CN109670315A - 信息科技风险智能管理方法、装置和计算机设备 - Google Patents
信息科技风险智能管理方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN109670315A CN109670315A CN201811341806.1A CN201811341806A CN109670315A CN 109670315 A CN109670315 A CN 109670315A CN 201811341806 A CN201811341806 A CN 201811341806A CN 109670315 A CN109670315 A CN 109670315A
- Authority
- CN
- China
- Prior art keywords
- risk
- information technology
- information
- value
- class value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Computing Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请揭示了一种信息科技风险智能管理方法、装置、计算机设备和存储介质,其中,方法包括:获取信息科技风险信息;根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控;判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息,从而实现了统一、标准地管理信息科技风险,实现了风险管理过程的优化。
Description
技术领域
本申请涉及到计算机领域,特别是涉及到一种信息科技风险智能管理方法、装置、计算机设备和存储介质。
背景技术
现有技术没有整体的信息科技风险管理系统,分散管理信息科技风险时采用的标准不一致,不利于风险管控。当前对于信息科技风险,一般是将其散落在各个不同的系统里,从而管理不同的科技风险,例如采购系统管理外包风险,信息安全系统管理安全风险,运维系统管理运维事件,且标准都不一致,没有整体的信息科技风险管理系统。因此,现有技术没有统一、标准且有效的信息科技风险智能管理方法。
发明内容
本申请的主要目的为提供一种信息科技风险智能管理方法、装置、计算机设备和存储介质,从而实现了统一、标准地管理信息科技风险。
为了实现上述发明目的,本申请提出一种信息科技风险智能管理方法,包括:
获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;
根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;
根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;
对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。
判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
进一步地,所述根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值的步骤,包括:
从所述信息科技风险信息中获取所述风险发生可能性值与风险影响程度值;
采用公式:风险等级值=风险发生可能性值×风险影响程度值,计算出所述风险等级值。
进一步地,所述根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:
根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险;
根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施。
进一步地,所述根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险的步骤,包括:
将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比,其中所述第一风险等级值阈值小于所述第二风险等级值阈值;
若所述风险等级值低于所述第一风险等级值阈值,将所述信息科技风险分级为低风险;
若所述风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值,将所述信息科技风险分级为中风险;
若所述风险等级值高于或等于第二风险等级值阈值,将所述信息科技风险分级为高风险。
进一步地,所述根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:
若所述分级结果是高风险,则采取风险降低的处置措施;
若所述分级结果是中风险,则采取风险规避或者风险转移的处置措施;
若所述分级结果是低风险,则采取风险接受的处置措施。
进一步地,所述若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的步骤之后,包括:
判断整改后的所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
若整改后的所述信息科技关键风险指标不大于预设的信息科技关键风险指标阈值,则确定整改有效。
进一步地,所述判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值的步骤之后,包括:
生成信息科技风险展示表格,所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值。
本申请提供一种信息科技风险智能管理装置,包括:
信息科技风险信息获取单元,用于获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;
风险等级值获取单元,用于根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;
处置措施采取单元,用于根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;
监控单元,用于对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。
信息科技关键风险指标阈值判断单元,用于判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
整改信息发送单元,用于若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
本申请还提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
本申请的信息科技风险智能管理方法、装置、计算机设备和存储介质,采用获取风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施,判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值,若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的方法,解决了统一、标准地管理信息科技风险的技术问题。
