IT應急計劃
組織應當制定和執行應急計劃,通過預防性和恢復性措施的結合,把災難或者安全事故(例如可能由于自然災害、突發事件、設備故障和故意的行為)所導致的破壞減少到一個可以接受的水平。IT應急計劃呈現了在緊急事件發生后為了維持和恢復關鍵的IT服務所進行的范圍廣泛的活動。IT應急計劃適合于廣泛的緊急事件準備環境,包括組織和業務處理連續性及恢復計劃。為了對影響組織IT系統、業務處理和設施的外部威脅作出反應,并恢復和保持連續性的活動,組織通常會應用一系列計劃進行準備工作。
IT資源協同
IT資源協同可以通過架構設計、技術產品、管理協調、業務外包及建立共享服務中心等多種方式實現。其目的是實現信息共享、業務整合和資源優化,以破解“信息孤島”、“應用孤島”和“資源孤島”三大難題。
IT資源協同首先是對信息的高度共享。信息共享是為了大限度的發揮其本身的價值,無論是企業管理者、員工、還是外部的合作伙伴,都可以很方便的查找到相關的信息以支持事務的處理,并利用信息創造新的價值。
其次是對各個業務的整合。這些業務盡管更多的時候從屬于企業的不同人員、不同部門,但本質上來說它們都是緊密關聯的,并形成企業特有的業務體系,企業需要對各個業務進行充分的整合以使業務能夠協調和平滑運作,任何業務鏈的“斷折”或業務的“死角”都會對企業的運營產生影響。
第三是對各種資源的調配和優化。這些資源包括企業的人、財、物、信息和流程,當企業實現了信息共享和業務整合后,企業的“神經網絡體系”才能夠高效和通暢的運轉,并使這些資源能夠突破各種壁壘和障礙,在企業統一管理和協調下為共同的目標實現而服務。
IT績效測量
對IT進行績效測量無論是在國內還是國外都是一個難點。對IT進行績效測量首先應當進行IT投資效益分析,使投資的成本和收益都明細化和具體化,以輔助進行IT投資決策和IT投資風險控制。
其次,是對IT進行財務管理。IT財務管理包括IT預算、IT會計及IT計費。IT預算為IT的運營提供預算計劃,從而為維持和改善服務預測未來的花費。IT會計核算保證了花費在批準的計劃范圍之內,并且使資金得到很好的利用。IT計費使我們對向一個特定業務單元提供服務的成本有一個更好的了解,并且使業務部門對自己的服務消費更加負有責任。
第三是進行IT績效分析。持續地評估IT績效,可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進行評估,以了解當前IT狀況,使IT和業務部門都知道IT對實現業務目標的貢獻是怎樣的,幫助IT組織將工作與關鍵業務目標結合在一起,并通過客觀評價報告和改進績效,幫助組織獲得業務部門領導的信任,為及進的調整與改進提供依據。
信息系統審計
信息系統審計是一個獲取并評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。由于信息技術在經營、管理領域的廣泛運用,信息系統審計已經貫穿在各種審計之中,成為審計全過程的一部分。信息系統審計是一種控制信息系統風險的有效方式,它是從獨立的、第三方的的角度來審視信息化過程中的各種風險,合理地鑒證被審計單位信息系統及其處理、產生的信息的真實性、完整性與可靠性,政策遵循的一貫性,并可對IT的績效進行審計,以發現偏離,促進及進進行調整。
五、IT風險控制框架的實施步驟
建立IT風險管理框架是組織控制IT風險、確保組織實現其業務目標的有效方式,以上所介紹IT風險控制框架是通過多年的研究及實踐總結出來的通用方法論,不同的組織在建立控制框架的過程中,還要根據自身的實際情況應地制宜,靈活應用。
一般來說,組織在建立與完善IT風險管理框架時,可以分以下幾個階段實現: