1 引言

    在加快實現(xiàn)企業(yè)信息化建設的過程中，企業(yè)越來越關注信息化項目的合理性、有效性、經(jīng)濟性、可用性和安全性。在這種需求的推動下，信息系統(tǒng)風險評估走上了風險控制的前臺，成為企業(yè)信息化項目治理的重要組成部分。

    運用先進的評估方法，逐步完善信息系統(tǒng)風險評估的流程，建立風險特征的評估模型，并通過信息系統(tǒng)風險評估的手段，保障信息資產(chǎn)的安全、數(shù)據(jù)的完整、提高信息系統(tǒng)的效率，可以使企業(yè)不斷加強信息系統(tǒng)風險管理和內(nèi)部控制，以適應風險環(huán)境日益復雜化的需要，確保信息系統(tǒng)安全、穩(wěn)定、有效運行。

    2 信息系統(tǒng)風險評估現(xiàn)狀分析

    信息系統(tǒng)風險評估已得到國際社會的普遍重視，風險評估的重點也從操作系統(tǒng)、網(wǎng)絡環(huán)境發(fā)展到整個管理體系。西方國家在實踐中不斷發(fā)現(xiàn)，風險評估作為保證信息安全的重要基石發(fā)揮著關鍵作用。在信息安全、安全技術的相關標準中，風險評估均作為關鍵步驟進行闡述，如ISO13335、COBIT、BS7799-3等。

    我國的信息系統(tǒng)風險評估工作目前還處于起步階段，沒有形成一套成形的專業(yè)規(guī)范，缺少一支能夠全面開展信息系統(tǒng)風險評估的人才隊伍。目前我國所進行的一些信息系統(tǒng)風險評估的探索和嘗試以及開發(fā)的一些計算機審計軟件大都停留在對被評估單位的電子數(shù)據(jù)進行處理的階段。無論是國際上大型的跨國公司還是國內(nèi)一些規(guī)模較大的企業(yè)都在不斷地擴大信息技術在其經(jīng)營活動的應用范圍，運用傳統(tǒng)的信息技術和風險評估知識已經(jīng)不能實現(xiàn)真正意義上的“風險基礎模式”的風險評估，這些都影響到我國IT治理和信息系統(tǒng)風險控制的實施。

    隨著企業(yè)經(jīng)營管理活動對信息技術的高度依存，信息科技風險控制已成為企業(yè)風險管理的重要內(nèi)容，并需要從戰(zhàn)略的角度將信息系統(tǒng)與實現(xiàn)公司治理的總體目標緊密聯(lián)系在一起。因此，需要解析企業(yè)信息系統(tǒng)風險評估的現(xiàn)狀及存在的問題，并根據(jù)國際經(jīng)驗與我國實際情況進行差異性分析，找到我國企業(yè)信息系統(tǒng)風險評估的有效方法。

    3 風險評估流程分析

    企業(yè)信息系統(tǒng)風險評估的實施流程主要包括如下步驟：

    1）對信息系統(tǒng)風險戰(zhàn)略進行分析。

    企業(yè)首先應明確信息系統(tǒng)風險戰(zhàn)略，并在內(nèi)部進行發(fā)布，強調(diào)對信息安全的支持與承諾，使其與企業(yè)的發(fā)展相一致。

    信息系統(tǒng)風險評估必須對信息系統(tǒng)業(yè)務支持的可行性進行分析，了解技術發(fā)展的內(nèi)外部狀況和管理層對信息技術的支持度等實際狀況，評價信息系統(tǒng)風險戰(zhàn)略是否與業(yè)務發(fā)展戰(zhàn)略相一致。

    信息系統(tǒng)風險戰(zhàn)略及流程如圖1所示，首先需要確定總風險和剩余風險；其次把確認的風險進行排序，建立戰(zhàn)略風險和流程風險項目；最后確定流程執(zhí)行的效力。

 圖1 信息系統(tǒng)風險戰(zhàn)略及流程

    2）對風險評估內(nèi)容進行詳細定義。

    建立信息系統(tǒng)風險評估范圍的表格，如該項評估所包含的系統(tǒng)、人員、資源等。對信息系統(tǒng)的運行進行評估，如主機系統(tǒng)、硬件設備、人員管理、災難備份、權限管理等。

    建立信息系統(tǒng)流程評估表格，如主流程、次流程、流程所對應的操作；流程中的主要固有風險、風險的控制手段等。

    3）明確審計的技術和步驟。

    確定信息系統(tǒng)審計需要使用的技術和技術使用的步驟，常用的測試技術有現(xiàn)場觀察、訪談、審閱、再執(zhí)行、知識評估等。

    4）出具審計報告。

    對信息系統(tǒng)進行測試后，出具評估報告。評估報告應包括信息系統(tǒng)的基本情況、面臨的內(nèi)外部風險、評估所發(fā)現(xiàn)的問題、對評估發(fā)現(xiàn)事項提出的建議。

    5）風險問題的跟蹤和跟進。

    評估完成后，對發(fā)現(xiàn)的問題需根據(jù)問題的對象和重要性，提出相關報告并跟蹤解決。

    4 結論

    將業(yè)務評估模型和技術評估模型相結合，建立一套基于信息系統(tǒng)風險評估評估模型與實施方法，可以避免傳統(tǒng)評估模型應用在企業(yè)風險評估上的片面性。并通對企業(yè)的主要風險進行識別，發(fā)現(xiàn)控制缺陷、漏洞和以前從信息系統(tǒng)內(nèi)部看不到的潛在風險，提出有效的解決方案，幫助企業(yè)建立健全內(nèi)部控制機制，并根據(jù)業(yè)務發(fā)展的需要，明確信息化建設的目標和內(nèi)容，不斷調(diào)整現(xiàn)有的信息系統(tǒng)管理架構和流程，使其更好地服務于企業(yè)的生產(chǎn)經(jīng)營管理。