摘要：企業(yè)安全生產中的信息管理業(yè)務存在很多風險因素，如何像管安全生產的風險一樣來管信息化整個過程的風險一直是研究的熱點話題，在企業(yè)中建立安全生產信息風險管理體系能夠解決這個問題。文章主要研究安全生產中信息業(yè)務風險管理體系的構建，希望能為相關人員帶來一些幫助。

關鍵詞：安全生產；信息業(yè)務；風險管理體系；企業(yè)風險；風險場景庫

中圖分類號：F530 文獻標識碼：A 文章編號：1009-2374（2014）33-0157-02

隨著經濟全球化的不斷發(fā)展，特別是企業(yè)對信息化依賴程度的增強，信息風險已超出傳統(tǒng)的技術問題范疇，已屬于企業(yè)業(yè)務風險的一個部分，本文主要論述納入安全生產風險管理體系中的信息風險管理體系的構建。

1 影響信息風險的因素

影響信息風險的因素主要包括外部環(huán)境、內部環(huán)境、風險管理能力、信息相關能力等。

外部環(huán)境主要包括市場和經濟因素、同行及競爭、地理環(huán)境、法規(guī)遵從環(huán)境、技術狀態(tài)和創(chuàng)新、威脅領域，市場和經濟因素是企業(yè)安全生產的行業(yè)因素。比如，金融業(yè)的運營與制造業(yè)的運營對信息化有不同的需求以及不同的IT能力。

內部環(huán)境主要包括企業(yè)目標、信息化對企業(yè)業(yè)務的戰(zhàn)略重要性、信息架構的復雜程度、企業(yè)的復雜性、業(yè)務變更的深度、業(yè)務變更管理能力、風險管理哲學和價值觀、安全生產模式、經濟能力以及信息化在企業(yè)戰(zhàn)略中的優(yōu)先級等。安全生產模式關系到企業(yè)獨立運營的程度或與它的客戶/供應商相關聯(lián)、集中化/非集中化程度，企業(yè)文化決定了企業(yè)需要變更以能夠有效進行風險管理，經濟能力主要表示企業(yè)當優(yōu)化風險時，對支持、強化和維護IT環(huán)境的財務能力。

風險管理能力是衡量企業(yè)實施關鍵風險管理流程和相關動力水平的一個指標?？梢酝ㄟ^運用風險記錄卡來度量。動力績效指標越好，則風險管理能力水平越高。對于企業(yè)風險事件的頻率和影響，風險管理能力是一個非常重要的元素，因為它負責管理風險決策，以及在企業(yè)內建立和實施有效控制，它主要包括治理風險和管理風險兩個方面。

信息相關能力與IT流程以及所有其他動力的能力相關。對于不同動力的一個高成熟度等于高的IT能力，它能夠正面影響：降低事件的頻率，如實施了好的軟件開發(fā)流程將交付高質量和穩(wěn)定的軟件或實施了一個好的安全度量將減少安全相關事故的數(shù)量；減輕事件發(fā)生時對業(yè)務的影響，如針對災難的發(fā)生，具有一個良好的業(yè)務持續(xù)性計劃/IT災難恢復計劃。IT流程包括評價、指導和監(jiān)管、與業(yè)務一致、計劃和組織、建立、獲取和實施、交付、服務和支持以及監(jiān)管、評價和評估等五個管理職能域中的37個流程實踐。風險場景庫類別主要包括項目組合建立和維護、項目/項目群生命周期管理（項目/項目群的啟動、開發(fā)和獲取、交付、質量、中止）、信息化投資決策制定、IT經驗和技能、員工運營（人力錯誤和惡意企圖）、信息（數(shù)據(jù)破壞、損壞、泄露和訪問）、企業(yè)架構（架構版本和設計）、基礎設施（硬件、操作系統(tǒng)和控制技術）（選擇、實施、運行和退運）、軟件、信息系統(tǒng)的業(yè)務所有權、供應商選擇/績效、合同遵從、服務中止或轉移、法規(guī)遵從、地緣政治層面、基礎設施被盜或破壞、惡意軟件、邏輯攻擊、環(huán)境、大自然行為、創(chuàng)新等。

2 信息業(yè)務風險庫

在信息化的服務、交付和支持階段，建立起的信息業(yè)務風險庫主要包括以下方面：事件和事故管理業(yè)務節(jié)點包括提交事件、事件記錄分類、識別范圍、地市識別事件范圍、一線處理、解決事件與否、事件解決情況、現(xiàn)場處理、處理情況、審批情況、后臺處理、是否解決事件、申請掛起、掛起事件、解掛事件、是否發(fā)起其他流程、關閉事件、初步確認事件影響范圍、統(tǒng)一解釋口徑、確認是否向省公司升級、向省公司服務臺通報、標示大范圍事件并向用戶解釋等。主要存在的風險包括IT系統(tǒng)停工期的增加、客戶滿意度的降低、客戶不知道事件報告的程序、復發(fā)問題沒有解決、不是所有的事件都被跟蹤、事件優(yōu)先級未反映業(yè)務需求、事件未及時解決、服務臺的運營操作沒有支持業(yè)務活動、客戶對所提供的服務不滿意、事件未及時解決、客戶中斷服務時間增加等。

