学年论文--浅析企业信息系统风险管理方法

南京审计学院金审学院 学学年年论论文文 题目：浅析企业信息系统风险管理方法浅析企业信息系统风险管理方法 姓名：宋亚平学号：IS0949115 专业：信息管理与信息系统 班级：2009 金审信管 1 班 指导教师：李庭燎职称：讲师 2012年5月5 日 2012 年 5 月 南京审计学院金审学院学年论文成绩评定表南京审计学院金审学院学年论文成绩评定表 指导教师评语：指导教师评语： 成成绩绩评评定定 评分项目评分项目得分得分 理论与实用价值理论与实用价值（25%25%） 分析论证分析论证（40%40%） 写作写作水平水平（20%20%） 态度与规范态度与规范（15%15%） 总总分分: : 指导教师签名：指导教师签名： 年年月月日日 2012 年 5 月 浅析企业信息系统风险管理方法浅析企业信息系统风险管理方法 JSJS0949115094911520092009 级信管级信管 1 1 班班宋亚平宋亚平 【摘要】【摘要】随着信息化的不断发展，信息系统在越来越多的企业得到迅速发展 和广泛应用。因此，信息系统的风险管理在企业的管理中也愈来愈重要。本文将对 企业信息系统存在的风险进行论述，并采用层次分析法对其管理方法进行分析，选 择出较为有效的技术和方法，以确保企业信息系统的安全。 【关键词关键词】信息系统；风险管理；层次分析法； 2012 年 5 月 Analysis on Risk Management Method for Enterprise Information System Abstract: With the continuous development of information technology, information system have been the rapid development and wide application in more and more enterprises. Therefore, risk management of information system in the enterprise management is also becoming more and more significant. The enterprise information system risks will be discussed in the article.And by using analytical hierarchy process to the management method of information system risks, choose a more effective technology and method, in order to ensure the security of enterprise information systems. Keywords:Information technology; Risk management;Analytic hierarchy process 引言引言 随着信息化的不断发展，信息系统在越来越多的企业中得到了迅速发展和广泛 应用。不论是大型企业，还是中小型企业，出于生产经营的要求，为扩大企业规模， 增强企业实力，在日益激烈的市场竞争中获得一席之地，迫切需要简历属于自己的 信息系统。于是，信息系统在各个行业领域迅速发展，其中包括铁路，水力，电力 等国有企业领域，甚至银行，医院等也不例外。 然而，现如今是一个网络发达，环境复杂的社会，因此在信息系统的建设和实 施必然会受到各种内部和外部因素的影响，存在着许多不确定的因素。这些不安因 素，在信息系统的建设中也许不会显现出来，造成一定的损失，但它却是成为了一 颗不定时的“炸弹” ，随时都有可能被“引爆”的风险，从而产生各种问题，给企 业造成不可挽回的巨大损失。要想保证企业信息系统的安全，保证信息系统的风险 不会给企业造成意想不到的巨大伤害，就需要做好信息系统的风险管理，充分了解 和掌握信息系统从建设到实施的过程中可能存在的风险，并选择适当的技术和方 法，做好充足的准备。这样，既可防患于未然，也可在问题产生时及时采取有效的 应对措施。 