来源:支点 更新时间:2012-04-14
随着近几年来计算机病毒的流行、黑客的猖狂,信息安全风险已被越来越多的企业所警惕,信息安全的重要性已得到普遍重视。虽然一些行业在一定程度上寻找到了一套行之有效的应对信息安全风险的方法,但在信息化的管理上仍存在一些“习惯性的违章”现象。如普通用户的机器上存放重要的基础数据,又未按规范的数据备份策略进行数据备份,这样既容易造成数据丢失,又容易发生数据泄漏。数据泄漏造成的损失,随数据对企业经营的影响而变化,数据损失的大小则随数据的完整性、数据的时间范围及业务的范围而产生相应的变化。不同的损失,应采用不同的风险应对策略。对于信息安全风险及其应对,现在有很多文章加以介绍,这里不再多说。这里要说的是,在企业信息化工作中,存在比信息安全风险影响更大的是其他四大风险。对这些风险,我们应正确认识。
信息化的风险首先是政策风险。政策风险是企业自身无法避免的,关键是制定政策的部门应该考虑到相关因素,并给出指导性的意见,以尽可能减少因为政策因素而产生的影响。
信息化的风险其次是规划风险。一些企业在建设企业信息化之前确实搞了信息化工作规划,但因为规划的水平与企业发展之间存在差异,导致前期投资方向的失误,从而引起信息化投资的浪费。规划风险可以通过一些方法减少损失,如通过请咨询公司等方法借助第三方的力量,能有效避免因为自身水平不足引起的规划失误;通过“分步实施,略有超前”的建设策略,可以减少一次性投资的损失;通过不断修订规划,能提高规划与企业发展战略之间的吻合程度,从而减轻差异的影响。特别要注意的是,如何兼顾现存的应用系统,开发一个新系统所花的成本可能并不大,但要收集原系统的原始数据,所花的成本可能要高于系统本身的开发费用。总之,规划风险可以通过企业自身的努力,得以避免或减轻,关键是企业要认识到规划存在的风险。
信息化的风险之三是技术风险。信息化的技术风险,主要是IT行业技术高速发展所带来的风险。IT行业技术日新月异,原来采用的先进设备三五年以后可能就不能满足新的应用要求,甚至不符合行业新的标准了,原生产厂商也不再生产,备品备件再难寻找,甚至原来的生产厂商也已不复存在。原来采用的操作系统、应用系统软件已成为过时产品,失去了普遍性,无法与新的技术形成无缝链接等等。这些技术的未来发展前景,在某种程度上很难预测,规避风险很难,无论是哪一个企业都无法从根本上解决。宜采用的办法是“逐步更新,持续改进”,这样能在一定程度上减少因系统突然变化所造成的巨大影响与损失,尤其是系统数据的不兼容所造成的损失。
信息化的风险之四是变革风险。企业自身的管理变革,也是信息化的重要风险源。由于企业的组织机构频繁变化,会导致一些应用系统开发项目的需求产生频繁变化,尽管现在的管理信息系统强调要能够适应企业自身的管理变革,但因为随机构的变动而产生的职责变化,会导致时间跨度较长的应用系统开发项目责任人产生变化,使项目成为“胡子工程”。很多时候,我们会把一个IT项目的“胡子工程”归罪于IT项目管理不到位,当然有这方面的原因,但企业自身的管理变革也是其中非常重要的一个因素。当今是管理不断创新与发展的时期,企业适应形势不断变革无可非议,关键是实施变革时要重视变革的风险,采取相应的策略,以避免因为管理变革对信息化工作造成巨大影响。