过去,IT风险管理常被忽略或仅仅作为一个单纯的技术问题,但是,现在它已经成为组织治理的问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此,谨向上述人士推荐此书,相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。
第1章 风险无处不在.... 1
1.1 挑战...... 3
1.2 复杂性与缺陷...... 4
1.3 医治信息技术风险之症...... 8
1.3.1 信息技术治理..... 9
1.3.2 信息技术风险组合..... 11
第2章 信息技术治理架构.... 23
2.1 信息技术治理的目的与目标...... 24
2.2 信息技术治理的不同方法...... 26
2.2.1 公司治理视角..... 27
2.2.2 投资者视角..... 28
2.2.3 合规性视角..... 31
2.2.4 企业范围的风险管理视角..... 33
2.2.5 审计与控制视角..... 34
2.2.6 工程和系统视角..... 36
2.2.7 生命科学、生物学和生态学视角..... 38
2.2.8 企业的综合视角..... 39
2.3 建构企业的治理架构...... 40
2.3.1 治理流程与产出..... 40
2.3.2 治理结构和角色..... 42
2.4 设计与实施...... 43
2.4.1 信息技术治理模型和方法..... 44
2.4.2 使信息技术治理模型适用于企业..... 45
2.4.3 信息技术治理架构的实施..... 46
案例:Aventis—— 开发一个覆盖全企业范围的风险管理和业务连续性/灾难
恢复计划...... 47
第3章 信息技术风险组合.... 51
3.1 信息技术风险组合导论...... 51
3.1.1 像管理其他业务风险一样管理信息技术风险..... 52
3.1.2 信息技术风险的一种组合..... 54
3.1.3 信息技术风险的分类..... 55
3.1.4 理解信息技术风险类之间的关系..... 59
3.1.5 信息技术风险的影响..... 64
3.1.6 信息技术失效的广泛影响..... 65
3.2 实现信息技术风险管理能力...... 66
3.2.1 战略与政策..... 67
3.2.2 角色和责任..... 68
3.2.3 流程与方法..... 70
3.2.4 人与效能..... 71
3.2.5 实施与改进..... 71
3.2.6 利器..... 72
3.3 健康检查...... 73
3.3.1 信息技术风险管理对你的业务重要吗..... 73
3.3.2 在做正确的事情吗..... 73
3.3.3 有好的跟踪记录吗..... 74
案例:欧洲港湾管理服务供应商—— 建立欧洲数据中心...... 74
第4章 项目.... 77
开篇案例...... 77
4.1 项目失败的影响...... 79
4.1.1 时间..... 80
4.1.2 功能和质量..... 81
4.1.3 费用..... 82
4.1.4 项目交付时的系统性的失败..... 82
4.2 风险的机构、流程及项目视角...... 84
4.2.1 为交付项目而管理机构..... 84
4.2.2 管理流程—— 多个并发IT项目的风险..... 85
4.2.3 管理项目—— 航行风险..... 86
4.2.4 决策与超时、功能及费用的控制..... 88
4.3 理解IT项目的风险因素...... 89
4.3.1 重大风险因素的管理..... 91
4.3.2 理解项目的“困难程度”..... 95
4.3.3 常被曲解的项目风险因素..... 96
4.3.4 可以选择的交付模式及其风险特征..... 99
4.3.5 开发之外—— 项目的保障和升级..... 100
4.4 保障交付方法论...... 103
4.4.1 产出物与可交付物..... 103
4.4.2 人员..... 103
4.4.3 方法与标准..... 104
4.5 识别、报告和管理项目风险...... 105
4.5.1 委员会的监管..... 106
4.5.2 另类的管理反应..... 106
4.5.3 在项目的每一步,要看什么..... 107
4.6 健康检查...... 111
4.6.1 对你的业务重要吗..... 111
4.6.2 在做正确的事情吗..... 111
4.6.3 有好的跟踪记录吗..... 111
案例:Agility—— 实施保障程序成功交付战略性的信息技术项目...... 112
第5章 信息技术服务.... 115
开篇案例...... 115
5.1 影响业务的信息技术服务失效...... 117
5.1.1 服务效能..... 117
5.1.2 完善的规划准则..... 118
5.1.3 危机与灾难..... 119
5.1.4 对信息资产的影响..... 119
5.1.5 管理系统失效..... 120
5.1.6 复杂的情境..... 120
5.2 规划与准备...... 121
5.2.1 业务影响分析..... 121
5.2.2 灾难规避与灾难恢复..... 122
5.2.3 保障级别..... 123
5.3 实现不间断的信息技术服务...... 125
5.3.1 制定预算..... 126
5.3.2 风险内容..... 127
5.3.3 能力设计..... 128
5.3.4 认同与偏好..... 128
5.3.5 效能指标..... 129
5.4 健康检查...... 130
5.4.1 对你的业务重要吗..... 131
5.4.2 在做正确的事情吗..... 131
5.4.3 有好的跟踪记录吗..... 131
案例:治安服务—— 制定一套灾难规避— 灾难恢复战略...... 132
第6章 信息资产.... 133
开篇案例...... 133
6.1 信息资产的访问...... 135
6.2 信息资产损失的影响...... 136
6.2.1 排他性的丧失..... 136
6.2.2 信息资产为犯罪者带来的直接利益..... 136
6.2.3 时间、能力和良好的愿望..... 137
6.2.4 安全性丧失..... 137
6.3 信息资产退化的影响...... 138
6.3.1 你并不知道损失什么直到它真的发生..... 138
6.3.2 完整性丧失..... 139
6.3.3 修复的代价..... 140
6.3.4 机会成本..... 140
6.4 安全的尺度...... 141
6.4.1 目标..... 141
6.4.2 企业文化..... 145
6.4.3 信息资产安全的反证..... 146
6.5 实施信息资产管理...... 148
6.5.1 并未包含在信息资产管理中的ISO标准要素..... 149
6.5.2 信息资产管理的基础成分..... 151
6.6 健康检查...... 159
6.6.1 对你的业务重要吗..... 159
6.6.2 在做正确的事情吗..... 159
6.6.3 有好的跟踪记录吗..... 160
案例:投资管理——在分散的环境下交付安全性...... 160
第7章 信息技术服务供应商与销售商.... 163
开篇案例...... 163
7.1 服务供应商失效引致的风险...... 164
7.1.1 运营服务未能达到服务级别..... 166
7.1.2 未能满足合约或关系要求..... 166
7.1.3 未能交付项目服务..... 167
7.1.4 供应商无法坚持下去..... 168
7.1.5 其他服务供应商风险..... 168
7.1.6 几种不同的服务交付模式存在的风险..... 172
7.2 销售商失败引致的风险...... 174
7.2.1 产品支持失效..... 174
7.2.2 其他销售商风险..... 175
7.3 管理服务供应商风险...... 177
7.3.1 来源策略..... 178
7.3.2 预谈判..... 179
7.3.3 评估..... 180
7.3.4 谈判..... 180
7.3.5 转换..... 181
7.3.6 管理..... 181
7.3.7 总结/终止/重启..... 182
7.3.8 减小风险造成的影响..... 182
7.3.9 管理关系降低风险..... 185
7.4 管理多个信息技术服务提供商...... 187
7.4.1 切分信息技术服务“群组”..... 188
7.4.2 技术策略与来源策略相结合..... 189
7.4.3 端到端的流程衔接..... 190
7.5 信息技术服务供应上新兴来源风险...... 190
7.5.1 离岸来源..... 190
7.5.2 开放源码软件支持..... 191
7.6 健康检查...... 192
7.6.1 对你的业务重要吗..... 193
7.6.2 在做正确的事情吗..... 193
7.6.3 有好的跟踪记录吗..... 193
案例:金融服务—— 用低成本交付业务响应型的IT基础设施...... 194
第8章 应用.... 195
开篇案例...... 195
8.1 信息技术应用失效对业务构成的影响...... 196
8.1.1 连续性、纠错和容错..... 197
8.1.2 系统的背景和业务影响的延伸..... 198
8.1.3 当人同系统无法协调..... 199
8.1.4 当应用需要通讯并协同工作..... 200
8.2 信息技术应用风险评估...... 202
8.2.1 巨大的关联性..... 202
8.2.2 巨大的复杂性..... 202
8.2.3 特征化与增值..... 203
8.2.4 集成与协同..... 203
8.2.5 遗存的老式系统..... 204
8.3 信息技术应用风险分类...... 205
8.3.1 新的应用..... 205
8.3.2 打包软件..... 206
8.3.3 客户化方式开发的软件..... 208
8.4 软件资产与负债...... 209
