高风险时代企业如何进行IT风险管理

　　企业现在面临着错综复杂的风险状况：一方面，金融风暴引发的经济持续下滑使得企业在IT投资上变得谨慎;另一方面，由于信息技术的迅猛发展和其在企业的应用日益复杂，企业需要及时应对更为复杂的IT风险;而且由于信息技术在社会和经济生活越来越充当重要角色，国内外近年来出台了许多法律法规加强对信息技术的监管，这些又进一步加大了企业的合规风险。即便面临着巨大的经营压力，企业在有限的IT支出中还是优先考虑了对IT风险进行有效控制以达到企业可以接受的风险水平，究其根本原因就是信息技术及其所获得的信息已经成为企业的核心资产，对信息技术和信息的控制势必会得到企业的优先考虑。需要注意的是，这种控制已经越过了传统信息安全的边界，和企业的业务流程以及企业风险管理框架更紧密地结合在一起。

　　对于如何在企业内部进行IT风险控制，我们提出了“IT内控”这个概念。IT内控是企业总体内控的一个重要方面，主要用于管理和控制企业内与信息技术有关的活动，它是一系列渗透到企业各个角落的控制措施。企业对信息处理的完整性、可靠性及自动化控制的效率和效果均取决于IT内控的有效性。IT 内控体系的范畴因不同企业的IT组织方式、管理方式的不同而有所不同。基于多年IT内控实践经验，我们认为IT 内控重点关注以下三个领域：

　　IT基础设施：IT基础设施是实现有效IT内控的支柱。随着信息化的深入，组织的核心应用系统都己构架在IT平台之上。IT基础设施不仅是整个组织业务的重要支撑，也是对组织运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制，直接关系运营活动的实施。

　　业务和数据：信息技术的安全性涉及很多方面，但对于组织来说，较为突出的问题就是如何保障业务信息的安全，即保障在应用系统中产生、处理、存储的业务数据的机密性、完整性和可用性。所以，从一定程度上来说，保护数据的安全性，是维护一个有效的IT内控环境的最基本目标。

　　策略和流程：IT基础设施以及运行其上的应用系统构成了基本的IT环境，共同承担对于企业业务的支撑作用，这个IT环境的运行效力和效率，直接关系到整个组织运行的效力和效率。因此，如何营造一个体系化的、可审计的、可持续改进的IT内控环境，是IT内控必须考虑的一个重要问题。效力和效率的提升，从很大程度上取决于组织中“技术”与“人”这两个因素的契合程度，如何以企业业务和合规性为目标，制订一套涵盖方针、策略、制度、流程的安全管理体系，是提高IT内控水平的关键。

　　在目前的环境下，有效控制IT资源的难度不断加大，遵从多项法规的复杂性也在增加企业应该如何管理IT基础设施、业务和数据、以及策略和流程以更低的成本实现IT内控，以便合理控制IT风险，满足对多项法律法规的遵从性，最大程度保障业务运营的效力和效率，以实现IT投资的最大回报。可以采用如下的方法来建立各企业自己的IT内控体系：

　　选择一个框架，用于实现对多项法规遵从的IT内控

　　虽然针对多种要求遵从的IT内控流程大体相同，但如何在控制中管理细节和发现共性或重叠却是一个非常复杂的问题。在多个报告间重复使用控制数据以及向法规实体交付遵从证据可能需要投入大量的时间和金钱。 但是，只要基于 ISO 27001 或类似经过认可并广为接受的安全框架来应用安全策略，组织就可以使用一套策略规则来帮助其管理整体遵从的内控工作。 为了建立一个可持续的遵从状态，组织已认识到了实施综合全面的控制框架(如 COSO、COBIT 或 ISO 27001)的重要价值。通过采用这样一种控制框架可以简化沟通，与审核人员和监察人员共同验证控制，同时减少所需工作和降低企业成本。

　　使用自动化流程降低IT内控成本

　　虽然有许多方法都可以降低IT内控成本，但使用自动化流程和整合众多人工活动的技术却可以显着降低在IT内控方面耗费的时间和金钱。通过有效的 IT 内控体系结构和强健的策略，再加上可以有效管理、维护和报告内控状态的技术解决方案，组织可以降低维持IT内控所需的人力和资金资源。

　　应用最佳实践，降低IT内控失效风险

　　由于许多组织都已经投入了大量的资源来实现对各种法规(如《萨班斯-奥克斯利法案》、国家等级保护政策系列标准和新近颁布的《企业内部控制规范》)的遵从，相当多组织的实践知识和经验有了很大程度的增长。已实现成熟内控的组织机构经过自身多年内控建设的实践，在IT内控建设和运维中积累了很多宝贵的经验。这些IT内控的宝贵经验将有助于建立所有组织都可以使用的绩效基准，以帮助组织完善自己的工作，快速建立高效的IT内控体系。

　　华为赛门铁克秉承华为和赛门铁克两大母公司的在网络和信息安全方面的长期积累，对国内外运营商和行业客户的业务和IT内控需求有深刻理解。可以提供咨询服务和管理套件帮助企业建立高效的IT内控体系，减少运营风险，提高开拓新业务的能力，和增强核心产品与业务的竞争力。

　　IT内控解决方案主要包括下列的产品和服务：

　　提供通用的 IT内控框架，在保障业务发展的基础上满足多部法规的合规要求。

　　以有效简洁的方式来执行和管理 IT 控制，在整个基础设施中提高 IT 控制的有效性和可靠性，从而规避和降低企业面临的IT风险。

　　自动化IT控制流程，集中 IT 领域的信息，减少管理IT资源所需的时间、费用和人力成本。

　　华为赛门铁克IT内控流程模型