互联网给我们带来便利的同时,网上行动的远程化以及互联网“无政府状态”,使得信息安全面临严峻的挑战,即使是一个中学生,通过黑客网站的简单培训,也能发起具有危害性的攻击。目前互联网上黑客网站已超过3万个,一些有影响力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏,造成许多商业网站、政府网站被入侵,大量网银用户网上银行存款被盗,许多敏感机密信息被泄露。
据统计去年产生的电脑病毒和木马的数量达到23万个,其中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒,直接及间接经济损失高达亿元以上。
IT绩效风险
国内在信息与信息系统上的投资规模与成本都在不断扩大,高投入带来了高风险。根据商务部研究院信息咨询中心提供的数据,2005年我国在信息化改造提升方面的投入达到了2829亿,2006年是3227亿元,预计2007年将达到4236亿元。从2005到2007年中国行业信息化投入的绝对增加额将达到 1300亿以上,未来几年行业信息化IT投入将进入了高增长期。如果IT投资行为如果不能带来合理的回报,将使组织面临巨大风险。这几年国内信息化失败的案例比比皆是,如果规划不当、控制不严,IT系统不能带来预期的业务价值,那么,巨额的信息化投入很可能造成新一轮的“投资黑洞”
IT绩效风险另一表现就是对IT的投资绩效和运行绩效不能进行有效测量。不能测量意味着无法了解当前IT系统的“健康状况”,就不能有效地发现存在的问题,并采取有针对性的改进措施。
合规性风险
由于IT在社会和经济生活越来越充当重要角色,国内外近年来出台了许多法律法规加强对IT的监管。
例如,2002年美国国会发布了《萨班斯—奥克斯利法案》,在这个法案中明确提出了所有上市公司都必须加强风险管理,建立有效的内部控制框架,以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制,中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国Financial Executive International组织对321个公司的调查显示,在一个规模比较大、年营业收入超过50亿美元的公司,建立此体系至少需要470万美元,维系其运转需要每年150万美元。
虽然萨班斯法没有直接明确对IT的要求,但企业在实施符合法案要求的内控过程时,发现IT方面的工作量竟然占到了40%以上,这是因为一方面IT要作为管理组织业务风险的工具与手段,例如,对财务应用系统的机密性、完整性控制,以及对业务交易信息的监督与数据采集都离不开IT系统;另一方面IT本身的风险,例如网络风险、系统风险、应用风险,也是萨班斯法关注的重要内容,特别是如何使已有的IT流程和应用系统中的控制符合萨班斯法的要求是CIO最为头痛的问题。
近年来,国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》,旨在为规范和加强对商业银行内部控制评价,督促商业银行建立内部控制体系,健全内部控制机制,保证商业银行稳健运行,其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》,直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。与此同时,其他行业监管部门也准备出台类似的风险管理措施。中国财政部于2006年1