附图说明
图1为本申请一实施例的信息科技风险智能管理方法的流程示意图;
图2为本申请一实施例的信息科技风险智能管理装置的结构示意框图;
图3为本申请一实施例的计算机设备的结构示意框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本申请实施例提供一种信息科技风险智能管理方法,包括步骤:
S1、获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;
S2、根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;
S3、根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;
S4、对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。
S5、判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
S6、若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
如上述步骤S1所述,获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值。其中,信息科技风险是指公司在运用信息科技的过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险识别是进行信息科技风险评估的基础,通过风险识别帮助公司管理层与信息科技风险管理人员了解分布在各个信息科技管理流程与技术领域中,可能给公司的业务运营与日常管理带来影响的信息科技风险。其中,信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值。“风险发生可能性值”的赋值范围可为任意可行范围,优选[1-5]中的整数。其中“风险影响程度值”是通过对风险发生后给公司在业务运营的影响大小进行赋值,赋值越高表示风险影响程度越大,赋值越低表示风险影响程度越小;“风险影响程度值”的赋值范围可为任意可行范围,优选[1-5]中的整数。
在此举例说明:以所述信息科技风险为遭受黑客攻击而泄漏信息的风险为例,则所述信息科技风险信息则指遭受黑客攻击的相关信息,所述相对应的风险发生可能性值指遭受黑客攻击而泄漏信息的可能性程度数值,所述风险影响程度值指遭受黑客攻击而泄漏信息对公司造成影响的程度数值。
获取信息科技风险信息包括:通过查询信息科技风险库获取,或者接收通过工作人员进行信息科技风险识别得到的信息科技风险信息。
其中接收通过信息科技风险识别得到的信息科技风险信息包括:
1、接收收集监管机构发布的监管要求和风险提示后识别出的信息科技风险;
2、接收归纳公司风险事件后识别出的信息科技风险;
3、接收内外部审计和检查发现后识别出的信息科技风险,例如:整理监管机构、第三方机构、审计局,以及外部审计机构提出的检查和审计发现,加强与监管机构、第三方机构、审计局、外部审计机构的沟通;
4、接收根据公司工作人员实际工作经验进行风险识别得到的信息科技风险。
信息科技风险例如:信息科技管理中存在管理漏洞;信息安全管理中有信息泄漏的风险等。进一步地,还可以包括:将获取的信息科技风险信息按信息技术业务和/或信息科技风险分类。其中信息技术业务是指在整个信息技术生命周期的各个阶段,包括需求、开发、测试、上线、运维等。信息科技风险分类是指银监会发布的商业银行信息科技风险管理指引里规定的风险分类,包括信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计等。
如上述步骤S2所述,根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值。信息科技风险计量是指对已识别的信息科技风险进行评级的过程,以便于比较不同信息科技风险的等级高低,为明确后续风险处置的优先级别奠定基础,突出需要重点关注、及时处置的信息科技风险。
在识别出信息科技风险的基础上,对不同的信息科技风险进行风险计量以得出风险等级值,从而将不同的信息科技风险面临的信息科技风险程度数值化。具体计量公式为:风险等级值=风险发生可能性值×风险影响程度值。其中“风险发生可能性值”是指通过对已识别风险的发生可能进行赋值,赋值越高表示风险发生可能性越高,赋值越低表示风险发生可能性越低;可通过统计风险以往发生次数,协助判断风险在未来发生的可能性高低;以往风险发生次数越多代表此风险在未来的发生可能性越高;“风险发生可能性值”的赋值范围可为任意可行范围,优选[1-5]中的整数。其中“风险影响程度值”是通过对风险发生后给公司在业务运营的影响大小进行赋值,赋值越高表示风险影响程度越大,赋值越低表示风险影响程度越小;“风险影响程度值”的赋值范围可为任意可行范围,优选[1-5]中的整数。
进一步地,除了采用计量公式为:风险等级值=风险发生可能性值×风险影响程度值的方式外,风险计量的方法还可以采用其他任意可行来确认。
如上述步骤S3所述,根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施。信息科技风险处置是指综合平衡信息科技风险带来的后果和影响,以及风险处置所需的成本,针对不同风险确定相应的风险处置策略,采取有针对性的控制措施并有效实施的过程。
通过前述内容,已经知道不同的信息科技风险具体的风险等级值,从而区分出高低风险。信息科技风险处置优选从高风险的信息科技风险开始。信息科技风险处置策略包括风险规避、风险降低、风险转移和风险接受等形式。具体的信息科技风险处置策略可以结合识别出的风险发生可能性、影响程度以及成本收益等因素来确定。对于高风险的信息科技风险,一般采用风险降低的方式,也可以采用风险规避、风险转移的方式来管控风险,在特殊情况下也可以采用风险接受的形式。对于低风险的信息科技风险,在综合风险发生可能性、影响程度以及成本收益等因素后,可以采用风险接受的形式,例如风险发生可能性、影响程度都为1的信息科技风险的风险度极低,采取风险降低的成本过高,因此一般选择风险接受的处置策略。对于中风险的信息科技风险,一般采用风险降低的风险处置措施,也可以采用风险规避、风险转移和风险接受等形式。
如上述步骤S4所述,对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。信息科技风险监控是指通过对设定的信息科技关键风险指标进行定期、连续的监控,及时发现、掌握监控指标的变化对信息科技风险影响程度的活动。一旦发现信息科技风险变化高于可接受水平,及时进行风险处置,使之始终保持在可接受的区间范围内。其中,信息科技关键风险指标是指能代表公司信息科技风险水平变化情况并可定期监测的统计指标。指标设置根据监控的内容确定,例如系统被攻击次数、硬盘容量超过一定比例等。指标内容可以涵盖信息科技风险全部领域。
进一步地,风险监控为自动化操作,即系统自动化采集监控的指标数据,得到具体信息科技关键风险指标。
如上述步骤S5所述,判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值。所述信息科技关键风险指标阈值是用于判断风险是否能被接受的阈值。例如当以系统被攻击次数为信息科技关键风险指标时,可设相应的信息科技关键风险指标阈值为5次/月。