管理用戶請求業(yè)務節(jié)點主要包括提交咨詢或請求、嘗式解答咨詢、解決咨詢或請求、咨詢支持升級或轉派任務、用戶評價、升級、給出咨詢答案、轉派事件、判斷用戶反饋情況并處理結果。存在的風險主要包括對硬件和軟件的未授權變更、訪問管理忽略業(yè)務需求并且損害業(yè)務關鍵系統(tǒng)的安全、未對所有系統(tǒng)規(guī)定安全需求、違反職責分離和危害系統(tǒng)信息等。

管理配置項業(yè)務節(jié)點主要包括操作系統(tǒng)管理、硬件信息管理、中間件信息管理、數(shù)據(jù)庫信息管理、軟件信息管理、操作系統(tǒng)管理。存在的風險主要是配置項信息維護職責不明確，導致信息更新不及時。

管理服務級別SLA業(yè)務節(jié)點主要包括編制服務目錄、提出業(yè)務需求、制定服務級別策略、編制服務級別協(xié)議、簽訂服務級別協(xié)議、發(fā)布服務目錄、召開年度評審會議、制定年度服務改進計劃。存在的風險包括用戶和服務提供者不理解各自的職責、不恰當?shù)膬?yōu)先權授予不同的服務提供、不恰當交付的服務、為提供的服務授予不恰當?shù)膬?yōu)先權、對提供的IT服務有不同的解釋和誤解、由于期望和實際能力的差距導致糾紛、低效率和昂貴的運行服務、無法滿足客戶的服務需求；服務交付資源的無效和低效使用；無法識別和響應關鍵服務事件、由于過時的合同導致不能滿足商業(yè)和法律需求、由于服務偏差導致經濟損失和事件等。

管理問題業(yè)務節(jié)點主要包括問題記錄、判斷是否問題、判斷提審方案是否能過變更實現(xiàn)、實施方案、啟動變更管理流程、確認記錄解決結果、啟動知識管理流程、問題跟蹤與升級等。存在的風險包括IT服務的中斷、問題重復發(fā)生的可能性增加、問題和事件沒有及時解決、對主動的問題和事件管理，缺乏問題和事件及解決方案的審計跟蹤、事件重復發(fā)生、問題和事件重復發(fā)生、未恰當解決的關鍵事件、業(yè)務中斷、服務質量不

足等。

3 控制措施

在事件和事故管理業(yè)務采取的控制措施包括堅持對客戶進行滿意度回訪，并針對用戶提出的問題及其自身IT服務的不足，進行整改，努力提升服務質量；及時跟進事件處理情況并向用戶進行反饋；對于復發(fā)事件需要進行分析、找出根源，啟動問題管理流程，從而減少事件復發(fā)的幾率；加強對服務臺人員的事件分類標準、優(yōu)先級，按標準化準確分類；服務臺經理加強對事件單的處理進程的全程跟蹤，對當前處理人應實時跟蹤進展情況；加強運維人員的溝通能力和技術能力；事件經理監(jiān)控所有事件并協(xié)調處理未解決事件。

在管理用戶請求中采取的控制措施包括嚴格按照規(guī)章制度進行，禁止進行未授權的變更；加強對業(yè)務需求的分析以及業(yè)務關鍵系統(tǒng)的安全，審核請求的合規(guī)性；按照各系統(tǒng)安全需求，拒絕違反系統(tǒng)安全需求的請求；加強各運維人員的職責分離意識，堅決杜絕違反職責分離；加強對請求的審查力度，杜絕一切危害系統(tǒng)的

請求。

在管理配置制頂中采用的控制措施主要包括相關的信息維護需要明確到具體崗位；嚴格把關機房進出制度、工作票制度；完善業(yè)務和技術服務目錄，明確配置項負責人，加強審查力度。

管理服務級別SLA采取的控制措施主要包括服務目錄必須包括服務需求、服務定義、SLA、OLA、資金來源；建立一個包括開發(fā)、審核和調整服務目錄或服務組合的流程；建立一個確保服務目錄或組合是有用的、完整的和及時更新的管理流程；定期審查服務目錄和服務組合；建立一個檢查程序，使SLA的目標和績效測量與業(yè)務目標和IT政策一致；SLA必須包括例外事項、商業(yè)協(xié)議和OLA；SLA的改進和調整流程是基于用戶和業(yè)務的需求的績效反饋和變更；SLA形式和內容必須經所有利益相關方同意；SLA需正式批準和適當簽署。

管理問題的控制措施包括建立被適當工具支持的能滿足需要的流程，以識別和分類問題；建立和維護用于問題分類和優(yōu)先權的已建立的標準，確保這種分類與解決和容忍問題的服務承諾或組織單元職責相一致；開發(fā)用來生成問題管理報告的報告工具；問題報告必須包括以下內容：分析根本原因的問題文檔、問題所有者和解決責任的識別、問題狀態(tài)信息。問題解決后，需經利益相關方確認，問題只有被利益相關方確認解決后才被

關閉。

4 結語

綜上所述，本文先分析了當前影響企業(yè)信息風險的因素，進而論述了我企業(yè)根據(jù)現(xiàn)實情況所建立的信息業(yè)務風險庫和控制措施，當前很多企業(yè)已經認識到了信息風險的重要性，也采取了一些具體的針對措施，但是很多措施在使用中仍然存在一些不可預測的問題，這些還需要更多的人努力去解決。

參考文獻

[1] ISACA.IT 鑒證指南：使用COBIT.

[2] ISACA.COBIT5 Framework.

[3] ISACA.RISK IT.

[4] ISACA.COBIT5 FOR RISK.

作者簡介：伍明（1963-），男，湖北武漢人，廣東電網有限責任公司中山供電局CISA，研究方向：信息治理和管理體系。