學(xué)年論文--淺析企業(yè)信息系統(tǒng)風(fēng)險管理方法

南京審計學(xué)院金審學(xué)院 學(xué)學(xué)年年論論文文 題目：淺析企業(yè)信息系統(tǒng)風(fēng)險管理方法淺析企業(yè)信息系統(tǒng)風(fēng)險管理方法 姓名：宋亞平學(xué)號：IS0949115 專業(yè)：信息管理與信息系統(tǒng) 班級：2009 金審信管 1 班 指導(dǎo)教師：李庭燎職稱：講師 2012年5月5 日 2012 年 5 月 南京審計學(xué)院金審學(xué)院學(xué)年論文成績評定表南京審計學(xué)院金審學(xué)院學(xué)年論文成績評定表 指導(dǎo)教師評語：指導(dǎo)教師評語： 成成績績評評定定 評分項目評分項目得分得分 理論與實(shí)用價值理論與實(shí)用價值（25%25%） 分析論證分析論證（40%40%） 寫作寫作水平水平（20%20%） 態(tài)度與規(guī)范態(tài)度與規(guī)范（15%15%） 總總分分: : 指導(dǎo)教師簽名：指導(dǎo)教師簽名： 年年月月日日 2012 年 5 月 淺析企業(yè)信息系統(tǒng)風(fēng)險管理方法淺析企業(yè)信息系統(tǒng)風(fēng)險管理方法 JSJS0949115094911520092009 級信管級信管 1 1 班班宋亞平宋亞平 【摘要】【摘要】隨著信息化的不斷發(fā)展，信息系統(tǒng)在越來越多的企業(yè)得到迅速發(fā)展 和廣泛應(yīng)用。因此，信息系統(tǒng)的風(fēng)險管理在企業(yè)的管理中也愈來愈重要。本文將對 企業(yè)信息系統(tǒng)存在的風(fēng)險進(jìn)行論述，并采用層次分析法對其管理方法進(jìn)行分析，選 擇出較為有效的技術(shù)和方法，以確保企業(yè)信息系統(tǒng)的安全。 【關(guān)鍵詞關(guān)鍵詞】信息系統(tǒng)；風(fēng)險管理；層次分析法； 2012 年 5 月 Analysis on Risk Management Method for Enterprise Information System Abstract: With the continuous development of information technology, information system have been the rapid development and wide application in more and more enterprises. Therefore, risk management of information system in the enterprise management is also becoming more and more significant. The enterprise information system risks will be discussed in the article.And by using analytical hierarchy process to the management method of information system risks, choose a more effective technology and method, in order to ensure the security of enterprise information systems. Keywords:Information technology; Risk management;Analytic hierarchy process 引言引言 隨著信息化的不斷發(fā)展，信息系統(tǒng)在越來越多的企業(yè)中得到了迅速發(fā)展和廣泛 應(yīng)用。不論是大型企業(yè)，還是中小型企業(yè)，出于生產(chǎn)經(jīng)營的要求，為擴(kuò)大企業(yè)規(guī)模， 增強(qiáng)企業(yè)實(shí)力，在日益激烈的市場競爭中獲得一席之地，迫切需要簡歷屬于自己的 信息系統(tǒng)。