目前,我国的IT建设正处于高速发展期,在设备规模和技术水平不断提高的同时,IT风险管理显得相对十分薄弱。突出表现在以下几点:
我国的IT风险管理存在哪些问题?
目前,我国的IT建设正处于高速发展期,在设备规模和技术水平不断提高的同时,IT风险管理显得相对十分薄弱。突出表现在以下几点:
(1)领导层对IT风险管理有认识上的误区。认为IT风险是小概率事件,基本不会发生,我们建设质量最好的IT 基础设施就可以防范风险。这种认知本身就会带来巨大的风险。
(2)管理层IT风险管理意识不强。很多组织领导缺乏对信息技术风险的关注和统筹安排,因此规划部门、科技管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。IT风险管理政策和战略规划重点不明确,措施不管用,人员不到位。
(3)运维管理不科学。经过前几年的发展,国内信息化发展正处在由建设向全面运维转型的时期,然而,运维管理的科学化却不容乐观。在人员方面,IT服务管理组织不健全,角色不清,职责不明,缺乏相应的考核体系;在流程方面,流程描述不准确,执行力不强,尤其是变更管理,经常出现未经授权的重大变更发生;在技术方面,很多系统运行缺乏有效的监控工具,没有有效的监控手段,致使运维工作很被动。
(4)应急体系管理粗放。当前,尽管各行业都按照《突发事件应对法》的要求,加强了风险应急和处置机制建设,但离严格管理、科学管理还有较大差距,有的组织应急体系机构不健全、职责不落实、人员不到位,难以有效行使其职能;有的组织虽然建立了灾备中心,但没有真正起到作用,成为了“花架子”;有的组织对应急预案的培训和演练缺乏足够重视,导致事件发生后虽及时启动应急体系,但在事件处理过程中,仍无法有效执行等等。应急事件管理粗放这块短板,显得越来越凸出。
(5)外包管理能力不足。目前,很多组织尤其是对IT系统高度依赖的组织,大多数高端软硬件设备严重依赖国外进口,同时软件开发与系统运维大多外包给第三方。大量外包往往造成项目管理服务不到位,产权转移不彻底,核心技术受制于人,而且存在严重的安全隐患。某银行就曾出现过由于外包单位在发生事故时缺乏懂相关技术的内部人员,同时厂商支持人员无法及时到位,造成了事故在更大范围内的蔓延。更有甚者,对外包商人员管理不严,导致其机密信息在互联网上泄露,造成了相当大的损失。
(6)队伍建设有待提高。目前各组织科技队伍建设与信息系统建设发展水平不相适应,意识教育、技能提升、机构建设还有待进一步加强,主要表现在:
有关人员的风险意识和安全意识不强,培训不充分;
业务系统常常出现问题,解决过程长,这在一定程度上也反映出了人才储备工作的薄弱;
安全管理员、数据库管理员、操作系统管理员和应用系统管理员等岗位存在一人多岗,不相容岗位不能分设问题,造成了一定的安全隐患;
外包项目较多,技术培训和技术转移力度薄弱,导致技术人员掌握相关系统知识及对突发问题的处理能力不足。队伍建设,特别是尖端人才的短缺,已经成为制约各组织IT风险管控能力提高的重要瓶颈。
(7)风险管理手段比较原始。从IT风险管理手段来看,基本停留在制度检查层面,缺乏基础技术支撑和基础数据支持,无法全面地了解组织的IT风险状况。事后查出问题较多,事前预防作用有限,事中控制更难。
总的来看,各组织需要加快对IT风险的清晰认识,抓紧建立统一的IT风险管理手段。因此,树立和培养IT风险意识,规划落实好IT风险管理,是与我国信息化可持续发展密切相关的重要大事。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved