IT 風險管理內容與方法 - 網安 - 專業的網絡安全產業、社區、知識平臺

信息科技風險（以下簡稱“IT風險”）具有技術含量高、突發性強、覆蓋面廣、快速蔓延的特點，同時IT風險管理過程中又存在認知弱、基礎差、難計量的問題。

因此，做好IT風險管理必須要建立良好的管理機制，進行符合自身的管理框架與任務規劃，并且進行持續的分布持續推進，這樣才能最大程度上降低IT風險所帶來的潛在損失。

IT風險管理是指通過建立有效的機制，實現對IT風險的識別、計量、評估、預警和控制，確保信息系統高效、可靠、安全、平穩、持續運行，規避因為信息技術應用而引起的各種風險。

IT風險管理從信息技術、風險管理、審計方面設立三道防線，首先是由信息技術部從技術手段上看能夠進行控制、風險管理部門、審計部門分別從風險管理、審計手段去控制風險。這樣才能更好地貫徹“責任到位、任務明確、各司其職”的原則。

IT風險管理的目標是通過建立有效的管理機制，實現對IT風險的識別、分析和評估、控制、監測及報告，促進信息系統的安全穩定運行，推動業務創新，提高信息技術使用水平，增強業務核心競爭力和可持續發展能力。

事前預防為主原則

在風險發生以前建立有效的風險管理措施，降低風險發生的可能性或減少風險可能造成的損失。

全面性原則

IT風險管理應覆蓋到各部門、崗位、人員及操作環節中，使IT風險能夠被識別、評估、計量、監測和控制。

成本效益原則

對風險管理措施的實施成本與風險可能造成的損失進行分析比較，選取成本效益最佳的風險控制方案。

IT風險與控制自我評估

IT風險與控制自我評估是識別和評估IT風險及風險控制措施有效性的管理手段。

各相關部門應按照預先設定的工作方法，對其職責范圍內的IT風險管理現狀進行評價。

IT風險與控制自我評估是IT風險管理持續改進的基礎工作和關鍵環節。

關鍵風險指標（KRI）

關鍵風險指標（KRI）是反映IT風險水平的一系列統計指標，具有可量化的特點。

關鍵風險指標用于監測可能造成重大IT風險事件的各項風險及控制措施，并作為反映風險變化情況的早期預警指標。

通過對主要風險類型的早期預警并及時采取應對措施，避免重大IT風險事件的發生。

IT風險監控報表

IT風險監控報表是IT風險監測信息的收集手段，通過定期匯總分析監控報表，能夠獲取IT風險情況，并能掌握到總體風險變化趨勢。

IT風險管理流程包括IT風險識別、分析與評估、控制、監測及報告等五個環節：

1、風險識別

IT風險識別是指具有脆弱性，可能受到威脅侵害，需要保護的信息資源或資產進行識別和分類，并對相關的威脅和脆弱性進行確認的過程。風險識別是風險管理的第一步，也是風險管理的基礎。

2、風險分析與評估

IT風險分析是指對風險的可能性及其發生以后所造成的影響進行綜合度量。IT風險評估單位應通過定性或定量的評估方法，判斷風險的影響程度和發生可能性，確定風險的等級。

3、風險控制

IT風險控制指根據風險偏好及風險評估的結果建立相應的風險管理措施。通過建立事前預防、事中監控及事后復核的風險管控手段降低風險發生的可能性及其造成的影響，并根據IT風險容忍程度采取規避、降低、轉移風險的方式，將風險控制到可接受的水平之內。

4、風險監測

IT風險監測是指對IT風險進行定期或持續的檢查，及時發現新出現的IT風險以及風險管理措施出現的問題，并采取相應的補救措施，以保證IT風險在不斷變化的內外部環境中，始終處于風險容忍水平之下。

5、風險報告

IT風險報告指信息科技部門、風險管理部門和審計部門依據特定的格式和程序對IT風險狀況進行描述、分析和評價，并形成的IT風險報告，相關部門按照規定的報告路線進行匯報。