于是，信息系統(tǒng)在各個行業(yè)領(lǐng)域迅速發(fā)展，其中包括鐵路，水力，電力 等國有企業(yè)領(lǐng)域，甚至銀行，醫(yī)院等也不例外。 然而，現(xiàn)如今是一個網(wǎng)絡(luò)發(fā)達(dá)，環(huán)境復(fù)雜的社會，因此在信息系統(tǒng)的建設(shè)和實(shí) 施必然會受到各種內(nèi)部和外部因素的影響，存在著許多不確定的因素。這些不安因 素，在信息系統(tǒng)的建設(shè)中也許不會顯現(xiàn)出來，造成一定的損失，但它卻是成為了一 顆不定時的“炸彈” ，隨時都有可能被“引爆”的風(fēng)險，從而產(chǎn)生各種問題，給企 業(yè)造成不可挽回的巨大損失。要想保證企業(yè)信息系統(tǒng)的安全，保證信息系統(tǒng)的風(fēng)險 不會給企業(yè)造成意想不到的巨大傷害，就需要做好信息系統(tǒng)的風(fēng)險管理，充分了解 和掌握信息系統(tǒng)從建設(shè)到實(shí)施的過程中可能存在的風(fēng)險，并選擇適當(dāng)?shù)募夹g(shù)和方 法，做好充足的準(zhǔn)備。這樣，既可防患于未然，也可在問題產(chǎn)生時及時采取有效的 應(yīng)對措施。 2012 年 5 月 一、信息系統(tǒng)風(fēng)險管理的內(nèi)容一、信息系統(tǒng)風(fēng)險管理的內(nèi)容 風(fēng)險管理是指當(dāng)企業(yè)面臨市場開放、法規(guī)解禁、陳品創(chuàng)新，均使變化波動程度 提高，連帶增加經(jīng)營的風(fēng)險性。良好的風(fēng)險管理則有助于降低決策錯誤的幾率、避 免損失之可能。相對提高企業(yè)本身之附加價值。 信息系統(tǒng)風(fēng)險管理主要由五個部分組成：風(fēng)險評估、風(fēng)險處理、基于風(fēng)險的決 策、狀態(tài)監(jiān)控以及事件響應(yīng)。風(fēng)險評估過程將全面評估信息系統(tǒng)的資產(chǎn)、威脅、脆 弱性以及現(xiàn)有的安全措施等，分析安全事件發(fā)生的可能性以及可能的損失，從而確 定信息系統(tǒng)的風(fēng)險，并且判斷風(fēng)險的優(yōu)先級，建議處理風(fēng)險的措施，也為今后類似 事件的發(fā)生制定相應(yīng)的事件響應(yīng)策略。 基于風(fēng)險評估的結(jié)果，風(fēng)險處理過程將考察信息安全措施的成本，選擇較為合 適的方法處理風(fēng)險，將風(fēng)險控制到可接受的程度?；陲L(fēng)險的決策旨在由信息系統(tǒng) 的主管者判斷殘余的風(fēng)險是否處在可接受的水平之內(nèi)。一旦決策方案實(shí)施后，就需 要監(jiān)控系統(tǒng)的狀態(tài)，確保做到事件響應(yīng)的及時性和準(zhǔn)時性?；谶@一判斷，主管者 將做出決策，決定信息系統(tǒng)的運(yùn)行與否。 信息系統(tǒng)風(fēng)險管理成功的關(guān)鍵在于： (1)企業(yè)管理層的高度重視和支持； (2)風(fēng)險評估團(tuán)隊的高水平； (3)技術(shù)團(tuán)隊的全力支持； (4)信息系統(tǒng)使用者具備一定的能力和經(jīng)驗； (5)企業(yè)內(nèi)部具備完整的對風(fēng)險進(jìn)行持續(xù)評估和管理的機(jī)制； 二、信息系統(tǒng)建設(shè)、實(shí)施過程中存在的風(fēng)險二、信息系統(tǒng)建設(shè)、實(shí)施過程中存在的風(fēng)險 （一）信息系統(tǒng)建設(shè)中的風(fēng)險 信息系統(tǒng)在建設(shè)過程中存在的風(fēng)險主要有以下幾個方面： 1企業(yè)領(lǐng)導(dǎo)對信息系統(tǒng)的開發(fā)特點(diǎn)認(rèn)識不足 雖然現(xiàn)在社會信息化發(fā)展已經(jīng)比較成熟，但是對于企業(yè)的信息化，很多人還停 留在買機(jī)器、購設(shè)備的層面，以為這就是實(shí)施現(xiàn)代化。其實(shí)不然，要想利用好這些 設(shè)備，必須進(jìn)行“二次開發(fā)” ，在人員配置、業(yè)務(wù)流程、資源配置和管理等方面做 出相應(yīng)的調(diào)整，甚至在部門職責(zé)的分配上也要做出調(diào)整，確保信息系統(tǒng)的三個要素 即人、數(shù)據(jù)、技術(shù)相輔相成。同時，也保證管理人員在“人、物、供、銷”等環(huán)節(jié) 2012 年 5 月 能夠協(xié)調(diào)工作。 2對開發(fā)人員的重視不夠，缺乏高水平人才 由于對開發(fā)人員重視程度不夠，無法了解開發(fā)人員的工作。在信息系統(tǒng)的建設(shè) 中會提出一些非常挑剔的要求，令開發(fā)人員面臨巨大的壓力。此外，由于我過計算 機(jī)應(yīng)用起步較晚，具有豐富經(jīng)驗的人才資源匱乏，再加上不少優(yōu)秀人才出國深造， 或者被外企高薪聘用，使得國內(nèi)企業(yè)沒有充足的高水平人才進(jìn)行信息系統(tǒng)的建設(shè)工 作。 3盲目求新，不能因地制宜 很多企業(yè)在決定建設(shè)信息系統(tǒng)時，要求開發(fā)人員應(yīng)用新技術(shù)，開發(fā)新的系統(tǒng)。 他們認(rèn)為新的系統(tǒng)一定能夠為企業(yè)帶來前所未有的新效益。但結(jié)果證明并不是這 樣。所謂的“新技術(shù)”也只是相對而言的，不可能始終保持，再者說，信息系統(tǒng)的 建設(shè)是一項工程，不是新產(chǎn)品的研發(fā)，比起新的系統(tǒng)，更需要的是成熟、穩(wěn)定、可 靠，在此前提下才可適當(dāng)?shù)目紤]先進(jìn)性。所以說，企業(yè)建設(shè)信息系統(tǒng)現(xiàn)代化還是應(yīng) 該根據(jù)企業(yè)的實(shí)際情況，因地制宜，開發(fā)建設(shè)適合企業(yè)特色和需要的信息系統(tǒng)。 4系統(tǒng)應(yīng)用集中，風(fēng)險擴(kuò)大 信息系統(tǒng)的應(yīng)用從最初的人事管理、項目管理等功能向全面自動化和工程項目 管理轉(zhuǎn)變，逐漸形成了一個結(jié)構(gòu)完整、功能齊全的系統(tǒng)，涵蓋了絕大部分的業(yè)務(wù)流 程。這樣的集中在降低了信息化成本和增強(qiáng)系統(tǒng)靈活性的同時也無形中增加了信息 系統(tǒng)的風(fēng)險：一旦信息系統(tǒng)的服務(wù)器收到攻擊，將會影響這個信息系統(tǒng)的安全，從 而影響整個企業(yè)的正常運(yùn)營。信息系統(tǒng)的集中應(yīng)用，也使其風(fēng)險更加集中，這樣風(fēng) 險的危險性和破壞性也是成倍的增加。 （二）實(shí)施信息系統(tǒng)存在的風(fēng)險 1. 信息系統(tǒng)網(wǎng)絡(luò)環(huán)境風(fēng)險 企業(yè)信息系統(tǒng)是建立在網(wǎng)絡(luò)環(huán)境基礎(chǔ)上的，采取客戶端瀏覽器和服務(wù)器架構(gòu)模 式， 用戶直接接入信息系統(tǒng)，通過瀏覽器進(jìn)行訪問與操作，對產(chǎn)生的信息進(jìn)行存儲、 共享和處理。網(wǎng)絡(luò)的風(fēng)險通常包括物理網(wǎng)絡(luò)設(shè)備的安全缺陷、網(wǎng)絡(luò)系統(tǒng)的安全缺陷 和通信鏈路安全缺陷等 3 種風(fēng)險。 2.信息系統(tǒng)面臨病毒攻擊的風(fēng)險 雖然現(xiàn)在的計算機(jī)終端都會有防病毒程序，但是在子網(wǎng)內(nèi)部的終端上還是經(jīng)常 2012 年 5 月 會受到病毒的侵?jǐn)_，用戶在瀏覽網(wǎng)頁時，無意間點(diǎn)擊惡意鏈接，便會導(dǎo)致病毒進(jìn)入 本地。一旦被觸發(fā)，便會造成病毒在子網(wǎng)中的擴(kuò)散，攻擊信息系統(tǒng)服務(wù)器，導(dǎo)致服 務(wù)器癱瘓。 3.人為操作過程中的風(fēng)險 企業(yè)信息系統(tǒng)的最終價值是通過信息系統(tǒng)使用者的使用發(fā)揮出來的。一旦使用 者在系統(tǒng)的使用中有不適當(dāng)?shù)牟僮鳎阌锌赡茉斐慑e誤；系統(tǒng)維護(hù)中，維護(hù)人員的 能力和經(jīng)驗的欠缺，也可能使系統(tǒng)引入新的錯誤。