随着业务和技术的发展，信息技术风险也保持上升趋势。现有的信息技术风险管理方法无法应对一些新的风险。这促使理论研究机构和风险管理机构采取更先进的方法。信息技术风险管理框架和应对信息技术风险的最佳实践。这种变化体现在信息技术风险相关理论的发展过程中。一般来说，信息技术风险管理理论经历了技术导向、控制导向和风险导向三个阶段：

技术导向

20世纪90年代末至21世纪初，采用现代安全技术方法应对微观层面的信息技术风险，如计算机病毒防护、计算机网络防护、操作系统补丁管理和用户意识等。

控制方向

2002年至2009年，信息安全、审计等控制手段得到有效融合，以风险应对和控制提升为主，同时推进信息安全综合管理。

风险导向

2009年以来，以风险为导向的全面信息科技风险管理框架已经形成。从此，信息科技风险管理进入了以风险为导向的时代，并成为未来信息科技风险管理的发展趋势。

//

技术风险管理相关理论主要包括以下理论框架：

//

操作风险

管理架构

该框架以容忍度和风险控制矩阵为基础，利用损失事件、关键风险指标、操作风险自评估等多种工具的有效组合，共同识别、控制、监测风险发展趋势和控制效果，并被广泛使用。

风险信息技术

框架

该框架以风险为导向，明确了信息技术风险的分类，阐述了信息技术与企业全面风险管理的关系，强调信息技术风险管理与企业战略目标、全面风险管理的结合，充分利用全面风险管理。风险管理工作成果、组织架构及相关资源。

系列标准

该框架为信息技术风险评估提供了详细的流程，形成了完整的以风险为中心的评估控制体系。其特点是对信息安全控制类型提出了明确的分类标准。

框架

该框架试图客观地衡量信息系统的质量。它是一种完全面向控制的信息技术管理方法。它明确提出了风险和控制的分类方法，但没有过多考虑风险承受能力等因素。

科索企业

风险管理

该框架是一个集工具、技术和方法于一体的、面向控制的信息安全策略评估和规划框架。它是一个风险驱动的信息安全评估标准，代表了全面的风险管理理念。

上述主流风险管理框架的区别在于风险管理的全面性和信息技术覆盖的深度。在银行业实施信息科技风险管理的过程中，操作风险管理框架、Risk IT等多个管理框架具有很大的借鉴意义。

————

图/文/赵锁珠