8.4.1 掌控你的应用资产..... 209
8.4.2 把软件当作知识财产..... 209
8.4.3 软件版权..... 210
8.4.4 “不速之客”软件..... 211
8.5 用生存周期的方法来管理风险...... 212
8.5.1 制定系统日程—— 策略、架构和规划..... 212
8.5.2 概念和可行性..... 212
8.5.3 需求和方案架构..... 213
8.5.4 解决方案的建构、采购与集成..... 213
8.5.5 测试..... 214
8.5.6 实施..... 214
8.5.7 维护和改进系统..... 215
8.5.8 退役与除役..... 215
8.6 健康检查........ 216
8.6.1 对你的业务重要吗..... 216
8.6.2 在做正确的事情吗..... 216
8.6.3 有好的跟踪记录吗..... 216
案例:领先的自来水公司...... 217
第9章 基础设施.... 219
开篇案例...... 219
9.1 信息技术基础设施失效如何影响你的业务...... 220
9.1.1 设施..... 220
9.1.2 集中计算..... 221
9.1.3 分布式计算..... 223
9.1.4 数据网..... 224
9.1.5 语音网..... 225
9.1.6 行业相关的基础设施及其风险..... 225
9.2 信息技术基础设施的改进风险...... 226
9.2.1 把信息技术应用的特性移向基础设施层..... 226
9.2.2 基础设施市场的变化..... 227
9.2.3 为什么时机是重要的..... 227
9.2.4 新兴的使用模式及其风险考虑..... 228
9.3 向着“设置即忘”迈进...... 229
9.4 抗风险的基础设施转换...... 230
9.4.1 制定方向..... 231
9.4.2 按计划逐步推进,保证每一个步骤都能退回..... 231
9.5 健康检查...... 232
9.5.1 对你的业务重要吗..... 232
9.5.2 在做正确的事情吗..... 232
9.5.3 有好的跟踪记录吗..... 233
案例:GCHQ—— 设计并管理欧洲最复杂的信息技术部署...... 233
第10章 战略与新兴技术风险.... 235
开篇案例...... 235
10.1 信息技术无法支持业务战略的执行所造成的影响...... 236
10.1.1 功能退化..... 237
10.1.2 挑选一只杯子,任何杯子..... 237
10.1.3 差异性与标准化..... 238
10.1.4 无关信息技术..... 239
10.1.5 持久性..... 241
10.1.6 炫耀武力..... 241
10.2 通过信息技术支持业务变革提高股东价值...... 242
10.2.1 信息技术是不是业务..... 243
10.2.2 变革的促进者..... 244
10.2.3 引擎室效率..... 245
10.3 信息技术能力对业务能力的影响...... 246
10.3.1 信息技术:助推器还是制动器..... 246
10.3.2 新兴技术..... 247
10.3.3 交付..... 248
10.4 健康检查...... 248
10.4.1 对你的业务重要吗..... 249
10.4.2 在做正确的事情吗..... 249
10.4.3 有好的跟踪记录吗..... 249
案例:Egg——从基础设施的可靠性到系统交付和运营效能...... 250
第11章 信息技术与其他企业风险.... 251
11.1 将信息技术风险组合同其他类型的企业风险相关联...... 252
11.1.1 伴随着其他风险的信息技术风险评估..... 252
11.1.2 将风险管理的角色和责任相结合..... 255
11.1.3 团队集中努力的目标..... 256
11.1.4 银行业的操作风险..... 257
11.1.5 划分信息技术相关风险的风险..... 260
11.2 用信息技术支持基于风险的管理...... 262
11.2.1 连接在一起的机构(正在走向无线连接).. 262
11.2.2 操作流程锁定..... 263
11.2.3 持续不断地监督..... 264
11.2.4 决策支持、风险分析和报告..... 264
11.3 信息技术风险管理依赖于广泛的企业能力...... 265
11.3.1 人力资源管理..... 265
11.3.2 战略与规划..... 266
11.3.3 法律..... 267
11.3.4 财务管理..... 267
11.3.5 实体安全..... 268
11.4 结论...... 268
附录 总结检查清单.... 269
跋 注意防范和化解金融信息技术风险.... 277
中国IT治理智库系列丛书.... 285
参考文献.... 297
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved