ITRMS安全平台助力企业IT风险管控

随着信息技术的快速发展，高端软件与现代信息服务已经融入了政治、经济、社会、文化等各个领域，在金融、电信等高度依赖信息化的现代服务企业，深入推进网络信息安全保障体系建设及伴随企业内部控制规范出台而实行的安全合规性管理，已成为产业发展的必然趋势。

打造符合中国国情的IT GRC

从合规角度来看，近年来，公安部、国资委、银监会、证监会、保监会都曾专门过针对信息安全或科技风险管理的具有行业特色的法规或指引要求，体现出企业应对IT风险管理及合规要求的紧迫性和特殊性。同时，企业内部管理规范（被称为中国版“萨班斯法案”）对企业内部管理和风险防范提出了更加明确的要求，这极大推动了企业风险管理、合规管理类工具（IT GRC）的发展。针对这一市场，包括IBM、SAP、Oracle 、CA等在内的国外GRC解决方案提供商，包括德勤、普华永道等在内的咨询公司，以及慧点、用友、金蝶、浪潮等国内ERP厂商们都开始积极布局，GRC产业在国内迅速崛起。

实际上，IT GRC的概念并不新颖，作为一个早被业界认可的通用术语，GRC代表一种思想和理念，是企业逐渐从分散管理模式向跨业务单位、跨IT平台的集中模式发展，从而全面而高效地应对治理、风险管理和合规三个方面挑战的解决方案。而事实上，国外绝大多数IT GRC软件都不适合中国的管理模式与法律规范要求，国内企业亟待一款真正符合中国国情、技术管理方面都适合中国企业特点的全新产品。

上海安言信息技术有限公司是国内最早从事信息安全管理咨询的机构，由一批具有信息安全专业技能与管理实践经验的专家构成，在国内最早开展ISO27001、ISO20000、PCI等国际信息安全标准的咨询工作，先后完成了交通银行、农业银行、国家电网等大型企业的信息安全管理体系建设。

安言信息一直关注相关领域厂商和用户单位的市场动向。长期服务企业的过程中，安言发现企业迫切地需要将管理制度、流程等要求切实落实到日常工作中去，需要IT GRC工具进行支持。其决策层认为：国内IT GRC应用市场存在巨大的潜在，国内应有理由挺进这一蓝海、向“洋品牌”叫板。基于此，安言信息于2011年设计并实现了一套用于支撑企业、特别是银行金融企业的IT治理、合规与风险管理落地的平台化软件系统ITRMS。

IT GRC需求分析

在设计ITRMS之初，上海安言信息技术有限公司从技术层面、应用层面和合规角度对国内产品进行了周密分析，提出产品一定要有自己的特色，要有创新的风格，这是该产品开发的出发点和落脚点。

通常意义上，GRC应用或解决方案大都具备以下功能：定义企业风险与控制框架；设计风险管理流程；与ERP、SCM、CRM等系统对接，实现应用控制的自动监控；提供数据自动采集和智能分析；自动化系统审计测试；提供报表信息；提供其他附加功能，如身份管理、访问控制、流程控制、数据安全等控制措施。这些功能体现了GRC作为一种集中管理模式，对企业运营过程中各类风险进行集中监测、预警和控制，并与法律合规及审计进行紧密关联以提供管理层决策的设计思想。

尽管以各类GRC软件或解决方案为代表的产业发展已经风生水起，但作为其中非常重要的一支――IT GRC，却并不显山露水。

一方面，传统GRC应用更多是从企业EPM、ERP、CRM、SCM等管理模式中抽取、延伸并集成，侧重企业运营和财务，并不特别针对IT，其无论是管理模式、操作方式、结果展示还是知识系统，都没有考虑IT的特殊性。

另一方面，企业IT又面临极大的合规压力和操作风险，特别是一些极度依赖信息系统的行业或领域，如金融、电力、通信等，层出不穷的监管要求、屡屡发生的信息科技事故、“救火队员”一样尴尬的角色扮演，都使得企业IT急需在IT GRC方面找到更有针对性也更具实效的答案。

就风险管理来说，以银行金融业为例，无论《新巴塞尔资本协议》还是银监会《商业银行信息科技风险管理指引》，都强调对以信息科技风险为主体的操作风险的管理。信息科技风险，无论是从来源、范围、形态、特点还是影响上，都与战略风险、声誉风险、国家风险、法律风险、信用风险、市场风险、流动性风险等传统风险有着很大区别。

首先，信息科技风险存在于企业各个领域和层面，只要有信息或信息系统的存在，都涉及信息科技风险。

其次，信息科技风险有着明显的时间性，从信息系统规划、设计、运行、更新到报废，信息科技风险存在于信息系统的全生命周期。

另外，信息科技风险有人为和自然因素，也有管理和技术之别，从起因上表现出多源性。

此外，信息科技风险覆盖IT战略、IT治理、IT绩效、IT规划和架构、项目管理、系统开发、运营流程、基础设施、信息安全、业务连续性、外包管理等各个领域，具有形态的多样性。

最后，信息科技风险影响广泛，除信息系统外，还会对员工个人、业务运营、法律合规以及企业声誉造成直接影响。

近年来，公安部颁布的等级保护相关系列标准、银监会的《商业银行信息科技风险管理指引》、证监会的《证券期货业信息安全保障管理办法》、保监会的《保险公司信息系统安全管理指引》，都纷纷体现出企业应对IT风险管理及合规要求方面的特殊性。

IT GRC规划设计实施

通常来讲，IT GRC会出现两类情况：其一是以IT支持GRC，即基于IT来实施企业GRC，将GRC作为一个电子化的整合平台，这还是传统GRC概念；其二是针对IT实施GRC，即针对IT或在IT领域实施治理、风险管理和合规。我们在产品设计时特别强调后一种情况。

IT GRC作为针对企业IT治理、风险管理和合规管理的一整套解决方案，在规划设计和实施操作中必须要考虑以下三方面问题。

首先，IT GRC必须考虑到自上而下的治理问题。IT治理是企业治理在信息时代的重要发展，是描述企业是否采用有效机制，使得信息系统及IT应用能够完成企业赋予它的使命，同时平衡信息化过程中的风险，确保实现企业战略目标的过程。IT治理的使命在于：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，并适当管理与IT相关的各类风险。

其次，在统一的IT治理框架下，IT GRC必须建立起完备的IT风险管控机制，这是IT GRC最为核心的内容，具体包括：1）明确IT风险管理范围，构建IT风险库；2）建立IT风险管理流程，包括风险识别、风险评价、风险控制、风险监测等关键活动，同时确定识别时机和监测途径，确定风险偏好和可接受水平；3）参考监管要求和国际规范（如COSO-ERM、CobiT、ISO27001、ISO31000、RISK IT等）建立风险控制框架和基线；4）对风险进行持续监测；5）制定信息与沟通策略，建立风险报告机制。

另外，IT GRC在展示和报告方面需充分考虑IT法律合规方面的要求，一方面应建立合规管理框架，包括识别合规要求，评估合规现状，建立合规映射，落实合规责任，推动合规检查，提供合规报告等活动。另一方面，还应形成风险与合规的联动机制，确保任何风险监测或事故报告都能追溯到相关管理对象和合规要求，并能提供合规证据。

除上述三个大的方面，IT GRC还应建立支撑相关工作的流程操作和运行保障机制，并尽可能与企业信息系统和应用进行关联，最终实现信息科技风险和合规的全过程与实时性管理。

先进的IT GRC管理理念要想在企业中得到实践，并有针对性地为企业服务，咨询是其中的重要一环；企业信息安全与IT治理咨询服务是GRC理念在实际企业中的个性化实践。

安言ITRMS助力企业实现IT GRC

安言ITRMS是一个集合规管理、人员管理、风险管理、制度（体系文件）管理、流程管理、意识提升、安全检查、绩效评价、报告管理、知识管理等功能的全面的、可扩展的IT GRC应用平台。其面向包括高级管理层、风控部门、合规部门、审计部门、IT部门、安全管理部门等在内的企业各个领域，以IT风险库为基础，通过持续的IT风险监测和联动机制，实现IT全生命周期的风险管理，并将人员职责、制度规范、操作流程、意识培训等日常控制工作融入其中。

借助该平台，企业围绕IT规范化管理开展的各项工作，特别是之前被广泛接受的基于ISO20000标准的IT服务管理体系、基于ISO27001标准的信息安全管理体系、基于CMMI的软件开发过程管理，以及基于BS25999标准的业务持续性管理体系，都可以进行有效整合并嵌入其中，从而改变以往各自为政分散式的管理模式，基于信息科技风险管理与合规这一核心思想，形成集中化的管理模式。

管理对象：ITRMS支持全面的IT风险库，各类IT风险就成为平台管理的对象。作为信息科技风险管理的配置基础，据此可呈现基于系统、运营业务、岗位或IT基础设施的风险视图。

驱动机制：ITRMS覆盖业务相关的信息全生命周期，从需求分析到系统开发、系统上线、运维支持，涵盖开发和运维部门，涉及企业内部管理和供应商管理，通过风险监测及预警来驱动整个风险管理过程。

控制功能：信息科技风险管理落实到位，体现在各种流程化的日常工作当中，如信息安全事件管理、日志集中管理、访问控制和权限管理、业务连续性预案演练等，所有这些可能嵌入在其他专用系统和应用中的控制流程，都可以与ITRMS进行接口，以便与风险联动。

支持保障：通过制度文件场所化、人员职责明确化、检查工作常态化、绩效评价可量化、培训推广多样化以及有效的知识管理，为信息科技风险管理提供支持保障，这也是传统信息安全及信息科技管理最事务性的日常工作。

内外呈现：信息科技风险管理需要对外合规、对内追责。一方面，通过即时呈现，提供合规报告，从容应对合规检查。另一方面，落实责任，追溯到人，可随时展示工作业绩。

具体实现上，ITRMS采用层次化的软件架构，各层之间关系松耦合，下层通过接口为上层提供服务，如下图所示。其中，基础设施层为平台提供支撑，驱动层控制业务逻辑的流转，业务层为平台提供管理所需要的基本功能，展示层提供各种对外视图。

ITRMS采用层次化的软件架构

实际上，通过ITRMS的规划设计和部署实施，企业可借此构建一个较为完整的信息科技风险和信息安全管理的工作流平台和知识管理系统，并形成企业内部一个专业化的PORTAL。

安言ITRMS软件一经推出就受到了国内越来越多的企业关注与应用，目前已经在中国银联、交通银行、太平保险等客户成功实施。通过ITRMS软件，企业将先进的管理理念传播到每一个业务环节，将企业管控体系进行固化，将企业运营状况和风险进行有效监控，保证企业的运营和管理合规性。ITRM软件有效地支撑了企业管控，向企业管理者和决策者快速、及时、便捷地展现了企业的IT管理和运营状态，从而有效提高业务响应速度、降低运营成本、降低运营风险、满足规范要求、提高企业IT管控和战略执行的效率和效果。

ITRMS软件从设计、开发到推向市场的成功，为上海软件产业高端产品的行列增添了一位“新成员”，为企业“转型提升”进入高端产品市场成功地跨出了一大步，为企业未来开发新的高端产品积累了经验，企业也从中获得了较好的经济效益和社会效益。