堅實的IT運行平台是一組架構清楚的資訊技術與應用系統,具備良好的管理與充分的控制與支援能力,可以持續維持強大的運作效能,特性有:(1)必要的、標準化的基礎設施;(2)必要的、整合良好的應用系統;(3)持續一致的資料結構與流程定義的紀錄文件;(4)受控制的資料與應用系統使用權限;(5)具備應用系統及其技術知識、經驗的員工;(6)維持技術更新必要的安全升級程序。
少有企業在資訊系統建置時,即享有低風險的IT運行平台,整頓IT運行平台將是一段漫長與複雜的挑戰,不過此一工作除可降低風險外,亦可立即獲得財務上的效益,因為整頓工作將逐步產生簡化的、較低成本的、強固的IT運行環境,不僅減少IT費用支出,也更不易發生作業的錯誤,從而降低企業整體營運成本。
為使IT運行平台的整頓,不致影響正常業務的發展,整頓工作應按可最佳利用資源、人力與高層管理者的關注次序,逐步推行。根據實地調查結果發現,IT的4A風險管理項目依其相互間的影響與關聯性,可歸納出IT風險金字塔(IT Risk Pyramid),從底部往上依序是可用性(Availability)、取得性(Access)、正確性(Accuracy)、敏捷性(Agility),每一風險項目影響其上方的任一風險項目,其中可用性風險即是衝擊所有風險項目的最基本風險。由於採用多種多樣的技術,可用性風險增加;由於管理眾多繁雜系統使用授權的困難,取得性風險增加;由於人工介入整合跨系統間的資訊,正確性風險增加;由於系統難以擴充與轉換,敏捷性風險增加。
降低IT風險的最有效方式是依IT風險金字塔,自下而上逐層次解決風險議題項目,這也是影響組織運作最小且最簡單的方式,因為:(1)越下層的風險議題越容易被量化,越容易衡量解決風險的報酬率;(2)解決越下層的風險,越能立即獲得實際的財務回饋;(3)解決越高層的風險,越需要跨部門深入流程的變動,困難度大增;(4)IT部門對越底層的風險,越有完全控制的能力,可以快速有效地處理;(5)底層的風險項目未被解決前,高層的風險項目將無法完全解決;(6)自底層往上逐一處理IT風險項目是企業組織內部可共同接受的途徑。
整頓IT運行平台,解決IT風險金字塔所列之風險項目,具體的步驟為:
- 建立並測試業務持續計劃:業務持續管理(Business Continuity Management - BCM)是處理IT風險金字塔底層的可用性風險項目的基礎,也是揭露企業所面對的所有風險與弱點,並提供解決對策的根本機制。業務持續管理能力的建立程序有:(A)進行業務影響分析(Business Impact Analysis - BIA),辨識受影響業務流程的輕重緩急,並建立IT資產項目與業務流程對應清單;(B)建立應變計畫,內容涵蓋:災害類型、影響範圍等級、通報流程、人員編制、回復程序、備援服務水準等等;(C)實施並測試應變計畫,工作項目包括:配合應變計畫進行相關的業務與IT專案、建立應變措施的配合作業程序與基礎設施、訓練員工並至少每年進行一次應變演練等等。
- 實施查核並進行修補:有效修補企業IT運行平台風險漏洞的最重要因素是高層管理者的關注,以取得必要的資源與支持,進行各項安全保固工作。而徹底辨識出風險漏洞問題的方式,是由獨立公正的專家實施的IT系統與流程查核。外部稽核具備獨立公正的優勢;但內部稽核對企業組織的經驗與了解卻更為深入,在專案進行初期即參與,有助於風險防制。
- 依據標準實施控制程序:基於查核結果,實施控制程序,且以實施產業標準控制程序(ISO、COBIT、ITIL)為最佳,原因有:(A)可受益自其他實施機構的寶貴經驗;(B)易於進行施行績效的比較;(C)進行外部查核的成本較低。
沒有留言:
張貼留言