這些都是導(dǎo)致?lián)p失發(fā)生的風(fēng)險。 三、信息系統(tǒng)實(shí)施失敗的案例三、信息系統(tǒng)實(shí)施失敗的案例 在過去的幾十年里，已經(jīng)有無數(shù)的企業(yè)嘗試過實(shí)施信息系統(tǒng)，但是成功的屈指 可數(shù)，失敗的是不計其數(shù)。下面就為大家例舉幾個企業(yè)實(shí)施信息系統(tǒng)失敗的案例： （一） “創(chuàng)業(yè)未半而中道崩徂” 北京市三露廠與聯(lián)想繼承簽訂實(shí)施信息系統(tǒng)的合同。聯(lián)想集成承諾在六個月內(nèi) 完成實(shí)施。本來一切都是十分順利的，合作雙方都準(zhǔn)備為成功合作而慶祝，并商談 進(jìn)一步的合作。結(jié)果因為 Intentia 軟件漢化時不夠徹底而引起了一系列的問題。雖 然經(jīng)技術(shù)團(tuán)隊的及時趕緊和再次實(shí)施、修改和漢化后解決了一些問題，但是由于漢 化、報表生成等關(guān)鍵問題仍舊無法徹底解決，最終導(dǎo)致了信息系統(tǒng)實(shí)施失敗。 （二） “不畏浮云遮望眼，只緣身在最高層” 21 世紀(jì)初，某國有大型企業(yè)為了跟上社會信息化發(fā)展的步伐，決定實(shí)施信息系 統(tǒng)，合作開發(fā)商是一家新興的軟件企業(yè)，人力資源充足，工作流程也是仿照國外著 名軟件開發(fā)企業(yè)，可以說具有較強(qiáng)的實(shí)力。在實(shí)施過程中，從人員培訓(xùn)、需求分析、 流程重組、實(shí)施計劃、數(shù)據(jù)準(zhǔn)備等環(huán)節(jié)看都是按部就班。但是由于企業(yè)管理層的重 視程度不都，沒有做到從始至終的高度重視和全力支持，高管層沒有轉(zhuǎn)變觀念，也 沒有從根本上調(diào)整部門利益和改革管理方式等實(shí)質(zhì)性的問題，最終信息系統(tǒng)的實(shí)施 效果遠(yuǎn)不如人意，只有部分模塊投入了使用。更糟糕的是，在取得這樣的效果后， 企業(yè)管理層還沒有認(rèn)識到錯誤和風(fēng)險，仍宣布信息系統(tǒng)實(shí)施成功，并一直運(yùn)用著只 能部分運(yùn)行額信息系統(tǒng)，最終給企業(yè)造成了不可挽回的損失。 以上兩個案例都是因為在實(shí)施或者建設(shè)信息系統(tǒng)的過程中沒有清楚地認(rèn)識到 信息系統(tǒng)的風(fēng)險并且采取有效的管理措施而造成失敗的。三露的失敗是因為技術(shù)團(tuán) 隊的能力存在缺陷或者說沒有全力以赴投入到實(shí)施的過程中，導(dǎo)致產(chǎn)生了本可以避 2012 年 5 月 免的問題。此外，也體現(xiàn)出信息系統(tǒng)實(shí)施團(tuán)隊的經(jīng)驗和能力不足也是信息系統(tǒng)實(shí)施 最終失敗的原因之一。 而第二個案例的失敗則主要是因為企業(yè)高管層的重視度不夠。首先沒有主動去 轉(zhuǎn)變和變革因為實(shí)施信息系統(tǒng)而必須做出的實(shí)質(zhì)性的改變和調(diào)整；其次，因為重視 程度不足，沒有由始至終的督促和確保信息系統(tǒng)實(shí)施過程的根本性和有效性，最終 導(dǎo)致了信息系統(tǒng)的實(shí)施以失敗而告終，并且還給企業(yè)帶來了不可挽回的損失。 四、層次分析法比較各風(fēng)險的危害程度四、層次分析法比較各風(fēng)險的危害程度 無論是在信息系統(tǒng)的建設(shè)中還是實(shí)施中都潛在著許多的風(fēng)險，這也為風(fēng)險管理 帶來了困難，所以判斷出各風(fēng)險的危害程度，再針對性的采取防范和管理措施，則 可以提高風(fēng)險管理的效率。 步驟：先給出相對權(quán)重歸一化參照表：（如下） 平均隨即一致性指標(biāo) n1234567 R.I.000.520.891.121.261.36 n891011121314 R.I.1.411.461.491.521.541.561.58 1.