董事文摘 第11期

开篇：润墨网以专业的文秘视角，为您筛选了一篇董事文摘 第11期范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

IT风险治理的意义，就在于通过人为的努力干预并可能把风险控制在可接受范围内，同时使其价值最大化。

无论是生态系统还是企业组织，都是盘根错节的。各种相关的因素互相交叉，既互相促进又互相克制。不管是基于哪一级的人，要想改变都会引起牵一发而动全身的剧烈动荡，处理不好，不但达不到目的，反而会使系统不稳定性瞬时加大，危及系统和个人。

企业的本质是利益相关者的契约集合体，利益相关者是所有那些在公司真正有某种形式的投资并且处于风险之中的人，包括股东、经营者、员工、债权人、顾客、供应商、竞争者、国家。由于契约的不完备性，使得利益相关者共同拥有企业的剩余索取权和剩余控制权，进而共同拥有企业的所有权。对所有权的拥有是利益相关者参与公司治理的基础，也是利益相关者权益得到应有保护的理论依据。

这些互相交叉又互相克制的利益相关者和资源构筑成了系统，是系统存在的主要组成部分。当然，它也不全是不利的，在于你有没有能力去驾驭它。用得好，它就为你添砖加瓦，用得不好就会被它困住了。一切取决于你。

――《IT风险治理：系统扩张与稳定的对抗》

在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略，企业战略也恰当利用信息技术。

信息安全已不只是人们传统意义上的安全，即添加防火墙或路由器等简单的设备就可保证安全，而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁，保障商务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和商务的回报。

信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制定不同的信息安全策略。例如，规模较小的组织单位可能只需一个信息安全策略，并适用于组织内所有部门、员工；而规模大的集团组织则需要制定一组信息安全策略文件，分别适用于不同的子公司或者分支机构。

信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内所有成员。同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊培训，以使信息安全方针真正根植于组织内所有员工的脑海并落实到实际工作中。

――《IT治理信息安全管理》

1．明确信息化建设的战略需求――业务战略需求和合法合规需求；2．构建和完善IT治理机制，提高信息技术的经营管理绩效；3．健全和完善激励机制，加强IT人才队伍建设；4明确信息化建设企业架构、战略规划和战略重点，加强lT战略管理，确保信息化建设的高效、可持续发展；5．加强信息技术成本管理，提高信息技术投资价值；6．加强IT风险治理，创造新的战略竞争机遇。

――《2006―2020年国家信息化发展战略》