工作流信息管理中的风险管理

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

    一旦我们知道了自身的弱点，它就不再会伤害我们。
                                                     德国物理学家、哲学家G．C．(GeongChristoph)Lichtenberg(1742-1799)
    Charlie Moody宣布要开会了。会议室里坐满了开发人员、系统分析员、IT经理、商业用户以及电子商务经理。
    “各位，我们开始吧。欢迎参加SequentialLabelandSupply信息安全任务组的开幕典礼。这是我们新项目组的名称，今天讨论这个项目的目标，评估第一个工作计划。”
    “为什么邀请了这么多人?”销售经理问道，“IT部门的安全出问题了吗?”
    Charlie解释：“现在和过去不一样了，我们认为，信息安全就是管理使用自动系统的风险，这涉及到公司里的每个人。为了使OA系统更安全，需要所有部门的参与。”
    Charlie继续说，“我希望每个人都读了上个星期发下去的数据包，了解本行业的法律要求，看了有关威胁和攻击的背景文章。今天就开始识别和分类公司面临的所有信息技术风险。这包括破坏业务的各种事件，窃取和破坏数据的黑客等。对资产的风险进行了识别和分类后，再讨论如何进行控制，消除或减少这些风险。要进行什么控制，取决于每种控制的成本和收益。”
    “哦，Charlie，”坐在后面的AmyWindahl说，“这是肯定要做的。与在坐的各位一样，上次我也受到了攻击，但是我们有数百个供应商管理系统。”
    “可能有数干个系统呢，”Charlie接着说，“所以，这个工作组需要这么多人，而且包含每个部门的人员。”
    Charlie继续说：“好了，各位，请打开数据包，并拿出项目计划和工作流列表，上面列出了工作组、任务及时间表。在开始研究工作计划之前，还有什么问题吗?”
    学习目的：
    基于此材料，您应该能够：
    ● 定义风险管理、风险识别和风险控制
    ● 理解如何识别和评估风险
    ● 评估风险发生的可能性及其对机构的影响
    ● 通过创建风险评估机制，掌握描述风险的基本方法
    ● 描述控制风险的风险减轻策略
    ●   识别控制的类别
    ● 承认评估风险控制存在概念框架，并能清晰地阐述成本收益分析
    ● 理解如何维护风险控制