IT风险 基于IT治理的风险管理之道PDF电子书下载

第1章 风险无处不在 1

1.1 挑战 3

1.2 复杂性与缺陷 4

1.3 医治信息技术风险之症 8

1.3.1 信息技术治理 9

1.3.2 信息技术风险组合 11

第2章 信息技术治理架构 23

2.1 信息技术治理的目的与目标 24

2.2 信息技术治理的不同方法 26

2.2.1 公司治理视角 27

2.2.2 投资者视角 28

2.2.3 合规性视角 31

2.2.4 企业范围的风险管理视角 33

2.2.5 审计与控制视角 34

2.2.6 工程和系统视角 36

2.2.7 生命科学、生物学和生态学视角 38

2.2.8 企业的综合视角 39

2.3 建构企业的治理架构 40

2.3.1 治理流程与产出 40

2.3.2 治理结构和角色 42

2.4 设计与实施 43

2.4.1 信息技术治理模型和方法 44

2.4.2 使信息技术治理模型适用于企业 45

2.4.3 信息技术治理架构的实施 46

案例：Aventis——开发一个覆盖全企业范围的风险管理和业务连续性／灾难恢复计划 47

第3章 信息技术风险组合 51

3.1 信息技术风险组合导论 51

3.1.1 像管理其他业务风险一样管理信息技术风险 52

3.1.2 信息技术风险的一种组合 54

3.1.3 信息技术风险的分类 55

3.1.4 理解信息技术风险类之间的关系 59

3.1.5 信息技术风险的影响 64

3.1.6 信息技术失效的广泛影响 65

3.2 实现信息技术风险管理能力 66

3.2.1 战略与政策 67

3.2.2 角色和责任 68

3.2.3 流程与方法 70

3.2.4 人与效能 71

3.2.5 实施与改进 71

3.2.6 利器 72

3.3 健康检查 73

3.3.1 信息技术风险管理对你的业务重要吗 73

3.3.2 在做正确的事情吗 73

3.3.3 有好的跟踪记录吗 74

案例：欧洲港湾管理服务供应商——建立欧洲数据中心 74

第4章 项目 77

开篇案例 77

4.1 项目失败的影响 79

4.1.1 时间 80

4.1.2 功能和质量 81

4.1.3 费用 82

4.1.4 项目交付时的系统性的失败 82

4.2 风险的机构、流程及项目视角 84

4.2.1 为交付项目而管理机构 84

4.2.2 管理流程——多个并发IT项目的风险 85

4.2.3 管理项目——航行风险 86

4.2.4 决策与超时、功能及费用的控制 88

4.3 理解IT项目的风险因素 89

4.3.1 重大风险因素的管理 91

4.3.2 理解项目的“困难程度” 95

4.3.3 常被曲解的项目风险因素 96

4.3.4 可以选择的交付模式及其风险特征 99

4.3.5 开发之外——项目的保障和升级 100

4.4.1 产出物与可交付物 103

4.4.2 人员 103

4.4 保障交付方法论 103

4.4.3 方法与标准 104

4.5 识别、报告和管理项目风险 105

4.5.1 委员会的监管 106

4.5.2 另类的管理反应 106

4.5.3 在项目的每一步，要看什么 107

4.6 健康检查 111

4.6.1 对你的业务重要吗 111

4.6.2 在做正确的事情吗 111

4.6.3 有好的跟踪记录吗 111

案例：Agility——实施保障程序成功交付战略性的信息技术项目 112

第5章 信息技术服务 115

开篇案例 115

5.1 影响业务的信息技术服务失效 117

5.1.1 服务效能 117

5.1.2 完善的规划准则 118

5.1.3 危机与灾难 119

5.1.4 对信息资产的影响 119

5.1.5 管理系统失效 120

5.1.6 复杂的情境 120

5.2 规划与准备 121

5.2.1 业务影响分析 121

5.2.2 灾难规避与灾难恢复 122

5.2.3 保障级别 123

5.3 实现不间断的信息技术服务 125

5.3.1 制定预算 126

5.3.2 风险内容 127

5.3.3 能力设计 128

5.3.4 认同与偏好 128

5.3.5 效能指标 129

5.4 健康检查 130

5.4.2 在做正确的事情吗 131

5.4.3 有好的跟踪记录吗 131

5.4.1 对你的业务重要吗 131

案例：治安服务——制定一套灾难规避—灾难恢复战略 132

第6章 信息资产 133

开篇案例 133

6.1 信息资产的访问 135

6.2 信息资产损失的影响 136

6.2.1 排他性的丧失 136

6.2.2 信息资产为犯罪者带来的直接利益 136

6.2.3 时间、能力和良好的愿望 137

6.2.4 安全性丧失 137

6.3 信息资产退化的影响 138

6.3.1 你并不知道损失什么直到它真的发生 138

6.3.2 完整性丧失 139

6.3.3 修复的代价 140

6.3.4 机会成本 140

6.4.1 目标 141

6.4 安全的尺度 141

6.4.2 企业文化 145

6.4.3 信息资产安全的反证 146

6.5 实施信息资产管理 148

6.5.1 并未包含在信息资产管理中的ISO标准要素 149

6.5.2 信息资产管理的基础成分 151

6.6.1 对你的业务重要吗 159

6.6.2 在做正确的事情吗 159

6.6 健康检查 159

6.6.3 有好的跟踪记录吗 160

案例：投资管理——在分散的环境下交付安全性 160

第7章 信息技术服务供应商与销售商 163

开篇案例 163

7.1 服务供应商失效引致的风险 164

7.1.1 运营服务未能达到服务级别 166

7.1.2 未能满足合约或关系要求 166

7.1.3 未能交付项目服务 167

7.1.5 其他服务供应商风险 168

7.1.4 供应商无法坚持下去 168

