过去,IT风险管理常被忽略或仅仅作为一个单纯的技术问题,但是,现在它已经成为组织治理的问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此,谨向上述人士推荐此书,相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。
以前,我们每个人面对的大多数风险通常都是局部的、个人性质的。随着时间的推移,新的技术不断地进入我们的生活,使我们面临的风险也变得越来越广泛。技术对我们的生活所产生的影响日渐加深。计算机—通讯系统现在已经触及我们日常生活的方方面面,不仅与民众的健康、安乐有关,也对机构、政府乃至于全球的环境都构成了影响。
遗憾的是,随着我们越来越依赖计算机和网络系统,我们要面对的相关风险不是在逐渐减小,而是在迅速增大。发展中的一些新的应用严重地依赖于某些自动化系统。对企业的需求而言,这些系统自身的确定性如何并不是完全透明的。加之没有系统化地考虑系统复杂性问题,使得某些系统变得越来越庞杂。系统中出现新的缺陷和弱点的速度似乎总是快于老问题的解决速度。对系统进行的恶意攻击也有增多的趋势。可以预想,我们将来重要的国家基础设施也将会以不同的方式依赖于信息技术—— 实际上是互相依赖。
通常,风险总是会出现在旁观者的眼里。风险常常会被当事者所轻视,甚至于完全被忽视。对于每一个从事风险管理、风险预防或者风险处置的人来说,对风险具有深入的理解是非常重要的。幸运的是《信息技术风险》这本书为不同背景的读者带来了有关信息技术风险的很多新颖的观点。在信息技术风险管理领域,这是迄今为止最重要、最实用而又最切合实际的一本书,对信息技术管理者而言更是如此。
这本书所体现的智慧在某些人看来可能仅仅是一些“常识”。但是,常识往往并不普通。回忆一下历史上曾经出现过的那些带有缺陷的系统,回想一下曾经出现过的滥用、人为错误、操作失误、环境风险、管理不善以及发生过的各种事故(Neumann,1995),我们可以发现,从常识上来看这些问题应该极为罕见,但现实却截然相反。业界普遍存在的一种现象是表现在系统管理和系统开发决策上的短视,常常忽略风险设施。造成的后果往往也是灾难性的—— 造成无可挽回的人身伤亡、巨大的经济损失以及秘密泄漏。
一个人所冒的风险对其他人来说也会是一场挑战。这本书为我们描述了可以彻底避免或者大幅减少上述错失的诸多选择。因为,重大的伤害一直伴随着计算机革命进程的始终。我本人希望读者能够仔细地阅读并留意作者的建议—— 相信通过持续不断地努力,我们能够避免再次遭受这些损失。当然,我们也不能指望采用一些简单的方法就能达到我们的目标,因为问题本身就非常复杂,问题的答案需要深思熟虑,需要谅解,需要远见,更需要大局观。请记住!避免风险没有容易的答案。对我们来说,风险总是如影随行。
把应对风险和“击鼓”相比较是个非常不同的视角—— “鼓声”是单音,而本书则是一部交响曲,所有的声音都会纠缠在一起发出共鸣。如果本书在使读者了解更多细节的同时还能看到这一幅巨大的图景,那么这就是它最大的贡献了。
Peter G. Neumann
加州,美国
2004年9月21日
(斯坦福研究院国际计算机科学实验室首席科学家,ACM风险论坛主持人,ACM通讯杂志的联合编辑)
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved