信息科技( IT )風險的基本定義

風險通俗講，是在某一個特定時間段里，人們所期望達到的目標與實際出現的結果之間產生的距離。

風險有兩種定義：一種定義強調了風險表現為不確定性；而另一種定義則強調風險表現為損失的不確定性。

若風險表現為不確定性，說明風險產生的結果可能帶來損失、獲利或是無損失也無獲利，這屬于廣義風險。若風險表現為損失的不確定性，說明風險只能表現出損失，沒有從風險中獲利的可能性，屬于狹義風險。

信息科技（IT）風險定義

信息科技風險（IT風險）是指任何由于信息技術應用對業務運營造成負面影響的風險。

信息科技風險（IT風險）包括信息系統的規劃、研發、建設、運行、維護、使用、監控及退出等過程中，由于IT流程缺陷、系統的業務流程控制缺陷、信息系統脆弱性、操作人員無意/蓄意失誤、外部事件等因素直接導致業務操作風險并間接導致信用、市場、法律、聲譽等銀行風險。

帶來信息科技風險的起因

引起信息科技風險的原因很多，歸納起來包括以下四類：

一是環境，即信息科技所處的內外部環境影響，屬于治理層面的風險。

二是流程，即信息系統開發采購、交付實施、運行維護、下線廢棄整個生命周期流程管控不善，屬于過程層面的風險。

三是系統，即信息系統、IT基礎設施、物理環境等出現問題，屬于資產層面的風險。

四是業務，即系統實現的業務流程引入新的隱患，屬于科技業務層面的風險。

信息科技風險造成的影響

如果從結果來看，信息科技風險會造成效果、效率、保密性、完整性、可用性、可靠性、合規性七方面影響。

保密性、完整性、可用性是信息安全的屬性，所以信息科技風險會帶來信息安全問題，但并不是信息安全問題都是由信息科技風險導致的。（非包含關系）

效果、效率與信息科技的投入產出相關（趨利）。效果是信息科技產生的價值收益（賺多少），效率是信息科技降低成本提高效率（省多少），通俗講就是少投入多產出。

可靠性、合規性與信息科技的持續穩定正常運行相關（避害）。可靠性期望信息科技最好不要出問題，或者出了問題能夠快速地解決；合規性則是避免不合規帶來的處罰與業務停頓。

信息科技風險與信息安全關系

信息安全以「結果」進行定義，不管什么原因只要影響了信息的保密性、完整性和可用性，就屬于信息安全范疇。

信息科技風險以「原因」進行定義，只要是由于信息技術的應用，造成任何方面的問題與損失，都屬于信息科技風險范疇。

所以從二者的定義來看，信息安全風險與信息科技風險既不是重合關系，也不是包含關系，而是部分交叉重疊的關系。

信息科技風險除了包含信息安全（保密性、完整性、可用性）之外，還涉及到IT治理、IT服務管理、業務連續性（BCM）等等方面。

從信息科技風險自身來看，信息安全是其所包含的一個重要部分，但從整體業務或企業來看，業務模式、工作流程、非信息化資產與數據等非信息科技原因也可導致信息安全問題。