在最近的一个部长职务分析中,我分配给项目领导的任务是向我提供他的系统完整的定量价值分析。所讨论的应用程序是一个过时的、自己开发的工具,当时开发所使用的技术马上就是失去供应商的支持。这项工作的意图是确定移除这个系统的影响,以及重新创建解决方案的成本。
项目领导仔细地计算了项目成本,包括基础设施成本、开发资源成本、技能成本等等。然后,他总结了这些信息并将其以一个专业报表的样式提交给我看。但问题是他没有提到组织已经不再使用这个系统。
在当今的组织中,IT 资产包括从后台数据仓库到熟练工人所掌握的技能等很多方面的内容。理解这些资产的价值可能需要探索复杂的业务流程和内部关系网络。
现在让我们考虑上面的例子:由于人们能够感觉到特定 IT 资产的价值,所以这些价值对于组织来说是一个损失。然而,如果系统支持其它运营系统的遗留组件呢?甚至这个系统不再真正生成诸如报表或新内容之类的交付品,系统可能依然支持次要功能。在这种情况下,系统将依然为公司提供正面的价值,虽然有成熟的替代器代替它。
在确定 IT 资产的价值时要考虑的因素包括:
· 原始开发成本、许可证、基础设施和其它标准切实成本
· 替换、购置和重新设计资产的成本
· 支持和执行资产的运营成本
· 由成功的资产运营所保持的商业价值
· 在资产不可用时与运营影响相关的成本
· 资产竞争的成本
· 与资产相关的知识产权的价值
· 与资产不可用相关的诉讼成本
· 由资产不可用造成的竞争优势、销售、信誉和市场份额的损失
注意我这里所关注的是 IT 资产而不是系统。前面提到的每一项还可以应用到位于后台数据库的组织的数据上,就像应用在一个运营生产系统上一样。其它资产包括硬资产,如设备、器材、电力设施、电话线等。软资产范围很广,从业务逻辑到组织数据都属于这类资产。考虑特定 IT 资产时的关键是要考虑切实和不切实的成本。
资产的价值也与给定的时间点相关。前面的例子中的应用程序在两年前具有较高的商业价值,那个时候组织一直在实际地使用它。那种说及时的信息才算好信息的陈词滥调用在这里很合适。这就意味着在考虑使用估价数据进行决策时,需要尽量保证其及时性。例如在这个例子中,如果不知道组织已经不再使用这个系统,那么我可能就会做出不正确的成本高昂的决策来重新设计它。
最后,确定信息资产的价值是安全风险分析的核心。在确定一个特定损失的范围之前,你必须知道它的成本和影响。
