立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式,以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论,不同的组织在建立控制框架的过程中,还要根据自身的实际情况应地制宜,灵活应用。
一般来说,组织在建立与完善IT风险管理框架时,可以分以下几个阶段实现:
第一阶段:IT资源普查、建立初步控制
目标
总体治理框架的指导下,初步建立IT风险控制体系,为业务系统运行提供较可靠的保障。
主要措施:
业务流程调查,识别主要业务流程,并进行初步建模;
为企业的业务活动建立标准的数据体系,并具有快速识别新的业务需求和进行业务建模的能力;
进行IT架构设计,形成应用、数据、技术架构方面的规范与指南;
梳理IT流程、划分安全域及识别信息资产,进行风险评估;
按照ISO27001、COBIT规范建立较可靠的信息安全管理和IT控制体系;
建立信息系统审计制度,从独立、客观的角度保证系统安全;
建立内部员工培训制度,实施全员培训。
第二阶段:资源协同、全面控制
目标:
实现有效的资源协同,为业务活动提供可靠的支撑,深化IT风险控制,实现应用系统与安全系统的全面集成。
主要措施:
建立统一的应用系统平台,实现IT资源协同,为己有业务及新业务提供灵活可靠的支撑平台;
建立统一安全保障平台,实现应用系统与安全系统全面集成;
建立IT服务管理机制,提高客户对IT服务的满意度;
深化信息安全管理、信息系统审计,建立较为完善的IT治理环境;
对IT组织、人员、流程、项目建立较为科学的绩效考核制度。
第三阶段:业务创新、完善控制
目标:
IT风险控制与企业风险控制高度融合,IT战略成为企业战略的重要组成部分,IT为企业创造新的竞争机遇。
主要措施:
IT战略成为组织决策层的重要议题,IT参与企业流程再造,IT可以为企业创造新的利润增长点;
为整个组织提供高质量的IT服务,建立全组织的IT共享服务中心;
IT成为利润中心,对IT进行财务核算和全面的绩效评估;
IT控制进一步完善,IT风险控制与企业风险控制高度融合,形成良好的信息安全企业文化,IT成为提升组织核心竞争力的“发动机”。