如上述步骤S6所述,若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。若通过风险监控发现信息科技关键风险指标大于或等于信息科技关键风险指标阈值,说明当前的风险处置策略不当,导致风险过大,需要调整风险处置策略。例如信息科技关键风险指标包括系统被攻击次数,信息科技关键风险指标阈值为5次/月,当发现系统被攻击次数为10次/月时,可认定风险过大,应进行整改,进而发送信息科技风险整改信息给相应的工作人员。
一个实施方式中,所述根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值的步骤S2,包括:
S201、从所述信息科技风险信息中获取所述风险发生可能性值与风险影响程度值;
S202、采用公式:风险等级值=风险发生可能性值×风险影响程度值,计算出所述风险等级值。
如上所述,实现了获取风险等级值。本实施方式采用计量公式为:风险等级值=风险发生可能性值×风险影响程度值。其中“风险发生可能性值”是指通过对已识别风险的发生可能进行赋值,赋值越高表示风险发生可能性越高,赋值越低表示风险发生可能性越低;可通过统计风险以往发生次数,协助判断风险在未来发生的可能性高低;以往风险发生次数越多代表此风险在未来的发生可能性越高;“风险发生可能性值”的赋值范围可为任意可行范围,优选[1-5]中的整数。其中“风险影响程度值”是通过对风险发生后给公司在业务运营的影响大小进行赋值,赋值越高表示风险影响程度越大,赋值越低表示风险影响程度越小;“风险影响程度值”的赋值范围可为任意可行范围,优选[1-5]中的整数。
一个实施方式中,所述根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施的步骤S3,包括:
S301、根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险;
S302、根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施。
如上所述,实现了对所述信息科技风险采取相应的信息科技风险处置措施。其中分级规则包括利用风险等级值与预定阈值进行比较,从而将所述信息科技风险分级为高风险、中风险或者高风险。或者,也可以通过查询风险等级查询表进行分级:
风险等级查询表
据此,获得风险等级。并可以根据风险等级是高风险、中风险或者高风险,相应采取措施。
一个实施方式中,所述根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险的步骤S301,包括:
S3011、将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比,其中所述第一风险等级值阈值小于所述第二风险等级值阈值;
S3012、若所述风险等级值低于所述第一风险等级值阈值,将所述信息科技风险分级为低风险;
S3013、若所述风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值,将所述信息科技风险分级为中风险;
S3014、若所述风险等级值高于或等于第二风险等级值阈值,将所述信息科技风险分级为高风险。
如上所述,实现了风险分级。具体地,若采用计量公式为:风险等级=风险发生可能性×风险影响程度来计量风险等级值,则设置第一风险等级值阈值与第二风险等级值阈值,当风险的风险等级值低于第一风险等级值阈值时将其定为低风险;当风险的风险等级值高于或等于第二风险等级值阈值时将其定为高风险;当风险的风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值时将其定为中风险。其中第一风险等级值阈值与第二风险等级值阈值可根据实际需要设置,例如可设第一风险等级值阈值与第二风险等级值阈值分别为4与12。
本实施方式中,采用了同时将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比的方式,以获知所述风险等级值处于哪个区间,从而可以仅通过一个步骤就获知对应的风险分级情况,相对于依次比较第一风险等级值阈值及第二风险等级值阈值,省略了步骤,具有高效快速的技术效果。
一个实施方式中,所述根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施的步骤S302,包括:
S3021、若所述分级结果是高风险,则采取风险降低的处置措施;
S3022、若所述分级结果是中风险,则采取风险规避或者风险转移的处置措施;
S3023、若所述分级结果是低风险,则采取风险接受的处置措施。
如上所述,对所述信息科技风险采取相应的信息科技风险处置措施。信息科技风险处置优选从高风险的信息科技风险开始。信息科技风险处置策略包括风险规避、风险降低、风险转移和风险接受等形式。具体的信息科技风险处置策略可以结合识别出的风险发生可能性、影响程度以及成本收益等因素来确定。对于高风险的信息科技风险,一般采用风险降低的方式,也可以采用风险规避、风险转移的方式来管控风险,在特殊情况下也可以采用风险接受的形式。对于低风险的信息科技风险,在综合风险发生可能性、影响程度以及成本收益等因素后,可以采用风险接受的形式,例如风险发生可能性、影响程度都为1的信息科技风险的风险度极低,采取风险降低的成本过高,因此一般选择风险接受的处置策略。对于中风险的信息科技风险,一般采用风险降低的风险处置措施,也可以采用风险规避、风险转移和风险接受等形式。
在此举例,当信息科技风险为硬盘容量超过一定比例而使存储信息有丢失的风险时,若分级为高风险,则可以采用增加硬盘、或者更换更大容量硬盘的方式作为风险降低的处置措施;若分级为中风险,可以采用将重要信息转移至其他存储设备中、或者删除不重要信息以腾出容量的方式作为风险规避或者风险转移的处置措施;若分级为低风险,例如硬盘中没有重要信息,则认为可以接受该风险,从而不采取行动。
一个实施方式中,所述若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的步骤S6之后,包括:
S7、判断整改后的所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
S8、若整改后的所述信息科技关键风险指标不大于预设的信息科技关键风险指标阈值,则确定整改有效。
如上所述,确定整改是否有效。本实施方式中,通过监控整改后的信息科技关键风险指标是否仍大于或等于信息科技关键风险指标阈值;若否说明整改有效,风险处置策略得当;若是说明整改无效,风险处置策略失当,应重新调整风险处置策略。
一个实施方式中,所述判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值的步骤S5之后,包括:
S9、生成信息科技风险展示表格,所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值。
如上所述,生成信息科技风险展示表格。从而直观地将信息科技风险展示出来,便于工作人员阅读并进行相应的管理。其中所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值可以存储在数据库中,通过调取数据库数据的方式获取数据,从而生成信息科技风险展示表格。
