :企業(yè)確定某一業(yè)務(wù)流程和流程運作方式。 三、基礎(chǔ)設(shè)施風險（ infrastructure risk） ? 基礎(chǔ)設(shè)施風險 指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風險。例如，典型的結(jié)構(gòu)要求所有變化必須在事前被用戶所驗證和通過。 四、獲得性風險（ Availability risk） ? 獲得性風險 是指企業(yè)在獲得數(shù)據(jù)時的風險，如破壞者們經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險。 ? 獲得性風險與系統(tǒng)的短期中斷有關(guān)聯(lián)。如果時間不準確，那么，這些工具所提供的信息就毫無用處。信息技術(shù)策略應(yīng)用到商務(wù)流程中去，應(yīng)促使商務(wù)周期性縮短。因此，信息系統(tǒng)的應(yīng)急計劃應(yīng)是整個商業(yè)延續(xù)計劃的一部分，災(zāi)難恢復計劃應(yīng)該是商業(yè)計劃的一部分，以避免業(yè)務(wù)中斷的風險。 ? 主要內(nèi)容： 商業(yè)風險管理程序 ? 新商業(yè) IT風險管理要素： ? 戰(zhàn)略規(guī)劃 ? 配置管理 ? 流程監(jiān)測 ? 技術(shù)結(jié)構(gòu)的界定 ? 管理框架 一、商業(yè)風險管理程序 ? 為了識別、衡量、控制與監(jiān)測風險，企業(yè)需要有一套恰當?shù)娘L險管理程序，它包括了六個步驟： ? 確立管理目的和目標： 根據(jù)企業(yè)的市場目標，確定商業(yè)風險承受限度。 ? 設(shè)置并實施風險控制程序： 確保合適的員工設(shè)置和實施風險控制程序。所以，應(yīng)該把這種當作商業(yè)風險的一部分來進行評估。 ? ? 例如，電子商務(wù)要求交易雙方采用 CA認證，這是控制風險的普遍性的要求。例如，系統(tǒng)安全問題，有關(guān)政策就可以這樣規(guī)定：所有的用戶都必須經(jīng)過授權(quán)，使用用戶身份認證和特定密碼。這就需要動態(tài)監(jiān)測系統(tǒng)來監(jiān)測系統(tǒng)狀態(tài)，保證能及時性調(diào)節(jié)系統(tǒng)程序。如圖所示。例如： LINUX平臺，它所造成的風險在細節(jié)上與支持同一系統(tǒng)的 AS/400平臺不同，在控制安全性風險、完整性風險、獲得性風險中的大多數(shù)裝置都不同。 風險管理戰(zhàn)略和政策的制定包括如下內(nèi)容： ? 程序： 企業(yè)知識資產(chǎn)保護程序； 新技術(shù)評估策略； 信息技術(shù)相關(guān)鳳險的評估、管理和監(jiān)測責任； 傳達信息技術(shù)和相關(guān)風險，指定共同商業(yè)風險語言； ? 應(yīng)用： 系統(tǒng)更新生命周期的標準； 設(shè)計與購買軟件的決策； ? 數(shù)據(jù)管理： 數(shù)據(jù)所有權(quán)； 數(shù)據(jù)庫的設(shè)計和管理； 專有數(shù)據(jù)的使用與保護； 員工、客戶及其他人員所擁有數(shù)據(jù)使用與保護； ? 平臺： 支持硬件和軟件平臺的各項標準； 確定平臺規(guī)劃、設(shè)計、支持與保險的責任； ? 網(wǎng)絡(luò)： 經(jīng)授權(quán)的賣方與服務(wù)／產(chǎn)品規(guī)格； 網(wǎng)絡(luò)規(guī)劃、設(shè)計支持與保險的責任； ? 實際設(shè)施： 確定信息處理地點和設(shè)備的所有者責任； 電腦和業(yè)務(wù)范圍外信息內(nèi)容的保護；政策的維護與支持； ? 政策制定還應(yīng)包括一些保證政策得到落實的一些程序 ? 訓練和培養(yǎng)人才程序 ? 對計算機和網(wǎng)絡(luò)技術(shù)結(jié)構(gòu)進行管理的程序； ? 對應(yīng)用系統(tǒng)或技術(shù)環(huán)境變化進行管理的程序； ? 增加、改變或刪除用戶進入系統(tǒng)的程序； ? 利用輔助平臺等支持用戶的程序； ? 制訂和檢驗業(yè)務(wù)持續(xù)性計劃的程序。商業(yè)風險控制以信息系統(tǒng)做預防性的控制最為有效。 ? 從以上可以看出這個公司不僅具備一套整體性的風險管理方案，而且還掌握了風險管理中具有關(guān)鍵作用的因素，包括：高素質(zhì)的領(lǐng)導才能、個人責任。 ? 并將這種風險與整體商業(yè)風險結(jié)合起來考慮。 ? 監(jiān)測商業(yè)風險管理程序?qū)嵤┬Ч?監(jiān)測風險控制程序?qū)嵤┑男Ч瑢τ谄髽I(yè)達到市場目標、企業(yè)戰(zhàn)略具有關(guān)鍵意義。衡量風險的重要性的程度以及發(fā)生的可能性。在應(yīng)用信息系統(tǒng)控制生產(chǎn)流程時，這方面的風險應(yīng)給予足夠的重視。采用信息技術(shù)在商業(yè)流程中，對周期性問題應(yīng)當事先考慮清楚。 ? 效率風險（ Efficien