信息系統實施后的災難與風險防范

從康威電子的案例可以看出，企業完整的數據為企業減少災難帶來的損失起到了一定作用。

　　案例給予我們的啟示之一就是信息系統除了對內提供信息和支持管理外，還能提供真實的數據供外界參考，可以有效地規避部分風險。如此案例中康威電子在火災后可以第一時間將信息提供給保險公司。而在ERP的客戶中比較常見的，比如與供應商引起的質量爭議，從ERP的進貨記錄和質量檢驗報告結果中找到證據，從而有效避免了訴訟的發生，上市公司的帳務處理上，ERP也能快速準確的提供歷史數據信息，這也幫了許多上市企業的忙。

　　在信息化帶來優勢的同時，企業也要時刻思考著信息化本身帶來的風險。現代社會信息無處不在。在真實的現實企業之外，計算機系統中同時存在一個虛擬的企業，如上面所說，它能夠給企業提供各種所需的信息，但在啟用信息系統之后，企業的風險也進行了轉移，因此有必要認識到信息化實施后的風險，然后在識別風險的基礎上分析風險發生的概率，可能引起的損失，依照風險的優先級制定風險防范與預防制度。

　　為什么企業信息會在實施信息系統后面臨更大的風險呢?首先是信息系統實施前，數據分散存儲，如不同的部門有不同的數據或相同的數據，大多有紙面文檔。當信息系統實施后，數據集中并且一致，同樣的數據被各部門所共享，在高效的同時，如果數據此時遭到破壞，企業所受損失會更大。

　　再有，信息系統實施后信息共享所帶來信息泄露的安全隱患，信息系統能通過權限有效地保障需要取得信息的人按需取得信息，應該說比原not;先把資料鎖在柜子里更安全。但對權限分配機制的精細化與制度化的要求更高，權限授權不當或密碼管理不善的風險成為信息化的典型風險之一。(還包括信息系統實施后對硬件、網絡的依賴性，使來自硬件和網絡的威脅時刻存在，防毒、防火墻設置等措施成為必要。)

　　總之，信息系統帶來不同于手工時代的風險，而根據這些特性在風險發生之前進行分析，建立預警與預防制度尤其重要。

　　在應對信息安全的方式，除去上面所說常規的設置防火墻和殺毒軟件外，還主要包括下幾個方面：

　　一、在企業內應建立數據備份與數據存儲制度。

　　企業上了信息化之后數據丟失的風險最高，風險發生的概率也較高。因為數據丟失意味著信息丟失，做帳和決策的依據就會失真。該制度應要求數據能定時備份，數據備份全面可靠，數據的存儲是安全的。

　　二、應建立應急后的恢復機制與步驟。

　　在災難和風險來臨之前，應盡量事前演練好應急恢復步驟，就像火災有滅火演練一樣，應為信息系統建立應急恢復制度。再按照事前的恢復制度進行演練，如實記錄實際碰到的情況和總結處理經not;驗，如突然斷電，網絡中斷，病毒侵襲等。記得多年前我在一家合資公司，該企業專門從國外總部帶來的信息化風險防范要求與制度有厚厚的一大本，企業也按照這些制度逐一演練。而在當時，國內企業對信息化風險的防范意識還未萌芽，對突然做些諸如斷電測試等工作還非常不解，但正是這一套制度保證了這家企業直到如今,信息系統仍然安全運行。

　　三、應建立完善的企業權限申請，分配與監控制度。

　　信息系統實施后在授權上要格外慎重，包括基本信息中產品、客戶、供應商信息、產品結構信息、價格信息等都要要做好權限分配工作，另外，在單據流轉過程中單據的審核權限、查看選項等也應合理授權，不然就會造成企業信息外漏，信息系統雖然提供權限的安全保障，但必須要在企業人員合理的權限規劃與授權制度下，才能起到適當的作用，不然系統有功能不用，或者沒有設置好也是枉然。

　　古語有云，塞翁失馬，焉知非福，此次南方的大雪天氣，使得國家災害防范機制得到加強，相關方面的災備能力也借以成長。而中國企業面對災難的發生所引起思考與探討，相信也能使企業防患于未然。