2012 年 5 月 一、信息系统风险管理的内容一、信息系统风险管理的内容 风险管理是指当企业面临市场开放、法规解禁、陈品创新，均使变化波动程度 提高，连带增加经营的风险性。良好的风险管理则有助于降低决策错误的几率、避 免损失之可能。相对提高企业本身之附加价值。 信息系统风险管理主要由五个部分组成：风险评估、风险处理、基于风险的决 策、状态监控以及事件响应。风险评估过程将全面评估信息系统的资产、威胁、脆 弱性以及现有的安全措施等，分析安全事件发生的可能性以及可能的损失，从而确 定信息系统的风险，并且判断风险的优先级，建议处理风险的措施，也为今后类似 事件的发生制定相应的事件响应策略。 基于风险评估的结果，风险处理过程将考察信息安全措施的成本，选择较为合 适的方法处理风险，将风险控制到可接受的程度。基于风险的决策旨在由信息系统 的主管者判断残余的风险是否处在可接受的水平之内。一旦决策方案实施后，就需 要监控系统的状态，确保做到事件响应的及时性和准时性。基于这一判断，主管者 将做出决策，决定信息系统的运行与否。 信息系统风险管理成功的关键在于： (1)企业管理层的高度重视和支持； (2)风险评估团队的高水平； (3)技术团队的全力支持； (4)信息系统使用者具备一定的能力和经验； (5)企业内部具备完整的对风险进行持续评估和管理的机制； 二、信息系统建设、实施过程中存在的风险二、信息系统建设、实施过程中存在的风险 （一）信息系统建设中的风险 信息系统在建设过程中存在的风险主要有以下几个方面： 1企业领导对信息系统的开发特点认识不足 虽然现在社会信息化发展已经比较成熟，但是对于企业的信息化，很多人还停 留在买机器、购设备的层面，以为这就是实施现代化。其实不然，要想利用好这些 设备，必须进行“二次开发” ，在人员配置、业务流程、资源配置和管理等方面做 出相应的调整，甚至在部门职责的分配上也要做出调整，确保信息系统的三个要素 即人、数据、技术相辅相成。同时，也保证管理人员在“人、物、供、销”等环节 2012 年 5 月 能够协调工作。 2对开发人员的重视不够，缺乏高水平人才 由于对开发人员重视程度不够，无法了解开发人员的工作。在信息系统的建设 中会提出一些非常挑剔的要求，令开发人员面临巨大的压力。此外，由于我过计算 机应用起步较晚，具有丰富经验的人才资源匮乏，再加上不少优秀人才出国深造， 或者被外企高薪聘用，使得国内企业没有充足的高水平人才进行信息系统的建设工 作。 3盲目求新，不能因地制宜 很多企业在决定建设信息系统时，要求开发人员应用新技术，开发新的系统。 他们认为新的系统一定能够为企业带来前所未有的新效益。但结果证明并不是这 样。所谓的“新技术”也只是相对而言的，不可能始终保持，再者说，信息系统的 建设是一项工程，不是新产品的研发，比起新的系统，更需要的是成熟、稳定、可 靠，在此前提下才可适当的考虑先进性。所以说，企业建设信息系统现代化还是应 该根据企业的实际情况，因地制宜，开发建设适合企业特色和需要的信息系统。 4系统应用集中，风险扩大 信息系统的应用从最初的人事管理、项目管理等功能向全面自动化和工程项目 管理转变，逐渐形成了一个结构完整、功能齐全的系统，涵盖了绝大部分的业务流 程。这样的集中在降低了信息化成本和增强系统灵活性的同时也无形中增加了信息 系统的风险：一旦信息系统的服务器收到攻击，将会影响这个信息系统的安全，从 而影响整个企业的正常运营。信息系统的集中应用，也使其风险更加集中，这样风 险的危险性和破坏性也是成倍的增加。 （二）实施信息系统存在的风险 1. 信息系统网络环境风险 企业信息系统是建立在网络环境基础上的，采取客户端浏览器和服务器架构模 式， 用户直接接入信息系统，通过浏览器进行访问与操作，对产生的信息进行存储、 共享和处理。网络的风险通常包括物理网络设备的安全缺陷、网络系统的安全缺陷 和通信链路安全缺陷等 3 种风险。 2.信息系统面临病毒攻击的风险 虽然现在的计算机终端都会有防病毒程序，但是在子网内部的终端上还是经常 2012 年 5 月 会受到病毒的侵扰，用户在浏览网页时，无意间点击恶意链接，便会导致病毒进入 本地。