过去,IT风险管理常被忽略或仅仅作为一个单纯的技术问题,但是,现在它已经成为组织治理的问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此,谨向上述人士推荐此书,相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。
信息技术的发展进程一直有风险相伴。信息技术自身的发展基本上可以看成是技术进步同风险管理与控制之间的互动与平衡。随着信息技术的快速发展,它日益渗透到了我们日常生活的方方面面,人类对信息技术的依赖日渐加深。随之而来的是信息技术可能会给人类带来的风险威胁也越来越大。信息技术风险给我们日常生活已经带来的或者将要带来的影响显得非常深刻。一方面信息技术正在深刻地影响着我们的人类,我们日益依赖于信息技术进步。另一方面,广泛的信息技术应用又使我们面对着更大的技术风险。这种正反馈系统机制的形成促使问题正在逐步走向复杂化。如何打破这种循环成为我们当今所面临的一个巨大挑战。
我们对信息技术发展规律的认识也经历了一个由简单到复杂,由局部到全局,由肤浅到深入的过程。从强调单一硬件系统的可靠到强调信息技术基础设施风险,从网络安全到强壮而灵活的系统架构体系,从软件开发质量保障到流程控制目标保障,从防范信息泄露到整体信息资产安全,从桌面系统病毒控制到全系统安全保障,从单一的系统运行监控到IT运营乃至IT服务连续性管理,从企业内部开发团队管理到外源性外包乃至多源风险控制策略,从单个项目的风险控制到企业信息技术战略制定,从盲从于新的流行技术到新兴技术与主流标准战略,一直发展成为融合了防范与应对IT应用、IT项目、信息资产、IT基础设施、业务服务连续性与IT服务连续性、IT服务及产品供应商等风险组合的信息技术风险管理体系。这些发展在充分反映了信息技术高速发展的同时,也折射出了信息技术给我们带来的巨大的风险挑战。
同其他风险研究领域相似,目前对信息技术风险的研究着重在两个方向上:一是呼应现实信息技术应用的要求,讨论和总结信息技术风险组合的具体内涵。从信息、资源、规划、获取与实施、交付与支持、监控等多个方面制定具体的控制目标,提出应对信息技术风险的最佳实践方法。第二个方向是信息技术风险基础理论方面的探讨,即风险度量与模型化。这两方面的工作主要来源于几方面的驱动力,一是面对着日益复杂而广泛的信息技术风险,在实践上我们需要一套全面的,并且行之有效的标准和最佳实践指引。其次是基于资本配置的要求和因应量化的效能考核需要。这本书是信息技术风险管理最佳实践的开篇之作。它全面介绍了同信息技术相关的各种风险以及这些风险之间的相互关系。作者采用风险组合的方法来考察和分析信息技术风险,用系统性的方法来应对风险。这本书很好地总结了信息技术风险管理的最佳实践,使我们在对信息技术风险有了更加深入的认识的同时,也使我们对信息技术管理实践具有了更广阔视野。
我们相信这本书将会使我们对信息技术领域所面临的机遇与挑战有着更深刻的认识。它也将成为我们总结、分析、应对信息技术风险的新起点。
白 硕
上海证券交易所总工程师、博士生导师
2006年9月6日
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved