立IT風(fēng)險管理框架是組織控制IT風(fēng)險、確保組織實現(xiàn)其業(yè)務(wù)目標(biāo)的有效方式,以上所介紹IT風(fēng)險控制框架是通過多年的研究及實踐總結(jié)出來的通用方法論���,不同的組織在建立控制框架的過程中����,還要根據(jù)自身的實際情況應(yīng)地制宜,靈活應(yīng)用�。
一般來說,組織在建立與完善IT風(fēng)險管理框架時���,可以分以下幾個階段實現(xiàn):
第一階段:IT資源普查�、建立初步控制
目標(biāo)
總體治理框架的指導(dǎo)下���,初步建立IT風(fēng)險控制體系��,為業(yè)務(wù)系統(tǒng)運行提供較可靠的保障�����。
主要措施:
業(yè)務(wù)流程調(diào)查��,識別主要業(yè)務(wù)流程��,并進行初步建模;
為企業(yè)的業(yè)務(wù)活動建立標(biāo)準的數(shù)據(jù)體系���,并具有快速識別新的業(yè)務(wù)需求和進行業(yè)務(wù)建模的能力;
進行IT架構(gòu)設(shè)計,形成應(yīng)用�、數(shù)據(jù)、技術(shù)架構(gòu)方面的規(guī)范與指南;
梳理IT流程�����、劃分安全域及識別信息資產(chǎn)�����,進行風(fēng)險評估;
按照ISO27001�����、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系;
建立信息系統(tǒng)審計制度���,從獨立�、客觀的角度保證系統(tǒng)安全;
建立內(nèi)部員工培訓(xùn)制度,實施全員培訓(xùn)�。
第二階段:資源協(xié)同、全面控制
目標(biāo):
實現(xiàn)有效的資源協(xié)同����,為業(yè)務(wù)活動提供可靠的支撐,深化IT風(fēng)險控制���,實現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)的全面集成��。
主要措施:
建立統(tǒng)一的應(yīng)用系統(tǒng)平臺�����,實現(xiàn)IT資源協(xié)同����,為己有業(yè)務(wù)及新業(yè)務(wù)提供靈活可靠的支撐平臺;
建立統(tǒng)一安全保障平臺��,實現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成;
建立IT服務(wù)管理機制�,提高客戶對IT服務(wù)的滿意度;
深化信息安全管理、信息系統(tǒng)審計��,建立較為完善的IT治理環(huán)境;
對IT組織、人員�、流程、項目建立較為科學(xué)的績效考核制度�����。
第三階段:業(yè)務(wù)創(chuàng)新��、完善控制
目標(biāo):
IT風(fēng)險控制與企業(yè)風(fēng)險控制高度融合�,IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分�,IT為企業(yè)創(chuàng)造新的競爭機遇。
主要措施:
IT戰(zhàn)略成為組織決策層的重要議題����,IT參與企業(yè)流程再造,IT可以為企業(yè)創(chuàng)造新的利潤增長點;
為整個組織提供高質(zhì)量的IT服務(wù)���,建立全組織的IT共享服務(wù)中心;
IT成為利潤中心��,對IT進行財務(wù)核算和全面的績效評估;
IT控制進一步完善��,IT風(fēng)險控制與企業(yè)風(fēng)險控制高度融合����,形成良好的信息安全企業(yè)文化,IT成為提升組織核心競爭力的“發(fā)動機”�����。