一旦被触发，便会造成病毒在子网中的扩散，攻击信息系统服务器，导致服 务器瘫痪。 3.人为操作过程中的风险 企业信息系统的最终价值是通过信息系统使用者的使用发挥出来的。一旦使用 者在系统的使用中有不适当的操作，便有可能造成错误；系统维护中，维护人员的 能力和经验的欠缺，也可能使系统引入新的错误。这些都是导致损失发生的风险。 三、信息系统实施失败的案例三、信息系统实施失败的案例 在过去的几十年里，已经有无数的企业尝试过实施信息系统，但是成功的屈指 可数，失败的是不计其数。下面就为大家例举几个企业实施信息系统失败的案例： （一） “创业未半而中道崩徂” 北京市三露厂与联想继承签订实施信息系统的合同。联想集成承诺在六个月内 完成实施。本来一切都是十分顺利的，合作双方都准备为成功合作而庆祝，并商谈 进一步的合作。结果因为 Intentia 软件汉化时不够彻底而引起了一系列的问题。虽 然经技术团队的及时赶紧和再次实施、修改和汉化后解决了一些问题，但是由于汉 化、报表生成等关键问题仍旧无法彻底解决，最终导致了信息系统实施失败。 （二） “不畏浮云遮望眼，只缘身在最高层” 21 世纪初，某国有大型企业为了跟上社会信息化发展的步伐，决定实施信息系 统，合作开发商是一家新兴的软件企业，人力资源充足，工作流程也是仿照国外著 名软件开发企业，可以说具有较强的实力。在实施过程中，从人员培训、需求分析、 流程重组、实施计划、数据准备等环节看都是按部就班。但是由于企业管理层的重 视程度不都，没有做到从始至终的高度重视和全力支持，高管层没有转变观念，也 没有从根本上调整部门利益和改革管理方式等实质性的问题，最终信息系统的实施 效果远不如人意，只有部分模块投入了使用。更糟糕的是，在取得这样的效果后， 企业管理层还没有认识到错误和风险，仍宣布信息系统实施成功，并一直运用着只 能部分运行额信息系统，最终给企业造成了不可挽回的损失。 以上两个案例都是因为在实施或者建设信息系统的过程中没有清楚地认识到 信息系统的风险并且采取有效的管理措施而造成失败的。三露的失败是因为技术团 队的能力存在缺陷或者说没有全力以赴投入到实施的过程中，导致产生了本可以避 2012 年 5 月 免的问题。此外，也体现出信息系统实施团队的经验和能力不足也是信息系统实施 最终失败的原因之一。 而第二个案例的失败则主要是因为企业高管层的重视度不够。首先没有主动去 转变和变革因为实施信息系统而必须做出的实质性的改变和调整；其次，因为重视 程度不足，没有由始至终的督促和确保信息系统实施过程的根本性和有效性，最终 导致了信息系统的实施以失败而告终，并且还给企业带来了不可挽回的损失。 四、层次分析法比较各风险的危害程度四、层次分析法比较各风险的危害程度 无论是在信息系统的建设中还是实施中都潜在着许多的风险，这也为风险管理 带来了困难，所以判断出各风险的危害程度，再针对性的采取防范和管理措施，则 可以提高风险管理的效率。 步骤：先给出相对权重归一化参照表：（如下） 平均随即一致性指标 n1234567 R.I.000.520.891.121.261.36 n891011121314 R.I.1.411.461.491.521.541.561.58 1.系统分析 根据上述内容，列举出信息系统中可能存在的风险： S1：环境要素 S2：网络环境风险 S3：病毒攻击的风险 S4：企业领导对信息系统开发认识不足 S5：人员因素 S6：缺乏完整的风险持续评估和管理的机制 S7：项目管理水平低、效益差 S8：系统应用集中，风险扩大 S9：企业因素 S10：对开发人员的重视不够，缺乏高水平人才 S11：人为操作过程中的风险 S12：盲目求新，不能因地制宜 2012 年 5 月 将上述因素进行两辆比较，得出 A/V 图为： A AA AA AS S1 1 S S2 2 S S3 3 S S4 4 A AA AA AS S5 5 V VS S6 6 V VS S7 7 V VS S8 8 S S9 9 S S10 10 S S11 11 S12 12 图 1 根据 A/V 图，并加入单位矩阵，可得出如下的可达矩阵： 矩阵一 S1S2S3S4S5S6S7S8S9S10S11S12 S1100000000000 S2110000000000 S3101000000000 S4100100000000 S5000010000000 S6000001001000 S7000000101000 S8000000011000 S9000000001000 S10000010000100 S11000010000010 S12000010000001 2012 年 5 月 由分析可知，因为不存在强连接关系的要素，所以可达矩阵和缩减矩阵相同， 将缩减矩阵进行层次化处理的结果为： 矩阵二 由此矩阵可见，本系统中各要素可分为两个层次，S1，S5， S9为第一层次， S2，S3，S4，S6，S7，S8，S10，S11，S12，为第二层次。 2. 系统评价 将各因素重新标号并作图 2 如下，利用层次分析法进行分析： 2.1 析评价系统中各要素之间的关系，建立系统的递阶层次结构。 第一层：目的层信息系统风险（A）。 第二层：准则层环境因素(B1)，人员因素(B2) ，企业因素(B3) 。 第三层：子准则层网络环境风险 (C1)，病毒攻击的风险(C2)，领导对信息 系统开发认识不足(C3)，缺乏高水平人才(C4)，人为操作过程中的风险(C5)，盲目求 新，不能因地制宜(C6)，缺乏完整的风险持续管理机制(C7)，项目管理水平低(C8)， 系统应用集中，风险扩大(C9)。 S1S5S9S2S3S4S6S7S8S10S11S12 S1100000000000 S5010000000000 S9001000000000 S2100100000000 S3100010000000 S4100001000000 S6001000100000 S7001000010000 S8001000001000 S10010000000100 S11010000000010 S12010000000001 2012 年 5 月 图二 信息系统风险A 企业因素B3人员因素B2 人为操作中的风险 缺乏风险管理机制 缺乏高水平人才 盲目求新 系统应用集中 项目管理水平低 系统开发认识不足 环境因素B1 网络环境风险 病毒攻击的风险 C1C2C3C4C5C6C7C8C9 （二）对同一层次的各元素关于上一层次中某一准则的重要性进行两两比较， 构造两两比较判断矩阵，并由判断矩阵计算被比较要素对于该准则的相对权重。其 中 Wi代表权重，W0代表归一化的相对权重， max为判断矩阵最大特征根。 表一 max(3.016+3.002+3.006 )/3=3.008 R.I.=0.52 C.I.=(maxn)/(n1)=(3.0083)/(31)=0.004 C.R.=C.I./R.I.=0.004/0.52=0.0080.1 所以，此判断矩阵满足一致性要求。在以下的各个判断矩阵中均用此方法： AB1B2B3WiW0mi B11252.1540.5823.016 B21/2131.1450.3093.002 B31/51/310.4050.1093.006 3.704 2012 年 5 月 表二 max(3.065+3.063+3.066)/33.065 R.I.=0.52 C.I.=(maxn)/(n1)=( 3.0653)/(31)=0.0325 C.R.=C.I./R.I.=0.0325/0.52=0.06250.1 符合一致性检验 表三 max(3.088+3.084+3.086 )/3=3.086 R.I.=0.52 C.I.=( maxn)/(n1)=（3.0863）/(31)=0.043 C.R.=C.I./R.I.=0.043/0.52=0.0830.1 符合一致性检验 表四 max(3.022+3.020+3.023 )/33.022 R.I.=0.52 C.I.=( maxn)/(n1)=（3.0223）/(31)=0.011 C.R.=C.I./R.I.=0.011/0.52=0.0210.1 符合一致性检验 表五各风险因素比例表 信息系统风险 （A） 环境因素(B1)3.016 网络环境风险(C1)(3.065) 病毒攻击的风险(C2)(3.063) 人员因素(B2)3.002 领导对信息系统开发认识不足(C3)(3.066) 缺乏高水平人才(C4)(3.088) 人为操作过程中的风险(C5)(3.084) 盲目求新，不能因地制宜(C6)(3.086) 企业因素(B3)3.006 缺乏完整的风险持续管理机制(C7)(3.022) 项目管理水平低(C8)(3.020) 系统应用集中，风险扩大(C9)(3.023) B1C1C2C3WiW0mi C1151/31.1860.2793.065 C21/511/70.3060.0723.063 C33712.7590.6493.066 4.251 B2C4C5C6WiW0mi C411/41/50.3680.0943.088 C5411/31.1010.2803.084 C65312.4660.6263.086 3.935 B3C7C8C9WiW0mi C7121/70.6590.1313.022 C81/211/90.3820.0763.020 C97913,9790.7933.023 5.020 2012 年 5 月 从各风险比例表中可以得出企业缺乏高水平的技术人才和领导对信息系统开发认 识的不足在信息系统的风险中占有较大比例的结论。 3.系统决策 虽然企业缺乏高水平的技术人才和领导对信息系统开发认识的不足在信息系 统风险中占有较大的比例，但并不代表其它的信息系统风险就不会给企业造成损 失，可以忽视。只是在众多的信息系统风险中，应该以这两种风险为风险管理的重 点，但是对于其他的风险也要采取相应的应对措施。 4.系统总结 在以信息系统风险中的环境因素，人员因素，企业因素，网络环境风险,病毒 攻击的风险,领导对信息系统开发认识不足,缺乏高水平人才,人为操作过程中的风 险,盲目求新,不能因地制宜,缺乏完整的风险持续管理机制,项目管理水平低,系统 应用集中,风险扩大为分析要素，综合运用系统分析，系统评价中的 A/V 图法，层 次分析法等进行分析、讨论、评价，最终人员因素中的缺乏高水平人才为众多风险 中首先应该被重视和管理的。 五、风险管理的技术和方法五、风险管理的技术和方法 根据层次分析法得出的信息系统风险危害程度，相应的应该采取一下措施，得 以有效地对风险进行有效管理： （一）改善技术人员待遇，定期安排进修学习 目前国内具有较高水平和丰富经验的系统开发使用的人才资源匮乏，一方面是 因为我国的计算机应用起步较晚，优秀的人才储备不足；另一方面，国内各行业对 这方面人才都不是很重视，所以许多优秀的人才都选择去国外发展或者深造，还有 的则被外企高薪聘请。 所以， 国内企业想要预防或者消除由于人才资源不足的风险， 就必须利用丰厚的待遇吸引人才，同时自己培训一批自己企业需要的特色人才。 （二）对企业管理层进行信息化建设培训 企业在信息系统建设过程中，不仅要对企业的员工和建设、实施人员进行针对 性的培训，还要对企业的管理层进行培训，让他们提升对信息系统的了解，并且清 楚的掌握在每一个信息系统建设的环节的关键因素，如：人，部门等。使得企业管 理层从信息系统的建设到实施始终保持的较高的重视度，保证信息系统建设不至于 “华而不实”，甚至半途而废。此外，管理层经过培训后，会对企业真正需要的信 2012 年 5 月 息系统有一定的概念，而不至于会对系统开发人员提出过高的要求，使得系统不能 和企业相结合而失败。 （三）加强对信息系统的组织管理 人员的错误操作也是潜在的重要风险之一。建立完善的管理制度可以为工作者 做好一切工作提供保障。一方面，完善的管理制度应较强具有较强的可操作性，能 够引导人自觉遵守；另一方面，对于违反制度的行为，要严肃处理，做到奖罚分明。 为了减少错误操作的发生，必要时可以利用行政手段进行管理。同时，还要对员工 进行安全教育和培训，提高安全意识，了解信息安全方针和管理层对于信息安全的 重视程度。使员工养成严谨的工作作风，提高事故的判断、预测和处理能力，减少 因错误操作而造成的损失。 （四）采用入侵检测技术防范入侵行为 现在的网络化已经非常普及，尤其带来的网络安全隐患也是信息系统的巨大风 险之一。为了防范网络病毒的入侵，可以在信息系统和核心交换机之间增加入侵检 测系统，实时地监控和分析网络中传输的数据文件，一旦有可疑的数据包立刻拦截 并且进行攻击检测，但检测确认为入侵事件后立刻上传到安全管理中心，并且切断 异常主机与信息系统之间的通信，一保护信息系统