立IT風險管理框架是組織控制IT風險��、確保組織實現(xiàn)其業(yè)務目標的有效方式,以上所介紹IT風險控制框架是通過多年的研究及實踐總結出來的通用方法論����,不同的組織在建立控制框架的過程中�����,還要根據(jù)自身的實際情況應地制宜��,靈活應用����。
一般來說�,組織在建立與完善IT風險管理框架時�,可以分以下幾個階段實現(xiàn):
第一階段:IT資源普查、建立初步控制
目標
總體治理框架的指導下�,初步建立IT風險控制體系,為業(yè)務系統(tǒng)運行提供較可靠的保障���。
主要措施:
業(yè)務流程調(diào)查�,識別主要業(yè)務流程�,并進行初步建模;
為企業(yè)的業(yè)務活動建立標準的數(shù)據(jù)體系,并具有快速識別新的業(yè)務需求和進行業(yè)務建模的能力;
進行IT架構設計���,形成應用�、數(shù)據(jù)�����、技術架構方面的規(guī)范與指南;
梳理IT流程�、劃分安全域及識別信息資產(chǎn),進行風險評估;
按照ISO27001��、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系;
建立信息系統(tǒng)審計制度����,從獨立���、客觀的角度保證系統(tǒng)安全;
建立內(nèi)部員工培訓制度,實施全員培訓�����。
第二階段:資源協(xié)同���、全面控制
目標:
實現(xiàn)有效的資源協(xié)同����,為業(yè)務活動提供可靠的支撐����,深化IT風險控制��,實現(xiàn)應用系統(tǒng)與安全系統(tǒng)的全面集成�����。
主要措施:
建立統(tǒng)一的應用系統(tǒng)平臺�����,實現(xiàn)IT資源協(xié)同,為己有業(yè)務及新業(yè)務提供靈活可靠的支撐平臺;
建立統(tǒng)一安全保障平臺�,實現(xiàn)應用系統(tǒng)與安全系統(tǒng)全面集成;
建立IT服務管理機制,提高客戶對IT服務的滿意度;
深化信息安全管理�����、信息系統(tǒng)審計���,建立較為完善的IT治理環(huán)境;
對IT組織����、人員��、流程���、項目建立較為科學的績效考核制度��。
第三階段:業(yè)務創(chuàng)新�����、完善控制
目標:
IT風險控制與企業(yè)風險控制高度融合��,IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分����,IT為企業(yè)創(chuàng)造新的競爭機遇。
主要措施:
IT戰(zhàn)略成為組織決策層的重要議題��,IT參與企業(yè)流程再造�,IT可以為企業(yè)創(chuàng)造新的利潤增長點;
為整個組織提供高質(zhì)量的IT服務,建立全組織的IT共享服務中心;
IT成為利潤中心�����,對IT進行財務核算和全面的績效評估;
IT控制進一步完善�����,IT風險控制與企業(yè)風險控制高度融合�����,形成良好的信息安全企業(yè)文化����,IT成為提升組織核心競爭力的“發(fā)動機”�。