本申请的信息科技风险智能管理方法,采用获取风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施,判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值,若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的方法,解决了统一、标准地管理信息科技风险的技术问题。
参照图2,本申请实施例提供一种信息科技风险智能管理装置,包括:
信息科技风险信息获取单元10,用于获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;
风险等级值获取单元20,用于根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;
处置措施采取单元30,用于根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;
监控单元40,用于对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。
信息科技关键风险指标阈值判断单元50,用于判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
整改信息发送单元60,用于若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
如上述单元10所述,获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值。其中,信息科技风险是指公司在运用信息科技的过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险识别是进行信息科技风险评估的基础,通过风险识别帮助公司管理层与信息科技风险管理人员了解分布在各个信息科技管理流程与技术领域中,可能给公司的业务运营与日常管理带来影响的信息科技风险。其中,信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值。“风险发生可能性值”的赋值范围可为任意可行范围,优选[1-5]中的整数。其中“风险影响程度值”是通过对风险发生后给公司在业务运营的影响大小进行赋值,赋值越高表示风险影响程度越大,赋值越低表示风险影响程度越小;“风险影响程度值”的赋值范围可为任意可行范围,优选[1-5]中的整数。
在此举例说明:以所述信息科技风险为遭受黑客攻击而泄漏信息的风险为例,则所述信息科技风险信息则指遭受黑客攻击的相关信息,所述相对应的风险发生可能性值指遭受黑客攻击而泄漏信息的可能性程度数值,所述风险影响程度值指遭受黑客攻击而泄漏信息对公司造成影响的程度数值。
获取信息科技风险信息包括:通过查询信息科技风险库获取,或者接收通过工作人员进行信息科技风险识别得到的信息科技风险信息。
其中接收通过信息科技风险识别得到的信息科技风险信息包括:
1、接收收集监管机构发布的监管要求和风险提示后识别出的信息科技风险;
2、接收归纳公司风险事件后识别出的信息科技风险;
3、接收内外部审计和检查发现后识别出的信息科技风险,例如:整理监管机构、第三方机构、审计局,以及外部审计机构提出的检查和审计发现,加强与监管机构、第三方机构、审计局、外部审计机构的沟通;
4、接收根据公司工作人员实际工作经验进行风险识别得到的信息科技风险。
信息科技风险例如:信息科技管理中存在管理漏洞;信息安全管理中有信息泄漏的风险等。进一步地,还可以包括:将获取的信息科技风险信息按信息技术业务和/或信息科技风险分类。其中信息技术业务是指在整个信息技术生命周期的各个阶段,包括需求、开发、测试、上线、运维等。信息科技风险分类是指银监会发布的商业银行信息科技风险管理指引里规定的风险分类,包括信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计等。
如上述单元20所述,根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值。信息科技风险计量是指对已识别的信息科技风险进行评级的过程,以便于比较不同信息科技风险的等级高低,为明确后续风险处置的优先级别奠定基础,突出需要重点关注、及时处置的信息科技风险。
在识别出信息科技风险的基础上,对不同的信息科技风险进行风险计量以得出风险等级值,从而将不同的信息科技风险面临的信息科技风险程度数值化。具体计量公式为:风险等级值=风险发生可能性值×风险影响程度值。其中“风险发生可能性值”是指通过对已识别风险的发生可能进行赋值,赋值越高表示风险发生可能性越高,赋值越低表示风险发生可能性越低;可通过统计风险以往发生次数,协助判断风险在未来发生的可能性高低;以往风险发生次数越多代表此风险在未来的发生可能性越高;“风险发生可能性值”的赋值范围可为任意可行范围,优选[1-5]中的整数。其中“风险影响程度值”是通过对风险发生后给公司在业务运营的影响大小进行赋值,赋值越高表示风险影响程度越大,赋值越低表示风险影响程度越小;“风险影响程度值”的赋值范围可为任意可行范围,优选[1-5]中的整数。
进一步地,除了采用计量公式为:风险等级值=风险发生可能性值×风险影响程度值的方式外,风险计量的方法还可以采用其他任意可行来确认。
如上述单元30所述,根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施。信息科技风险处置是指综合平衡信息科技风险带来的后果和影响,以及风险处置所需的成本,针对不同风险确定相应的风险处置策略,采取有针对性的控制措施并有效实施的过程。
通过前述内容,已经知道不同的信息科技风险具体的风险等级值,从而区分出高低风险。信息科技风险处置优选从高风险的信息科技风险开始。信息科技风险处置策略包括风险规避、风险降低、风险转移和风险接受等形式。具体的信息科技风险处置策略可以结合识别出的风险发生可能性、影响程度以及成本收益等因素来确定。对于高风险的信息科技风险,一般采用风险降低的方式,也可以采用风险规避、风险转移的方式来管控风险,在特殊情况下也可以采用风险接受的形式。对于低风险的信息科技风险,在综合风险发生可能性、影响程度以及成本收益等因素后,可以采用风险接受的形式,例如风险发生可能性、影响程度都为1的信息科技风险的风险度极低,采取风险降低的成本过高,因此一般选择风险接受的处置策略。对于中风险的信息科技风险,一般采用风险降低的风险处置措施,也可以采用风险规避、风险转移和风险接受等形式。
如上述单元40所述,对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。信息科技风险监控是指通过对设定的信息科技关键风险指标进行定期、连续的监控,及时发现、掌握监控指标的变化对信息科技风险影响程度的活动。一旦发现信息科技风险变化高于可接受水平,及时进行风险处置,使之始终保持在可接受的区间范围内。其中,信息科技关键风险指标是指能代表公司信息科技风险水平变化情况并可定期监测的统计指标。指标设置根据监控的内容确定,例如系统被攻击次数、硬盘容量超过一定比例等。指标内容可以涵盖信息科技风险全部领域。
进一步地,风险监控为自动化操作,即系统自动化采集监控的指标数据,得到具体信息科技关键风险指标。
如上述单元50所述,判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值。所述信息科技关键风险指标阈值是用于判断风险是否能被接受的阈值。例如当以系统被攻击次数为信息科技关键风险指标时,可设相应的信息科技关键风险指标阈值为5次/月。
如上述单元60所述,若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。若通过风险监控发现信息科技关键风险指标大于或等于信息科技关键风险指标阈值,说明当前的风险处置策略不当,导致风险过大,需要调整风险处置策略。例如信息科技关键风险指标包括系统被攻击次数,信息科技关键风险指标阈值为5次/月,当发现系统被攻击次数为10次/月时,可认定风险过大,应进行整改,进而发送信息科技风险整改信息给相应的工作人员。
一个实施方式中,所述风险等级值获取单元20,包括:
风险发生可能性值与风险影响程度值啊获取子单元,用于从所述信息科技风险信息中获取所述风险发生可能性值与风险影响程度值;
风险等级值计算子单元,用于采用公式:风险等级值=风险发生可能性值×风险影响程度值,计算出所述风险等级值。
如上所述,实现了获取风险等级值。本实施方式采用计量公式为:风险等级值=风险发生可能性值×风险影响程度值。其中“风险发生可能性值”是指通过对已识别风险的发生可能进行赋值,赋值越高表示风险发生可能性越高,赋值越低表示风险发生可能性越低;可通过统计风险以往发生次数,协助判断风险在未来发生的可能性高低;以往风险发生次数越多代表此风险在未来的发生可能性越高;“风险发生可能性值”的赋值范围可为任意可行范围,优选[1-5]中的整数。其中“风险影响程度值”是通过对风险发生后给公司在业务运营的影响大小进行赋值,赋值越高表示风险影响程度越大,赋值越低表示风险影响程度越小;“风险影响程度值”的赋值范围可为任意可行范围,优选[1-5]中的整数。
一个实施方式中,所述处置措施采取单元30,包括:
分级子单元,用于根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险;
处置措施采取子单元,用于根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施。
如上所述,实现了对所述信息科技风险采取相应的信息科技风险处置措施。其中分级规则包括利用风险等级值与预定阈值进行比较,从而将所述信息科技风险分级为高风险、中风险或者高风险。或者,也可以通过查询风险等级查询表进行分级:
风险等级查询表
据此,获得风险等级。并可以根据风险等级是高风险、中风险或者高风险,相应采取措施。
一个实施方式中,所述分级子单元,包括:
对比模块,用于将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比,其中所述第一风险等级值阈值小于所述第二风险等级值阈值;
低风险分级模块,用于若所述风险等级值低于所述第一风险等级值阈值,将所述信息科技风险分级为低风险;
中风险分级模块,用于若所述风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值,将所述信息科技风险分级为中风险;
高风险分级模块,用于若所述风险等级值高于或等于第二风险等级值阈值,将所述信息科技风险分级为高风险。
如上所述,实现了风险分级。具体地,若采用计量公式为:风险等级=风险发生可能性×风险影响程度来计量风险等级值,则设置第一风险等级值阈值与第二风险等级值阈值,当风险的风险等级值低于第一风险等级值阈值时将其定为低风险;当风险的风险等级值高于或等于第二风险等级值阈值时将其定为高风险;当风险的风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值时将其定为中风险。其中第一风险等级值阈值与第二风险等级值阈值可根据实际需要设置,例如可设第一风险等级值阈值与第二风险等级值阈值分别为4与12。
本实施方式中,采用了同时将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比的方式,以获知所述风险等级值处于哪个区间,从而可以仅通过一个步骤就获知对应的风险分级情况,相对于依次比较第一风险等级值阈值及第二风险等级值阈值,省略了步骤,具有高效快速的技术效果。
一个实施方式中,所述处置措施采取子单元,包括:
高风险处置模块,用于若所述分级结果是高风险,则采取风险降低的处置措施;
中风险处置模块,用于若所述分级结果是中风险,则采取风险规避或者风险转移的处置措施;
低风险处置模块,用于若所述分级结果是低风险,则采取风险接受的处置措施。
如上所述,对所述信息科技风险采取相应的信息科技风险处置措施。信息科技风险处置优选从高风险的信息科技风险开始。信息科技风险处置策略包括风险规避、风险降低、风险转移和风险接受等形式。具体的信息科技风险处置策略可以结合识别出的风险发生可能性、影响程度以及成本收益等因素来确定。对于高风险的信息科技风险,一般采用风险降低的方式,也可以采用风险规避、风险转移的方式来管控风险,在特殊情况下也可以采用风险接受的形式。对于低风险的信息科技风险,在综合风险发生可能性、影响程度以及成本收益等因素后,可以采用风险接受的形式,例如风险发生可能性、影响程度都为1的信息科技风险的风险度极低,采取风险降低的成本过高,因此一般选择风险接受的处置策略。对于中风险的信息科技风险,一般采用风险降低的风险处置措施,也可以采用风险规避、风险转移和风险接受等形式。
在此举例,当信息科技风险为硬盘容量超过一定比例而使存储信息有丢失的风险时,若分级为高风险,则可以采用增加硬盘、或者更换更大容量硬盘的方式作为风险降低的处置措施;若分级为中风险,可以采用将重要信息转移至其他存储设备中、或者删除不重要信息以腾出容量的方式作为风险规避或者风险转移的处置措施;若分级为低风险,例如硬盘中没有重要信息,则认为可以接受该风险,从而不采取行动。
一个实施方式中,所述信息科技风险智能管理装置,包括:
信息科技关键风险指标阈值判断单元,用于判断整改后的所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
确定整改有效单元,用于若整改后的所述信息科技关键风险指标不大于预设的信息科技关键风险指标阈值,则确定整改有效。
如上所述,确定整改是否有效。本实施方式中,通过监控整改后的信息科技关键风险指标是否仍大于或等于信息科技关键风险指标阈值;若否说明整改有效,风险处置策略得当;若是说明整改无效,风险处置策略失当,应重新调整风险处置策略。
一个实施方式中,所述信息科技风险智能管理装置,包括:
信息科技风险展示表格生成单元,用于生成信息科技风险展示表格,所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值。
如上所述,生成信息科技风险展示表格。从而直观地将信息科技风险展示出来,便于工作人员阅读并进行相应的管理。其中所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值可以存储在数据库中,通过调取数据库数据的方式获取数据,从而生成信息科技风险展示表格。
本申请的信息科技风险智能管理装置,采用获取风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施,判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值,若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的方法,解决了统一、标准地管理信息科技风险的技术问题。
参照图3,本发明实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储信息科技风险智能管理方法所用数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种信息科技风险智能管理方法。
上述处理器执行上述信息科技风险智能管理方法,包括:获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
在一个实施方式中,所述根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值的步骤,包括:从所述信息科技风险信息中获取所述风险发生可能性值与风险影响程度值;采用公式:风险等级值=风险发生可能性值×风险影响程度值,计算出所述风险等级值。
在一个实施方式中,所述根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险;根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施。
在一个实施方式中,所述根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险的步骤,包括:将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比,其中所述第一风险等级值阈值小于所述第二风险等级值阈值;若所述风险等级值低于所述第一风险等级值阈值,将所述信息科技风险分级为低风险;若所述风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值,将所述信息科技风险分级为中风险;若所述风险等级值高于或等于第二风险等级值阈值,将所述信息科技风险分级为高风险。
在一个实施方式中,所述根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:若所述分级结果是高风险,则采取风险降低的处置措施;若所述分级结果是中风险,则采取风险规避或者风险转移的处置措施;若所述分级结果是低风险,则采取风险接受的处置措施。
在一个实施方式中,所述若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的步骤之后,包括:判断整改后的所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;若整改后的所述信息科技关键风险指标不大于预设的信息科技关键风险指标阈值,则确定整改有效。
在一个实施方式中,所述判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值的步骤之后,包括:生成信息科技风险展示表格,所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值。
本领域技术人员可以理解,图中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定。
本申请的计算机设备,采用获取风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施,判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值,若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的方法,解决了统一、标准地管理信息科技风险的技术问题。
本申请一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现信息科技风险智能管理方法,包括:获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控。判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
在一个实施方式中,所述根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值的步骤,包括:从所述信息科技风险信息中获取所述风险发生可能性值与风险影响程度值;采用公式:风险等级值=风险发生可能性值×风险影响程度值,计算出所述风险等级值。
在一个实施方式中,所述根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险;根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施。
在一个实施方式中,所述根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险的步骤,包括:将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比,其中所述第一风险等级值阈值小于所述第二风险等级值阈值;若所述风险等级值低于所述第一风险等级值阈值,将所述信息科技风险分级为低风险;若所述风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值,将所述信息科技风险分级为中风险;若所述风险等级值高于或等于第二风险等级值阈值,将所述信息科技风险分级为高风险。
在一个实施方式中,所述根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:若所述分级结果是高风险,则采取风险降低的处置措施;若所述分级结果是中风险,则采取风险规避或者风险转移的处置措施;若所述分级结果是低风险,则采取风险接受的处置措施。
在一个实施方式中,所述若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的步骤之后,包括:判断整改后的所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;若整改后的所述信息科技关键风险指标不大于预设的信息科技关键风险指标阈值,则确定整改有效。
在一个实施方式中,所述判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值的步骤之后,包括:生成信息科技风险展示表格,所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值。
本申请的计算机可读存储介质,采用获取风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施,判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值,若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的方法,解决了统一、标准地管理信息科技风险的技术问题。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种信息科技风险智能管理方法,其特征在于,包括:
获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;
根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;
根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;
对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控;
判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
2.根据权利要求1所述的信息科技风险智能管理方法,其特征在于,所述根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值的步骤,包括:
从所述信息科技风险信息中获取所述风险发生可能性值与风险影响程度值;
采用公式:风险等级值=风险发生可能性值×风险影响程度值,计算出所述风险等级值。
3.根据权利要求1所述的信息科技风险智能管理方法,其特征在于,所述根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:
根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险;
根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施。
4.根据权利要求3所述的信息科技风险智能管理方法,其特征在于,所述根据所述风险等级值,按预设的分级规则对所述信息科技风险进行分级,所述分级包括高风险、中风险和高风险的步骤,包括:
将所述风险等级值与第一风险等级值阈值及第二风险等级值阈值进行对比,其中所述第一风险等级值阈值小于所述第二风险等级值阈值;
若所述风险等级值低于所述第一风险等级值阈值,将所述信息科技风险分级为低风险;
若所述风险等级值高于或等于第一风险等级值阈值且低于第二风险等级值阈值,将所述信息科技风险分级为中风险;
若所述风险等级值高于或等于第二风险等级值阈值,将所述信息科技风险分级为高风险。
5.根据权利要求3所述的信息科技风险智能管理方法,其特征在于,所述根据所述分级结果,对所述信息科技风险采取相应的信息科技风险处置措施的步骤,包括:
若所述分级结果是高风险,则采取风险降低的处置措施;
若所述分级结果是中风险,则采取风险规避或者风险转移的处置措施;
若所述分级结果是低风险,则采取风险接受的处置措施。
6.根据权利要求1所述的信息科技风险智能管理方法,其特征在于,所述若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息的步骤之后,包括:
判断整改后的所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
若整改后的所述信息科技关键风险指标不大于预设的信息科技关键风险指标阈值,则确定整改有效。
7.根据权利要求1所述的信息科技风险智能管理方法,其特征在于,所述判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值的步骤之后,包括:
生成信息科技风险展示表格,所述信息科技风险展示表格包括所述信息科技风险信息、所述风险等级值、所述相应的信息科技风险处置措施、所述信息科技关键风险指标和信息科技关键风险指标阈值。
8.一种信息科技风险智能管理装置,其特征在于,包括:
信息科技风险信息获取单元,用于获取信息科技风险信息,所述信息科技风险信息包括与所述信息科技风险相对应的风险发生可能性值与风险影响程度值;
风险等级值获取单元,用于根据所述信息科技风险信息,采用预设的风险计量规则,获取所述信息科技风险信息的风险等级值;
处置措施采取单元,用于根据所述风险等级值,对所述信息科技风险采取相应的信息科技风险处置措施;
监控单元,用于对已采取相应的信息科技风险处置措施的信息科技风险进行信息科技风险监控,其中所述信息科技风险监控包括对信息科技关键风险指标进行监控;
信息科技关键风险指标阈值判断单元,用于判断所述信息科技关键风险指标是否大于预设的信息科技关键风险指标阈值;
整改信息发送单元,用于若大于预设的信息科技关键风险指标阈值,则发送信息科技风险整改信息。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811341806.1A CN109670315A (zh) | 2018-11-12 | 2018-11-12 | 信息科技风险智能管理方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811341806.1A CN109670315A (zh) | 2018-11-12 | 2018-11-12 | 信息科技风险智能管理方法、装置和计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109670315A true CN109670315A (zh) | 2019-04-23 |
Family
ID=66142477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811341806.1A Pending CN109670315A (zh) | 2018-11-12 | 2018-11-12 | 信息科技风险智能管理方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109670315A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110827032A (zh) * | 2019-09-26 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | 智能风控决策方法及系统、业务处理方法及系统 |
| CN112560028A (zh) * | 2020-12-24 | 2021-03-26 | 深圳昂楷科技有限公司 | 一种对关键文件防护的方法、装置和服务器 |
| CN118211824A (zh) * | 2024-03-12 | 2024-06-18 | 北京市科学技术研究院城市安全与环境科学研究所 | 基于分布式采集的科技成果风险预警设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060058186A (ko) * | 2004-11-24 | 2006-05-29 | 이형원 | 정보기술 위험관리시스템 및 그 방법 |
| US20120053982A1 (en) * | 2010-09-01 | 2012-03-01 | Bank Of America Corporation | Standardized Technology and Operations Risk Management (STORM) |
| CN107330579A (zh) * | 2017-05-26 | 2017-11-07 | 陈曦 | 一种hse风险分级管控系统 |
-
2018
- 2018-11-12 CN CN201811341806.1A patent/CN109670315A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060058186A (ko) * | 2004-11-24 | 2006-05-29 | 이형원 | 정보기술 위험관리시스템 및 그 방법 |
| US20120053982A1 (en) * | 2010-09-01 | 2012-03-01 | Bank Of America Corporation | Standardized Technology and Operations Risk Management (STORM) |
| CN107330579A (zh) * | 2017-05-26 | 2017-11-07 | 陈曦 | 一种hse风险分级管控系统 |
Non-Patent Citations (2)
| Title |
|---|
| 唱红涛;: "分行IT风险监控与评估平台", 中国金融电脑, no. 06, pages 32 - 35 * |
| 张红蕾 等: "浅议质量风险管理", 《才智》, pages 301 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110827032A (zh) * | 2019-09-26 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | 智能风控决策方法及系统、业务处理方法及系统 |
| CN110827032B (zh) * | 2019-09-26 | 2021-08-03 | 支付宝(杭州)信息技术有限公司 | 智能风控决策方法及系统、业务处理方法及系统 |
| CN112560028A (zh) * | 2020-12-24 | 2021-03-26 | 深圳昂楷科技有限公司 | 一种对关键文件防护的方法、装置和服务器 |
| CN118211824A (zh) * | 2024-03-12 | 2024-06-18 | 北京市科学技术研究院城市安全与环境科学研究所 | 基于分布式采集的科技成果风险预警设备 |
| CN118211824B (zh) * | 2024-03-12 | 2024-10-25 | 北京市科学技术研究院城市安全与环境科学研究所 | 基于分布式采集的科技成果风险预警设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2018229433B2 (en) | System for the measurement and automated accumulation of diverging cyber risks, and corresponding method thereof | |
| Baldwin et al. | Driving Priorities in Risk‐Based Regulation: What's the Problem? | |
| CN107784067B (zh) | 监察信息处理方法、装置、服务器和存储介质 | |
| US7693767B2 (en) | Method for generating predictive models for a business problem via supervised learning | |
| CN109670315A (zh) | 信息科技风险智能管理方法、装置和计算机设备 | |
| CN109146662A (zh) | 一种风险控制方法及装置 | |
| Correa-Henao et al. | Using interconnected risk maps to assess the threats faced by electricity infrastructures | |
| Yarovenko | Evaluating the threat to national information security | |
| CN109658050A (zh) | 一种工资报告的管理方法及设备 | |
| De et al. | Privacy risk analysis | |
| CN111709603A (zh) | 基于风控的服务请求处理方法、装置及系统 | |
| Simić-Draws et al. | Holistic and law compatible IT security evaluation: Integration of common criteria, ISO 27001/IT-Grundschutz and KORA | |
| CN109523124A (zh) | 资产数据处理方法、装置、计算机设备和存储介质 | |
| Kavun et al. | Estimation of the effectiveness and functioning of enterprises in boards of corporate security | |
| De et al. | Privacy harm analysis: a case study on smart grids | |
| CN108257018A (zh) | 再保系统的检测报告生成方法和装置 | |
| Budiarta et al. | Audit Information System Development using COBIT 5 Framework | |
| CN115564449A (zh) | 交易账户的风险管控方法、装置及电子设备 | |
| Touhiduzzaman et al. | A review of cybersecurity risk and consequences for critical infrastructure | |
| Woo et al. | Towards cyber security risks assessment in electric utility SCADA systems | |
| CN110147998A (zh) | 客户入网处理方法、装置、计算机设备及存储介质 | |
| CN110619511A (zh) | 电子票据处理方法、装置、可读存储介质和计算机设备 | |
| Horian et al. | Information security ensuring in the financial sector as part of the implementation of the National Program “Data Economy Russia 2024” | |
| Anderson et al. | An enterprise level security requirements specification model | |
| CN110210989A (zh) | 一种安全隐患报告系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |