信息系统开发过程中的风险控制（4页）.pdf

在网络时代,信息系统就像现在的房子一样,随时可能受到攻击,同样需要各种措施以防止非法入侵。然而有个重要的问题就是,如果是等房子建好了,装修好,再加入预防措施,那最后房子已经不是你想的那样了,可能毁了它的美感,它的方便性,使你无法舒适的住进去。信息系统是为帮助人们处理、储存信息的工具。如果是先把系统设计好了,再去考虑它的安全性问题,这将会破坏整个系统的完整性,很可能因为时常需要修修补补给用户带来极大的麻烦。所以在整个系统的开发过程中,在经过规划、设计、维护等阶段组成的信息系统生命周期,都要有很强的安全意识和进行一定的风险控制。
1 　安全意识与风险控制
信息系统项目的开发,其成败很多时候不在与技术问题,而是在与管理问题。在许多的信息系统开发失败的教训中我们经常看到,其失败的主要原因、关键原因、最终原因都是在管理上出的问题。其中风险管理是管理上的一个重要环节。要降低信息系统的风险系数要有周全的安全决策和充分的安全意识,这是管理的一大问题。在整个开发过程,要随着时间的推移,进度的变化风险管理要随之变化。持续安全的关键在于建立一套对风险进行持续管理和控制的机制。一个信息系统的开发需要顾客、用户、设计人员和项目经理等参与者共同合作,每个参与者都要有一定的安全意识,并且带入并体现于信息系统中。安全意识的重要性还表现在实体的安全问题、操作的安全问题等,一般来说包括以下几方面: [ 1 ]
1)实体风险:信息系统的开发需要有一定的设备,存在于一定的物理环境中,必然受有可能受到各种人为或自然灾害,必然承担着一定的风险。管理者必须对此指定一系列风险控制的决策。每个参与者如果没充分的安全意识很可能带来灾难性的破坏。
2)系统风险:这方面是整个过程的主体。也是本文的主体。
3)人力风险:是指在信息系统开发过程人的控制。再如一个不好的环境或气愤,会给开发进程带来很大的阻碍。
4)数据风险:这里的数据不是指系统运行中面对的数据风险,而是开发过程中存在的数据风险。如测试数据 本身也可能是重要的情报,系统资源的丢失也会带来一定的破坏,所以也存在着风险。