7.1.6 几种不同的服务交付模式存在的风险 172

7.2 销售商失败引致的风险 174

7.2.1 产品支持失效 174

7.2.2 其他销售商风险 175

7.3 管理服务供应商风险 177

7.3.1 来源策略 178

7.3.2 预谈判 179

7.3.3 评估 180

7.3.4 谈判 180

7.3.5 转换 181

7.3.6 管理 181

7.3.7 总结／终止／重启 182

7.3.8 减小风险造成的影响 182

7.3.9 管理关系降低风险 185

7.4 管理多个信息技术服务提供商 187

7.4.1 切分信息技术服务“群组” 188

7.4.2 技术策略与来源策略相结合 189

7.4.3 端到端的流程衔接 190

7.5 信息技术服务供应上新兴来源风险 190

7.5.1 离岸来源 190

7.5.2 开放源码软件支持 191

7.6 健康检查 192

7.6.1 对你的业务重要吗 193

7.6.2 在做正确的事情吗 193

7.6.3 有好的跟踪记录吗 193

案例：金融服务——用低成本交付业务响应型的IT基础设施 194

第8章 应用 195

开篇案例 195

8.1 信息技术应用失效对业务构成的影响 196

8.1.1 连续性、纠错和容错 197

8.1.2 系统的背景和业务影响的延伸 198

8.1.3 当人同系统无法协调 199

8.1.4 当应用需要通讯并协同工作 200

8.2.1 巨大的关联性 202

8.2.2 巨大的复杂性 202

8.2 信息技术应用风险评估 202

8.2.3 特征化与增值 203

8.2.4 集成与协同 203

8.2.5 遗存的老式系统 204

8.3 信息技术应用风险分类 205

8.3.1 新的应用 205

8.3.2 打包软件 206

8.3.3 客户化方式开发的软件 208

8.4 软件资产与负债 209

8.4.1 掌控你的应用资产 209

8.4.2 把软件当作知识财产 209

8.4.3 软件版权 210

8.4.4 “不速之客”软件 211

8.5.2 概念和可行性 212

8.5 用生存周期的方法来管理风险 212

8.5.1 制定系统日程——策略、架构和规划 212

8.5.3 需求和方案架构 213

8.5.4 解决方案的建构、采购与集成 213

8.5.5 测试 214

8.5.6 实施 214

8.5.7 维护和改进系统 215

8.5.8 退役与除役 215

8.6 健康检查 216

8.6.1 对你的业务重要吗 216

8.6.2 在做正确的事情吗 216

8.6.3 有好的跟踪记录吗 216

案例：领先的自来水公司 217

第9章 基础设施 219

开篇案例 219

9.1.1 设施 220

9.1 信息技术基础设施失效如何影响你的业务 220

9.1.2 集中计算 221

9.1.3 分布式计算 223

9.1.4 数据网 224

9.1.5 语音网 225

9.1.6 行业相关的基础设施及其风险 225

9.2 信息技术基础设施的改进风险 226

9.2.1 把信息技术应用的特性移向基础设施层 226

9.2.2 基础设施市场的变化 227

9.2.3 为什么时机是重要的 227

9.2.4 新兴的使用模式及其风险考虑 228

9.3 向着“设置即忘”迈进 229

9.4 抗风险的基础设施转换 230

9.4.1 制定方向 231

9.4.2 按计划逐步推进，保证每一个步骤都能退回 231

9.5.2 在做正确的事情吗 232

9.5.1 对你的业务重要吗 232

9.5 健康检查 232

9.5.3 有好的跟踪记录吗 233

案例：GCHQ——设计并管理欧洲最复杂的信息技术部署 233

第10章 战略与新兴技术风险 235

开篇案例 235

10.1 信息技术无法支持业务战略的执行所造成的影响 236

10.1.1 功能退化 237

10.1.2 挑选一只杯子，任何杯子 237

10.1.3 差异性与标准化 238

10.1.4 无关信息技术 239

10.1.5 持久性 241

10.1.6 炫耀武力 241

10.2 通过信息技术支持业务变革提高股东价值 242

10.2.1 信息技术是不是业务 243

10.2.2 变革的促进者 244

10.2.3 引擎室效率 245

10.3 信息技术能力对业务能力的影响 246

10.3.1 信息技术：助推器还是制动器 246

10.3.2 新兴技术 247

10.3.3 交付 248

10.4 健康检查 248

10.4.1 对你的业务重要吗 249

10.4.2 在做正确的事情吗 249

10.4.3 有好的跟踪记录吗 249

案例：Egg——从基础设施的可靠性到系统交付和运营效能 250

第11章 信息技术与其他企业风险 251

11.1 将信息技术风险组合同其他类型的企业风险相关联 252

11.1.1 伴随着其他风险的信息技术风险评估 252

11.1.2 将风险管理的角色和责任相结合 255

11.1.3 团队集中努力的目标 256

11.1.4 银行业的操作风险 257

11.1.5 划分信息技术相关风险的风险 260

11.2 用信息技术支持基于风险的管理 262

11.2.1 连接在一起的机构（正在走向无线连接） 262

11.2.2 操作流程锁定 263

11.2.3 持续不断地监督 264

11.2.4 决策支持、风险分析和报告 264

11.3 信息技术风险管理依赖于广泛的企业能力 265

11.3.1人力资源管理 265

11.3.2 战略与规划 266

11.3.3 法律 267

11.3.4 财务管理 267

11.3.5 实体安全 268

11.4 结论 268

附录 总结检查清单 269

跋 注意防范和化解金融信息技术风险 277

中国IT治理智库系列丛书 285

参考文献 297