开篇案例
发布时间:2009年05月21日点击数: 作者: 来源:ITGOV中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
过去,IT风险管理常被忽略或仅仅作为一个单纯的技术问题,但是,现在它已经成为组织治理的问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此,谨向上述人士推荐此书,相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。

病毒攻击

2004年2月SCO集团的网站被Mydoom病毒作为目标,受到了拒绝服务攻击。Mydoom是有史以来传染最快的电子邮件蠕虫病毒之一。SCO网站完全拒绝访问,网址崩溃。SCO集团最终被迫更改了域名并迁移至新的IP地址。(AFR,2004b)

火灾

Bankstown市参议院市民中心被火灾损毁,总经理Mark Fitzgibbon完成了一份有关这次灾难的损毁、处置和教训的总结报告。我们择出信息技术相关的部分:

尽管我们还保留有物理数据文件,但问题是我们没有任何能运行这些数据的东西。我们的主机在火灾期间被水和烟尘毁坏了,这个地区也没有同类的机器能够读出和转换这些备份数据。实际上我们刚刚终止了从法国进口一台二手机!现在,我们不得不安装新的文件服务器来恢复保存在办公网里堆积如山的文字处理文档。
                                                                                                (Fitzgibbon,1998)

业务停顿

伦敦股票交易所的股票交易中断了近8个小时,起因是周三的计算机故障。周三是今年里最忙的一天……周三是税年截止日。由于数千个买卖股票的个体投资者要在这一天交纳资本增值税,所以通常也是交易所最繁忙的日子。但由于国税局表示不会由于交易计算机故障而将税年延长一天……交易所已经重开了和德意志证交所的联系,法兰克福金融交易所的操作员会尽可能地合并处理交易。
                                                                                                  (金融时报,2000)

断电

新西兰奥克兰中心商业区由于电力供应中断瘫痪了6周(新西兰商业委员会,1998)。起因是一条电力线路由于过载中断而引发周边线路断电,一直延伸到所有的电力线路,造成全网中断。如果没有后备发电能力立即提供电力的话,那么商业区内机构业务将无法延续。由于整个中心商务区内都没有电力供应,所以造成了发电设备的短缺。这个商业区的很多金融机构马上在机构内采用化整为零的做法继续为客户提供服务,其他的很多企业则是完全陷于停顿。

这个事件的长期影响则是另外一个完全不同的故事了。这种后备的服务提供方式持续数周以后,从远程提供服务变得日益艰难。新西兰的员工集中到了澳大利亚的悉尼,尽管悉尼同奥克兰处在不同的时区,但他们仍必须按照奥克兰的时间来工作。日常的常规事务比如汇率兑换、休假安排等等都变得非常繁琐、充满挑战。

在失去电力供应的初期,难题可能局限于照明、空调以及电梯设备,由于缺乏能源使职员安全性受到影响。但随着这种情形持续,后备供电设施对于维持关键业务运作与对客提供服务变得极为重要。由于计算机系统配备了UPS(不间断电源)保证了服务器正常运作,外部的重要通讯连接也保持畅通。很短时间过后,发电机需要投入运作来维持连续工作所需要的电力。因此,很快他们就从安全议题转向了服务交付的难题。

在制定信息技术战略规划时,通常都会找出公司的重要业务活动;确定信息技术为了支持和保障业务流程所应达到的支持水平;寻找机会使信息技术能更好地支持业务流程,使这些流程有更好的产出。

从信息技术战略角度看,信息技术能够对公司关键业务流程提供强有力的技术支持是件“好事”。因为这表明信息技术是和公司相关的。信息技术支持了公司的中心活动和核心功能。

但是,从业务连续性的角度看,业务对信息技术的依赖越深,那么一旦信息技术失效对业务流程造成的冲击也就越大。

本章将讨论在发展和实施信息技术服务连续性风险管理能力时应该考虑的因素。

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved