【正文】 性。如，大多數(shù)企業(yè)已經(jīng)認識到每天至少一次對關(guān)鍵數(shù)據(jù)進行備份的重要性。在這方面的風險較大。要建立、維護和監(jiān)督內(nèi)部安全綜合系統(tǒng)，該系統(tǒng)在數(shù)據(jù)和信息的完整性和保密性方面要符合管理層的政策。系統(tǒng)的完整性是要保證定義、開發(fā)、維護和運作處理信息環(huán)境和應用系統(tǒng)正常運作所必備。并限制對安全有破壞的接入，如欺騙行為，避免由于員工接觸過多的信息導致對數(shù)據(jù)意外或無意的改動。數(shù)據(jù)的完整性可能會因為程序錯誤引起，如對數(shù)據(jù)用不正確的程序來處理；或發(fā)生管理程序錯誤。病毒使系統(tǒng)對數(shù)據(jù)處理的完整性造成特別威脅。金融服務業(yè)是典型的依賴于準確、及時信息而運作的行業(yè)。人們就必須設法保護電話線路、網(wǎng)絡纜線和計算機，以便盡力對數(shù)據(jù)和信息進行保密。但是，分配計算也給企業(yè)安全性帶來了風險。信息技術(shù)對核心業(yè)務的影響不斷增強，信息技術(shù)在當今的商業(yè)核心業(yè)務中處于關(guān)鍵地位；要對信息技術(shù)在企業(yè)流程中的作用進行必要測量。如果這些電子商務系統(tǒng)出現(xiàn)障礙，即使是 POS系統(tǒng)或超市的條碼掃描系統(tǒng)出現(xiàn)故障，也會使企業(yè)的戰(zhàn)略實施和業(yè)務管理難以進行，給企業(yè)商務帶來不良的后果。例如，電子商務交易過程中，可以從電子數(shù)據(jù)交換系統(tǒng)（ EDI）、電子資金調(diào)撥系統(tǒng)（ EFT）、銷售點系統(tǒng)（ POS）等系統(tǒng)中獲得商業(yè)上的各種數(shù)據(jù)，對這些數(shù)據(jù)的分析可獲得市場分布、人口地理學、產(chǎn)品分銷、資金結(jié)算等等資料，這些資料都是企業(yè)戰(zhàn)略制定和業(yè)務管理的關(guān)鍵。所以，商務整合對進行完整的、綜合的風險管理框架起著重要作用，包括了信息技術(shù)相關(guān)風險的分析和傳統(tǒng)意義上的業(yè)務風險的分析； ? 測量評估： 對信息技術(shù)的作用進行測量，評估。分配計算（借助于客戶／服務網(wǎng)絡進行的信息管理）使信息可以在一定范圍內(nèi)傳播。由于黑客和電子欺詐行為的存在，人們要保護自己的系統(tǒng)免受侵擾。 ? 獲得性風險： ? 這是指企業(yè)在獲得數(shù)據(jù)時的風險，如破壞者們經(jīng)常利用郵件轟炸來阻礙服務，或者對服務系統(tǒng)提出虛假請求，這給提供服務帶風險。 ? 處理（ Processing） :使系統(tǒng)有能力控制處理各種數(shù)據(jù)，以確保數(shù)據(jù)的處理完整性和及時性。 ? 數(shù)據(jù)（ Data） :數(shù)據(jù)管理和控制，既包括處理數(shù)據(jù)的安全和完整，也包括對數(shù)據(jù)庫和數(shù)據(jù)結(jié)構(gòu)的有效管理。 ? 應用軟件（ Application）： 采用相應的應用軟件，給用戶提供完成工作所需要的安全的接入方式。信息技術(shù)基礎設施主要包括以下幾部分：硬件；網(wǎng)絡；軟件；人員；程序。 ? 邏輯安全和安全管理（ Logical security and security administration）： 基礎設施應確保企業(yè)足以應付接入風險。金融服務業(yè)是典型的依賴于準確、及時信息而運作的行業(yè)。對此可運用備份和恢復技術(shù)使中斷影響的范圍最小化。另外信息技術(shù)系統(tǒng)提供的管理方面的數(shù)據(jù)報告，如果不準確，可能導致領(lǐng)導者的決策失誤。但是，在具體實施過程中，可能由于信息技術(shù)基礎設施不足，或由于系統(tǒng)原因，使商務周期性的延長，達不到原來所希望的商務目標。 ? 產(chǎn)品失敗風險（ Product fail risk） 正確的產(chǎn)品信息來自企業(yè)內(nèi)部網(wǎng)和信息系統(tǒng)，如果一個企業(yè)監(jiān)督和記錄次品數(shù)據(jù)不準確，就可能造成產(chǎn)品的失敗。 ? 評估商業(yè)風險： 識別導致風險的主要因素，這些因素對業(yè)務的成功至關(guān)重要；研究風險的來源，判斷風險是來自企業(yè)外部，還是企業(yè)內(nèi)部的商務運作過程。每一道風險承受能力的程序都必須符合企業(yè)管理者規(guī)定的風險承受度。采用一種綜合的方案來進行風險管理，就是要領(lǐng)導者識別上面所述的企業(yè)應用信息技術(shù)時產(chǎn)生新的商業(yè)風險。建立風險管理框架和總體規(guī)劃。將風險控制管理狀況與獎勵機制相聯(lián)系。對于特殊的風險控制，可以用軟件加密，防止密碼泄露，電子簽名等，從而防止未經(jīng)授權(quán)的接入風險。這個規(guī)定加上一些具體的細則，來保證企業(yè)用戶在授權(quán)下許可進入系統(tǒng)。風險管理動態(tài)監(jiān)測系統(tǒng)如下： ? 程序 ? 對外部趨勢及信息技術(shù)相關(guān)事態(tài)的監(jiān)測任務界定如下： ? 技術(shù) ? 市場與競爭 ? 法律和規(guī)章 ? 應用 ? 監(jiān)測應用系統(tǒng)出錯概率、數(shù)據(jù)質(zhì)量特殊情況等的程序； ? 數(shù)據(jù)管理 ? 有關(guān)數(shù)據(jù)存儲能力、成本質(zhì)量和安全性的趨勢與事態(tài)的監(jiān)測程序 ? 平臺 ? 對系統(tǒng)運行能力、費用、質(zhì)量及安全性的有關(guān)趨勢與事態(tài)進行評估的程序 ? 網(wǎng)絡 ? 對網(wǎng)絡容量費用、質(zhì)量及安全性的相關(guān)趨勢與事態(tài)進行評估的程序 ? 實際設施 ? 對工作地點重置的效果及信息技術(shù)設備與設施的物理結(jié)構(gòu)的改變進行了評估的責任 硬件設施 網(wǎng)絡 平臺 數(shù)據(jù) 應用 流程 戰(zhàn)略規(guī)劃 結(jié)構(gòu)界定 流程監(jiān)測 配置管理 四、信息技術(shù)結(jié)構(gòu)的界定 ? 信息技術(shù)結(jié)構(gòu)會成為某種風險的來源，不同的風險來源，采用不同的風險控制程序，使控制風險的管理機制具體化。 戰(zhàn)略規(guī)劃 結(jié)構(gòu)界定 流程監(jiān)測 配置管理 環(huán)境風險 程序風險 決策風險 平衡 圖示：風險管理平衡點 案例 ? FMR公司案例 謝謝觀看，再見 演講完畢，謝謝觀看！