1 引言

    在加快实现企业信息化建设的过程中，企业越来越关注信息化项目的合理性、有效性、经济性、可用性和安全性。在这种需求的推动下，信息系统风险评估走上了风险控制的前台，成为企业信息化项目治理的重要组成部分。

    运用先进的评估方法，逐步完善信息系统风险评估的流程，建立风险特征的评估模型，并通过信息系统风险评估的手段，保障信息资产的安全、数据的完整、提高信息系统的效率，可以使企业不断加强信息系统风险管理和内部控制，以适应风险环境日益复杂化的需要，确保信息系统安全、稳定、有效运行。

    2 信息系统风险评估现状分析

    信息系统风险评估已得到国际社会的普遍重视，风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现，风险评估作为保证信息安全的重要基石发挥着关键作用。在信息安全、安全技术的相关标准中，风险评估均作为关键步骤进行阐述，如ISO13335、COBIT、BS7799-3等。

    我国的信息系统风险评估工作目前还处于起步阶段，没有形成一套成形的专业规范，缺少一支能够全面开展信息系统风险评估的人才队伍。目前我国所进行的一些信息系统风险评估的探索和尝试以及开发的一些计算机审计软件大都停留在对被评估单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动的应用范围，运用传统的信息技术和风险评估知识已经不能实现真正意义上的“风险基础模式”的风险评估，这些都影响到我国IT治理和信息系统风险控制的实施。

    随着企业经营管理活动对信息技术的高度依存，信息科技风险控制已成为企业风险管理的重要内容，并需要从战略的角度将信息系统与实现公司治理的总体目标紧密联系在一起。因此，需要解析企业信息系统风险评估的现状及存在的问题，并根据国际经验与我国实际情况进行差异性分析，找到我国企业信息系统风险评估的有效方法。

    3 风险评估流程分析

    企业信息系统风险评估的实施流程主要包括如下步骤：

    1）对信息系统风险战略进行分析。

    企业首先应明确信息系统风险战略，并在内部进行发布，强调对信息安全的支持与承诺，使其与企业的发展相一致。

    信息系统风险评估必须对信息系统业务支持的可行性进行分析，了解技术发展的内外部状况和管理层对信息技术的支持度等实际状况，评价信息系统风险战略是否与业务发展战略相一致。

    信息系统风险战略及流程如图1所示，首先需要确定总风险和剩余风险；其次把确认的风险进行排序，建立战略风险和流程风险项目；最后确定流程执行的效力。

 图1 信息系统风险战略及流程

    2）对风险评估内容进行详细定义。

    建立信息系统风险评估范围的表格，如该项评估所包含的系统、人员、资源等。对信息系统的运行进行评估，如主机系统、硬件设备、人员管理、灾难备份、权限管理等。

    建立信息系统流程评估表格，如主流程、次流程、流程所对应的操作；流程中的主要固有风险、风险的控制手段等。

    3）明确审计的技术和步骤。

    确定信息系统审计需要使用的技术和技术使用的步骤，常用的测试技术有现场观察、访谈、审阅、再执行、知识评估等。

    4）出具审计报告。

    对信息系统进行测试后，出具评估报告。评估报告应包括信息系统的基本情况、面临的内外部风险、评估所发现的问题、对评估发现事项提出的建议。

    5）风险问题的跟踪和跟进。

    评估完成后，对发现的问题需根据问题的对象和重要性，提出相关报告并跟踪解决。

    4 结论

    将业务评估模型和技术评估模型相结合，建立一套基于信息系统风险评估评估模型与实施方法，可以避免传统评估模型应用在企业风险评估上的片面性。并通对企业的主要风险进行识别，发现控制缺陷、漏洞和以前从信息系统内部看不到的潜在风险，提出有效的解决方案，帮助企业建立健全内部控制机制，并根据业务发展的需要，明确信息化建设的目标和内容，不断调整现有的信息系统管理架构和流程，使其更好地服务于企业的生产经营管理。