信息科技( IT )风险的基本定义

风险通俗讲，是在某一个特定时间段里，人们所期望达到的目标与实际出现的结果之间产生的距离。

风险有两种定义：一种定义强调了风险表现为不确定性；而另一种定义则强调风险表现为损失的不确定性。

若风险表现为不确定性，说明风险产生的结果可能带来损失、获利或是无损失也无获利，这属于广义风险。若风险表现为损失的不确定性，说明风险只能表现出损失，没有从风险中获利的可能性，属于狭义风险。

信息科技（IT）风险定义

信息科技风险（IT风险）是指任何由于信息技术应用对业务运营造成负面影响的风险。

信息科技风险（IT风险）包括信息系统的规划、研发、建设、运行、维护、使用、监控及退出等过程中，由于IT流程缺陷、系统的业务流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、法律、声誉等银行风险。

带来信息科技风险的起因

引起信息科技风险的原因很多，归纳起来包括以下四类：

一是环境，即信息科技所处的内外部环境影响，属于治理层面的风险。

二是流程，即信息系统开发采购、交付实施、运行维护、下线废弃整个生命周期流程管控不善，属于过程层面的风险。

三是系统，即信息系统、IT基础设施、物理环境等出现问题，属于资产层面的风险。

四是业务，即系统实现的业务流程引入新的隐患，属于科技业务层面的风险。

信息科技风险造成的影响

如果从结果来看，信息科技风险会造成效果、效率、保密性、完整性、可用性、可靠性、合规性七方面影响。

保密性、完整性、可用性是信息安全的属性，所以信息科技风险会带来信息安全问题，但并不是信息安全问题都是由信息科技风险导致的。（非包含关系）

效果、效率与信息科技的投入产出相关（趋利）。效果是信息科技产生的价值收益（赚多少），效率是信息科技降低成本提高效率（省多少），通俗讲就是少投入多产出。

可靠性、合规性与信息科技的持续稳定正常运行相关（避害）。可靠性期望信息科技最好不要出问题，或者出了问题能够快速地解决；合规性则是避免不合规带来的处罚与业务停顿。

信息科技风险与信息安全关系

信息安全以「结果」进行定义，不管什么原因只要影响了信息的保密性、完整性和可用性，就属于信息安全范畴。

信息科技风险以「原因」进行定义，只要是由于信息技术的应用，造成任何方面的问题与损失，都属于信息科技风险范畴。

所以从二者的定义来看，信息安全风险与信息科技风险既不是重合关系，也不是包含关系，而是部分交叉重叠的关系。

信息科技风险除了包含信息安全（保密性、完整性、可用性）之外，还涉及到IT治理、IT服务管理、业务连续性（BCM）等等方面。

从信息科技风险自身来看，信息安全是其所包含的一个重要部分，但从整体业务或企业来看，业务模式、工作流程、非信息化资产与数据等非信息科技原因也可导致信息安全问题。