基于IT治理的信息系統(tǒng)風險控制框架研究.pdf

1、近年來，隨著信息技術的快速發(fā)展，信息系統(tǒng)在各行各業(yè)中得到了廣泛應用。信息系統(tǒng)在給企業(yè)帶來了經濟效益的同時，與之相關的安全事件也在急劇增多。如何在應用信息化過程中更好的控制信息風險，成了企事業(yè)單位迫切需要解決的一個重要問題。
　　 IT治理的目的之一就是通過平衡信息技術和過程的風險，增加企業(yè)價值，確保實現(xiàn)企業(yè)目標。因而IT治理成為信息化建設和應用過程中非常重要的一項工作。其中針對信息系統(tǒng)的風險控制是IT治理過程中的一個重要部分，其

2、研究受到了越來越多的企事業(yè)單位的重視?；贗T治理的信息系統(tǒng)風險控制不僅能降低信息系統(tǒng)受到的風險危害，為企業(yè)信息化的應用保駕護航，同時，它還可以有效地利用信息技術和企業(yè)資源，實現(xiàn)企業(yè)的戰(zhàn)略目標。
　　 本文首先對信息系統(tǒng)風險進行了分析，查閱和分析了目前流行的IT治理標準及風險管理框架，對比分析了國際流行IT治理標準COSO的ERMF模型和COBIT模型特點。在此基礎上，以企業(yè)戰(zhàn)略目標為主導，以ERMF與COBIT框架為參考，將E

3、RMF的控制理論與COBIT的過程域結合起來，并引入系統(tǒng)審計的方式來監(jiān)控風險控制過程，構建了基于IT治理的層次風險控制框架ITG-HRCM；其次，針對國內企事業(yè)單位風險控制特征，基于信息系統(tǒng)的風險控制框架ITG-HRCM，結合一般風險管理過程(PDCA)，從戰(zhàn)略目標、風險評價和審計控制三個層次分別對風險控制過程進行了劃分，構建了信息系統(tǒng)風險控制過程HRCM-PDCA；再次，針對風險控制過程HRCM-PDCA的風險識別和評估，本文了研究探