覃正，湖南石门人，上海财经大学信息管理与工程学院教授，博士生导师，Sydney University．University of FIorida高级访问学者。主要研究方向：现代管理模式、电子商务与电子政务、管理信息系统等。主持多项国家、省、部级自然科学基金项目。曾获省、部级科技进步奖。发表学术论文180余篇，出版著作9部。

    《IT操作风险管理理论与实务》主要介绍IT操作风险管理理论与实务。全书共分为8章：IT操作风险管理概述、信息系统开发风险管理、服务外包风险指标体系及风险控制方法、信息系统运维风险指标体系及监测方法、系统升级变更风险管理控制、信息系统安全管理指标体系及监测方法、模拟测试质量与成本管理、灾难备份系统建设。
    《IT操作风险管理理论与实务》对IT操作风险的大量相关资料进行了收集、整理，在此基础上对系统开发、服务外包、系统运维、升级变更、信息安全、模拟测试、灾难备份等专题进行了较深入的讨论，并适当穿插案例分析，系统地梳理了IT操作风险理念与实践。
    《IT操作风险管理理论与实务》内容翔实，可为IT操作风险管理实务提供引导，也可供该研究领域的学者或其他感兴趣的读者参考。

    第1章  IT操作风险管理概述
    随着以计算机运用和互联网通信为代表的信息技术迅猛发展，现代政府部门、金融机构、企事业单位以及商业组织对信息系统的依赖程度日益加重，信息技术对企业的日常运营重要性也日益提高。企业对于信息系统、信息技术的依赖程度逐步提高，系统承载着信息、服务的安全性、保密性、完整性、可靠性等特性，如果遭到破坏，会对整个系统和企业造成非常严重的损失。因此，进行系统的风险识别与防范，从而建立起可靠的信息安全管理体系，对于各种企业和组织机构而言，都具有十分重要的现实意义。
    近几年，国资委发布了《中央企业全面风险管理指导纲要》，银监会发布了《关于加大防范操作风险工作力度的通知》、《商业银行操作风险管理指引》等文件，也说明企业监管机构对风险管理系统化、规范化的高度重视。信息技术的应用与企业的发展都呼唤着提升和加强IT风险管理。研究IT风险的范畴与管理方法，提出有针对性的风险管理方法与管理策略，也是目前IT管理领域高度关注的问题之一。
    1.1  IT操作风险概念
    1.1.1 操作风险定义
    根据2004年6月国际清算银行（Bank of InternationalSettlements，BIS）颁布的《巴塞尔新资本协议》的定义，操作风险是指由于不完善或失灵的内部程序、人员、系统或外部事件导致的风险。同时，该委员会将操作风险分为7大类，其中包括内部欺诈；外部欺诈；雇佣合同以及工作状况带来的风险事件；客户、产品以及商业行为引起的风险事件；有形资产的损失；经营中断和系统出错；涉及执行交割以及交易过程管理的风险事件，如表1.1所示。

第1章  IT操作风险管理概述
1.1  IT操作风险概念
1.1.1  操作风险定义
1.1.2  IT操作风险
1.1.3  IT操作风险分类
1.2  IT操作风险管理标准和规范
1.2.1  IT操作风险管理相关标准
1.2.2  IT操作风险管理相关法规
1.3  IT操作风险管理流程
1.3.1  软件开发风险管理流程
1.3.2  系统运行维护风险管理流程
本章小结
参考文献

第2章  信息系统开发风险管理
2.1  立项阶段的风险管理
2.1.1  系统开发立项概述
2.1.2  立项的风险点和指标体系
2.1.3  立项的风险控制方法
2.2  需求分析阶段的风险管理
2.2.1  系统需求的概念
2.2.2  需求分析流程与方法
2.2.3  需求分析的风险点
2.2.4  需求分析的风险分析方法
2.2.5  需求变更管理的制度
2.3  系统设计阶段的风险管理
2.3.1  系统设计概述
2.3.2  系统设计的风险识别
2.3.3  系统设计的风险控制方法
2.4  系统实施阶段的风险管理
2.4.1  系统实施概述
2.4.2  编码的风险管理
2.4.3  测试的风险管理
2.4.4  数据库建设与系统转换中的风险管理
本章小结
参考文献

第3章 服务外包风险指标体系及风险控制方法
3.1  IT服务的内容及分类
3.2  IT服务外包主要风险及风险控制方法
3.2.1  IT外包风险管理理论发展概述
3.2.2  IT外包风险控制方法概述
3.2.3  软件项目的风险分类
3.3  IT服务外包风险控制方法
3.3.1  按照风险来源的风险控制策略
3.3.2  被动风险控制——选择服务商策略
3.3.3  主动风险控制——依赖激励合同的设计
3.3.4  主动风险控制——优化模型的建立
3.4  案例分析——某交易中心软件外包风险控制
3.4.1  软件外包风险指标体系——基于改进的层次全息模型
3.4.2  软件外包风险因子的量化及模型计算
本章小结
参考文献

第4章  信息系统运维风险指标体系及监测方法
4.1  信息系统运维管理行业标准
4.1.1  ITIL
4.1.2  ASL
4.1.3  BiSL
4.1.4  ISPl
4.1.5  ITS-CMM
4.1.6  BS7799
4.1.7  COBIT
4.2  信息系统运维管理流程识别与控制
4.2.1  事件管理
4.2.2  问题管理
4.2.3  变更管理
4.2.4  配置管理
4.2.5  发布管理
4.2.6  服务水平管理
……
第5章  系统升维变更风险管理控制
第6章  信息系统安全管理指标体系及监测方法
第7章  模拟测试质量与成本管理
第8章  灾难备份系统建设
附录A  编码部分风险点识别调查问卷