(1)誠信風險。即未經授權使用或數據不完整或不準確導致的風險。這種風險通常與用戶界面、數據處理程序、災難恢復程序、數據控制機制和信息安全機制的設計有關。
(2)準入風險。即不當訪問系統、數據或信息所導致的風險。隨著互聯網和電子商務的日益普及,訪問風險是企業面臨的主要威脅之壹。訪問風險主要涉及業務流程的建立、應用系統的安全性、數據管理和控制、數據處理環境、網絡安全、計算機和通信設備的狀態等。
(3)獲得性風險。即影響數據或信息可用性的風險。主要涉及數據處理的動態監控、數據恢復技術、備份和應急預案。
(4)基礎設施風險。即信息技術架構規劃不合理或無法與業務架構實現部署帶來的風險。主要涉及信息技術組織的完善、信息安全文化的培育、信息技術資源的配置、信息安全系統的設計和運行、計算機和網絡的運行環境、數據管理的內部統壹等。
(5)其他業務風險。即影響企業經營活動的其他技術風險。主要涉及信息技術對業務目標、業務流程周期、庫存預警系統、業務中斷、產品信息反饋系統、業務流動性管理等方面的支持。
信息技術風險管理框架由風險管理要素(戰略和政策監管、資源分配、情況監測和結構定義)和信息技術環境(程序、應用、數據管理、平臺、網絡和物理設施)組成。
信息技術環境結構基本上就是信息技術架構,可以從兩個角度來看,自頂向下展示系統的形成和實現過程,自底向上描述系統的支撐和服務過程。