系統(tǒng)分析 根據(jù)上述內(nèi)容，列舉出信息系統(tǒng)中可能存在的風(fēng)險： S1：環(huán)境要素 S2：網(wǎng)絡(luò)環(huán)境風(fēng)險 S3：病毒攻擊的風(fēng)險 S4：企業(yè)領(lǐng)導(dǎo)對信息系統(tǒng)開發(fā)認(rèn)識不足 S5：人員因素 S6：缺乏完整的風(fēng)險持續(xù)評估和管理的機(jī)制 S7：項目管理水平低、效益差 S8：系統(tǒng)應(yīng)用集中，風(fēng)險擴(kuò)大 S9：企業(yè)因素 S10：對開發(fā)人員的重視不夠，缺乏高水平人才 S11：人為操作過程中的風(fēng)險 S12：盲目求新，不能因地制宜 2012 年 5 月 將上述因素進(jìn)行兩輛比較，得出 A/V 圖為： A AA AA AS S1 1 S S2 2 S S3 3 S S4 4 A AA AA AS S5 5 V VS S6 6 V VS S7 7 V VS S8 8 S S9 9 S S10 10 S S11 11 S12 12 圖 1 根據(jù) A/V 圖，并加入單位矩陣，可得出如下的可達(dá)矩陣： 矩陣一 S1S2S3S4S5S6S7S8S9S10S11S12 S1100000000000 S2110000000000 S3101000000000 S4100100000000 S5000010000000 S6000001001000 S7000000101000 S8000000011000 S9000000001000 S10000010000100 S11000010000010 S12000010000001 2012 年 5 月 由分析可知，因為不存在強(qiáng)連接關(guān)系的要素，所以可達(dá)矩陣和縮減矩陣相同， 將縮減矩陣進(jìn)行層次化處理的結(jié)果為： 矩陣二 由此矩陣可見，本系統(tǒng)中各要素可分為兩個層次，S1，S5， S9為第一層次， S2，S3，S4，S6，S7，S8，S10，S11，S12，為第二層次。 2. 系統(tǒng)評價 將各因素重新標(biāo)號并作圖 2 如下，利用層次分析法進(jìn)行分析： 2.1 析評價系統(tǒng)中各要素之間的關(guān)系，建立系統(tǒng)的遞階層次結(jié)構(gòu)。 第一層：目的層信息系統(tǒng)風(fēng)險（A）。 第二層：準(zhǔn)則層環(huán)境因素(B1)，人員因素(B2) ，企業(yè)因素(B3) 。 第三層：子準(zhǔn)則層網(wǎng)絡(luò)環(huán)境風(fēng)險 (C1)，病毒攻擊的風(fēng)險(C2)，領(lǐng)導(dǎo)對信息 系統(tǒng)開發(fā)認(rèn)識不足(C3)，缺乏高水平人才(C4)，人為操作過程中的風(fēng)險(C5)，盲目求 新，不能因地制宜(C6)，缺乏完整的風(fēng)險持續(xù)管理機(jī)制(C7)，項目管理水平低(C8)， 系統(tǒng)應(yīng)用集中，風(fēng)險擴(kuò)大(C9)。 S1S5S9S2S3S4S6S7S8S10S11S12 S1100000000000 S5010000000000 S9001000000000 S2100100000000 S3100010000000 S4100001000000 S6001000100000 S7001000010000 S8001000001000 S10010000000100 S11010000000010 S12010000000001 2012 年 5 月 圖二 信息系統(tǒng)風(fēng)險A 企業(yè)因素B3人員因素B2 人為操作中的風(fēng)險 缺乏風(fēng)險管理機(jī)制 缺乏高水平人才 盲目求新 系統(tǒng)應(yīng)用集中 項目管理水平低 系統(tǒng)開發(fā)認(rèn)識不足 環(huán)境因素B1 網(wǎng)絡(luò)環(huán)境風(fēng)險 病毒攻擊的風(fēng)險 C1C2C3C4C5C6C7C8C9 （二）對同一層次的各元素關(guān)于上一層次中某一準(zhǔn)則的重要性進(jìn)行兩兩比較， 構(gòu)造兩兩比較判斷矩陣，并由判斷矩陣計算被比較要素對于該準(zhǔn)則的相對權(quán)重。其 中 Wi代表權(quán)重，W0代表歸一化的相對權(quán)重， max為判斷矩陣最大特征根。 表一 max(3.016+3.002+3.006 )/3=3.008 R.I.=0.52 C.I.=(maxn)/(n1)=(3.0083)/(31)=0.004 C.R.=C.I./R.I.=0.004/0.52=0.0080.1 所以，此判斷矩陣滿足一致性要求。在以下的各個判斷矩陣中均用此方法： AB1B2B3WiW0mi B11252.1540.5823.016 B21/2131.1450.3093.002 B31/51/310.4050.1093.006 3.704 2012 年 5 月 表二 max(3.065+3.063+3.066)/33.065 R.I.=0.52 C.I.=(maxn)/(n1)=( 3.0653)/(31)=0.0325 C.R.=C.I./R.I.=0.0325/0.52=0.06250.1 符合一致性檢驗 表三 max(3.088+3.084+3.086 )/3=3.086 R.I.=0.52 C.I.=( maxn)/(n1)=（3.0863）/(31)=0.043 C.R.=C.I./R.I.=0.043/0.52=0.0830.1 符合一致性檢驗 表四 max(3.022+3.020+3.023 )/33.022 R.I.=0.52 C.I.=( maxn)/(n1)=（3.0223）/(31)=0.011 C.R.=C.I./R.I.=0.011/0.52=0.0210.1 符合一致性檢驗 表五各風(fēng)險因素比例表 信息系統(tǒng)風(fēng)險 （A） 環(huán)境因素(B1)3.016 網(wǎng)絡(luò)環(huán)境風(fēng)險(C1)(3.065) 病毒攻擊的風(fēng)險(C2)(3.063) 人員因素(B2)3.002 領(lǐng)導(dǎo)對信息系統(tǒng)開發(fā)認(rèn)識不足(C3)(3.066) 缺乏高水平人才(C4)(3.088) 人為操作過程中的風(fēng)險(C5)(3.084) 盲目求新，不能因地制宜(C6)(3.086) 企業(yè)因素(B3)3.006 缺乏完整的風(fēng)險持續(xù)管理機(jī)制(C7)(3.022) 項目管理水平低(C8)(3.020) 系統(tǒng)應(yīng)用集中，風(fēng)險擴(kuò)大(C9)(3.023) B1C1C2C3WiW0mi C1151/31.1860.2793.065 C21/511/70.3060.0723.063 C33712.7590.6493.066 4.251 B2C4C5C6WiW0mi C411/41/50.3680.0943.088 C5411/31.1010.2803.084 C65312.4660.6263.086 3.935 B3C7C8C9WiW0mi C7121/70.6590.1313.022 C81/211/90.3820.0763.020 C97913,9790.7933.023 5.020 2012 年 5 月 從各風(fēng)險比例表中可以得出企業(yè)缺乏高水平的技術(shù)人才和領(lǐng)導(dǎo)對信息系統(tǒng)開發(fā)認(rèn) 識的不足在信息系統(tǒng)的風(fēng)險中占有較大比例的結(jié)論。 3.系統(tǒng)決策 雖然企業(yè)缺乏高水平的技術(shù)人才和領(lǐng)導(dǎo)對信息系統(tǒng)開發(fā)認(rèn)識的不足在信息系 統(tǒng)風(fēng)險中占有較大的比例，但并不代表其它的信息系統(tǒng)風(fēng)險就不會給企業(yè)造成損 失，可以忽視。只是在眾多的信息系統(tǒng)風(fēng)險中，應(yīng)該以這兩種風(fēng)險為風(fēng)險管理的重 點(diǎn)，但是對于其他的風(fēng)險也要采取相應(yīng)的應(yīng)對措施。 4.系統(tǒng)總結(jié) 在以信息系統(tǒng)風(fēng)險中的環(huán)境因素，人員因素，企業(yè)因素，網(wǎng)絡(luò)環(huán)境風(fēng)險,病毒 攻擊的風(fēng)險,領(lǐng)導(dǎo)對信息系統(tǒng)開發(fā)認(rèn)識不足,缺乏高水平人才,人為操作過程中的風(fēng) 險,盲目求新,不能因地制宜,缺乏完整的風(fēng)險持續(xù)管理機(jī)制,項目管理水平低,系統(tǒng) 應(yīng)用集中,風(fēng)險擴(kuò)大為分析要素，綜合運(yùn)用系統(tǒng)分析，系統(tǒng)評價中的 A/V 圖法，層 次分析法等進(jìn)行分析、討論、評價，最終人員因素中的缺乏高水平人才為眾多風(fēng)險 中首先應(yīng)該被重視和管理的。 五、風(fēng)險管理的技術(shù)和方法五、風(fēng)險管理的技術(shù)和方法 根據(jù)層次分析法得出的信息系統(tǒng)風(fēng)險危害程度，相應(yīng)的應(yīng)該采取一下措施，得 以有效地對風(fēng)險進(jìn)行有效管理： （一）改善技術(shù)人員待遇，定期安排進(jìn)修學(xué)習(xí) 目前國內(nèi)具有較高水平和豐富經(jīng)驗的系統(tǒng)開發(fā)使用的人才資源匱乏，一方面是 因為我國的計算機(jī)應(yīng)用起步較晚，優(yōu)秀的人才儲備不足；另一方面，國內(nèi)各行業(yè)對 這方面人才都不是很重視，所以許多優(yōu)秀的人才都選擇去國外發(fā)展或者深造，還有 的則被外企高薪聘請。 所以， 國內(nèi)企業(yè)想要預(yù)防或者消除由于人才資源不足的風(fēng)險， 就必須利用豐厚的待遇吸引人才，同時自己培訓(xùn)一批自己企業(yè)需要的特色人才。 （二）對企業(yè)管理層進(jìn)行信息化建設(shè)培訓(xùn) 企業(yè)在信息系統(tǒng)建設(shè)過程中，不僅要對企業(yè)的員工和建設(shè)、實(shí)施人員進(jìn)行針對 性的培訓(xùn)，還要對企業(yè)的管理層進(jìn)行培訓(xùn)，讓他們提升對信息系統(tǒng)的了解，并且清 楚的掌握在每一個信息系統(tǒng)建設(shè)的環(huán)節(jié)的關(guān)鍵因素，如：人，部門等。使得企業(yè)管 理層從信息系統(tǒng)的建設(shè)到實(shí)施始終保持的較高的重視度，保證信息系統(tǒng)建設(shè)不至于 “華而不實(shí)”，甚至半途而廢。此外，管理層經(jīng)過培訓(xùn)后，會對企業(yè)真正需要的信 2012 年 5 月 息系統(tǒng)有一定的概念，而不至于會對系統(tǒng)開發(fā)人員提出過高的要求，使得系統(tǒng)不能 和企業(yè)相結(jié)合而失敗。 （三）加強(qiáng)對信息系統(tǒng)的組織管理 人員的錯誤操作也是潛在的重要風(fēng)險之一。建立完善的管理制度可以為工作者 做好一切工作提供保障。一方面，完善的管理制度應(yīng)較強(qiáng)具有較強(qiáng)的可操作性，能 夠引導(dǎo)人自覺遵守；另一方面，對于違反制度的行為，要嚴(yán)肅處理，做到獎罰分明。 為了減少錯誤操作的發(fā)生，必要時可以利用行政手段進(jìn)行管理。同時，還要對員工 進(jìn)行安全教育和培訓(xùn)，提高安全意識，了解信息安全方針和管理層對于信息安全的 重視程度。使員工養(yǎng)成嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)，提高事故的判斷、預(yù)測和處理能力，減少 因錯誤操作而造成的損失。 （四）采用入侵檢測技術(shù)防范入侵行為 現(xiàn)在的網(wǎng)絡(luò)化已經(jīng)非常普及，尤其帶來的網(wǎng)絡(luò)安全隱患也是信息系統(tǒng)的巨大風(fēng) 險之一。為了防范網(wǎng)絡(luò)病毒的入侵，可以在信息系統(tǒng)和核心交換機(jī)之間增加入侵檢 測系統(tǒng)，實(shí)時地監(jiān)控和分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)文件，一旦有可疑的數(shù)據(jù)包立刻攔截 并且進(jìn)行攻擊檢測，但檢測確認(rèn)為入侵事件后立刻上傳到安全管理中心，并且切斷 異常主機(jī)與信息系統(tǒng)之間的通信，一保護(hù)信息系統(tǒng)