【摘要】信息科技日益普及的今天，企业的科技服务也如同企业的新生命线一样日复一日的支撑着各种业务的日常运转，业务一旦发生了重要性中断，不仅给客户带来了极大的不便，损害了客户对企业的信赖，降低了企业的信誉，也给企业带来了一定的经济损失。IT常青树今天将向大家介绍一般性的企业风险的来源和出处：

企业的科技风险的来源一般来说包含以下几个方面：

在安全意识方面

很多敏感信息的遗失和截取，往往是因为企业信息安全意识缺失所造成的，拥有信息的人员和使用信息的人员在很多无意识的活动中，就把企业的宝贵的、稀缺的，甚至是赖以生存的业务信息或者知识产权进行了泄密。经过蓄意的加工和交易，就演变成为影响企业声誉、经济和竞争力的重要生产资料。

在业务连续性管理方面

相关业务发生中断，难以在短时间内快速恢复，并采取有效的措施积极应对突发的事件，突出反应企业在业务连续性管理上的不足，具体可能体现在业务连续性计划、应急预案、应急资源、应急演练、灾难恢复及内部沟通和对外发布等环节存在执行不到位或者存在缺陷。其中任何一个环节的断层都可能导致业务难以及时恢复，加大了企业的损失，扩大了安全事件对企业的负面影响。

在信息科技建设管理方面

企业信息系统建设由很多个系统、模块、接口和团队构成，不同团队运用不同的方法协同合作，最终上系统上线运行，产生价值。但在系统的开发过程中，由于开发人员技能多样性、技能不足、经验溃泛、意识缺失导致了应用程序漏洞在所难免，同时从测试的角度，上线周期紧导致测试案例不完整、测试不充分等原因导致的安全漏洞未被监测出来也是造成开发安全风险的主要原因。这种漏洞被逐级的传递并暴露于生产环境，最终导致的风险发生。

在信息科技变更方面

企业信息系统多了其承担的责任也会越来越多，一方面业务部门越来越多的依赖于它们进行业务的操作和流程的系统，一方面也会因为业务需求的不断变化带来各个组件的修改和维护工作。安全事件大都发生在企业对其系统进行升级或变更之后，反映了企业在信息系统变更投产流程上的不足，具体可能体现在系统变更计划、系统变更测试、系统变更回退、系统发布及验收等存在缺陷。系统的变更缺少明确的计划、未进行彻底的测试、系统发布前未经过全面的验收和审核，都可能直接导致系统上线的失败，无法尽快有效地进行回退，保障业务的正常、稳定运行。

在信息科技运维管理方面

企业的IT运维都配备相应的监控系统来监控各种应用、主机、网络及存储等的状态，而且有专人负责。从系统故障的产生到处理的整个过程来看，也暴露了企业可能在信息科技运维管理上还不够完善，具体可能体现在系统可用性管理、服务水平管理、事件管理、监控管理上等存在缺陷。运维管理存在缺陷，使得系统中的故障难以被及时发现并采取有效措施，影响了系统的可靠性，降低了服务水平，放大了系统产生的风险。

在信息科技风险评估方面

可能在业务运营的监测机制及工具、运营中断事件的风险预警体系及信息科技风险的沟通上不够完善。在业务功能、关键资源、系统运行等发生重大变更时，无法监测信息科技风险发展趋势，预防信息科技风险事件的发生。在安全事件发生时，风险监控和预警业务条线部门与信息科技部门等相关部门之间缺乏信息沟通、风险提示，无法协同做好应急准备，将安全事件损失降低到最小。

在外包管理方面

一般性的企业信息服务范围很广，外包的分类和层次也是多样的，有的负责方案规划，有的负责软件开发，有的负责系统集成，有的负责服务运维，各方面的外包团队与内部团队紧密结合形成庞大的IT服务运转体系。从服务供应商的业务运行角度，其自身规模化发展和专业化发展需要借助于已有的经验进行业务开拓，同时也要提升某领域的资源复用率，这些都是有助于其积累经验、提高效率和增强营收的，但在与本企业进行合作是，就难免会有知识产权相关内容的相互博弈。

几年来，科技风险发生的案例层出不穷，已经给企业造成了造成的相当大的损害，而这其中直接性的损失是经济和声誉损失，而间接性的损失则包括时间被延误、修复的成本、可能造成的法律诉讼的成本、商业机会的损失等等。通过上述的常见风险来源的总结与分析，企业应当意识到从源头上开始加强风险管理工作，要通过加强信息科技的治理能力、提升信息技术服务水平和加强风险管理能力逐步避免和减弱风险的发生概率和影响度。

本文引自微信公众号IT常青树，欢迎订阅