IT風險管理框架各環節描述如下:
完善IT治理結構
從宏觀上來說�,IT治理要綜合公司治理結構���、企業戰略規劃,使IT治理作為公司治理的一部分�,也是要確定IT原則���、IT架構�����、基礎設施、應用設施和投資優先順序的決策權歸屬和職責分工���。通過建立IT委員會的方式來建立良好的治理結構,通過對權力的監督與平衡�����,可把IT戰略風險與管理風險控制在一定范圍內�,那么無論由誰來領導,IT的建設不會大起大落�。
從微觀上來說�,為保護IT與業務目標一致�����,有限利用IT資源����,提高績效�,降低風險與控制成本,需按照國際普遍接受的企業內部控制標準COBIT�����,在IT的計劃與組織��、獲得與實施����、交付與支持�����、監控四個領域建立IT控制過程,有效地控制IT建設的整個生命周期的風險��。
業務需求識別
當前企業競爭激烈���、內部變革頻繁�,要實現IT與業務的融合,需要建立一套具備一定適應能力,能夠識別不斷變化的業務需求,并能夠快速有效地作為響應的機制。業務需求是促進IT發展的源動力�,準確��、及時地捕捉組織的業務需求�,并使之成為信息化建設與調整的依據��,這是降低IT風險的可靠保證���。
對業務需求的識別��,需要IT人員了解企業的業務流程,并站在業務管理者的角度思考企業發展的重大問題�����,這對IT人員的提出了新的挑戰����。
業務建模
信息化項目無論是網絡建設、安全建設���,還是應用開發,都需要了解組織特征�����,確定業務流程���,應當在信息化之前為組織建立可靠的業務模型�����。業務建模可以創建一個復雜業務的抽象描述,使其成為同業務中各項目相關人員(如擁有者����、管理者��、雇員和客戶)交流的基礎。一旦能更好地理解業務功能,我們能較容易地完善業務流程��,較容易地發現�����、識別新的業務機會(即業務的完善或革新)�����,并為網絡建設、安全建設及應用開發提供準確的需求定義。
數據標準化
“信息孤島現象”是信息化的另一個較大風險����,現在許多行業都在進行數據大集中��,但遇到很多問題,進展緩慢,這都與沒有做好前期數據規劃、實施數據標準化有關���。IT系統的建設首先要以數據為中心,數據是穩定的,處理是多變的��。數據標準化可以根本上解決數據質量控制問題�����,減少數據處理系統中數據元素總數,提供便捷而準確的信息�����,用戶方便快速地檢索到所需信息��。數據標準化為提高信息的互操作性��、減少信息孤島、降低信息化的風險奠定了基礎�。
IT規劃與架構設計
IT系統規劃是以組織的目標�����、戰略、目的�、過程以及信息需求為基礎����,識別并選擇建立哪種IT系統以及什么時間建立的過程。通過IT規劃���,明確IT的投資方向,實現可控的IT投資成本,在有效地管理信息化有關風險的基礎上,獲得可持續改進和提升的IT能力��。有效的IT規劃可以將組織戰略目標轉化為IT系統的戰略目標的過程��,是現代企業的戰略規劃的重要組成部分�����,是企業商業模式創新的好機會,是企業管理系統變革的準備和前奏。
在總體規劃的指導下�,需要進行企業的整體IT框架設計�,IT架構由應用���、數據���、技術架構構成�,架構為IT標準化提供了依據和框架���,有力地指導IT標準化的工作��。IT標準化是架構應用的手段�����,是架構“落地”的工具,同時���,在標準化過程中整個架構逐步完善。
IT業務流程優化
按照國際通行的IT控制框架�����,建立并優化從信息技術的規劃與組織���、采集與實施�����、交付與支持���、監控等四個方面的多個信息技術處理過程����。從質量����、成本�����、時間�、資源利用率���、系統效率����、保密性、完整性、可用性等方面來保證信息的安全性���、可靠性、有效性。
建立信息安全管理體系
建立信息安全管理體系是建立信息安全防線的起點�����,ISO27001是一個可以指導組織安全實踐的信息安全管理標準�����,它從管理��、技術��、人員、過程的角度來定義��、建立����、實施信息安全管理體系�,保障組織的信息安全“滴水不漏”,確保組織業務的持續運營,維護企業的競爭優勢����。
IT服務管理
IT服務管理是一種以流程為導向��、以客戶為中心的方法,它通過整合IT服務與組織業務,提高組織IT服務提供和服務支持的能力及其水平���。建立有效的IT服務管理體系有助于為組織提高IT服務的有效性與經濟性,可以消除 “信息技術人員充當救火隊員”的局面。通過對業務支撐系統實施IT服務管理,對組織的各種資源進行優化�,形成全面����、統一��、集中的管理構架及服務管理流程�����,確保信息系統企業發展提供可靠、經驗、高效的信息服務
IT項目管理與監理
IT項目管理是以項目為對象的系統管理方法�����,通過一個臨時性的����、專門的柔性組織,運用相關的知識、技術和手段���,對項目進行高效率的計劃、組織、指導和控制���,以實現項目全過程的動態管理和項目目標的綜合協調與優化。在IT項目管理中,可結合PMBOK和 PRINCE2的方法,使PMBOK定位于項目管理知識架構���,PRINCE2定位于項目管理實施指南�����。
IT項目監理的中心任務是要規劃和控制工程項目的投資�����、進度和質量三大目標;監理的基本方法是目標規劃、動態控制�����、組織協調和合同管理;監理工作貫穿規劃�、設計、實施和驗收的全過程���。信息工程監理正是通過投資控制、進度控制�����、質量控制以及合同管理和信息管理來對工程項目進行監督和管理�����,保證工程的順利進行和工程質量����。具體的監理辦法可參照信息產業部發布的《信息系統工程監理暫行規定》。
