第一階段:IT資源普查、建立初步控制
目標
總體治理框架的指導下,初步建立IT風險控制體系,為業務系統運行提供較可靠的保障。
主要措施:
業務流程調查,識別主要業務流程,并進行初步建模;
為企業的業務活動建立標準的數據體系,并具有快速識別新的業務需求和進行業務建模的能力;
進行IT架構設計,形成應用、數據、技術架構方面的規范與指南;
梳理IT流程、劃分安全域及識別信息資產,進行風險評估;
按照ISO27001、COBIT規范建立較可靠的信息安全管理和IT控制體系;
建立信息系統審計制度,從獨立、客觀的角度保證系統安全;
建立內部員工培訓制度,實施全員培訓。
第二階段:資源協同、全面控制
目標:
實現有效的資源協同,為業務活動提供可靠的支撐,深化IT風險控制,實現應用系統與安全系統的全面集成。
主要措施:
建立統一的應用系統平臺,實現IT資源協同,為己有業務及新業務提供靈活可靠的支撐平臺;
建立統一安全保障平臺,實現應用系統與安全系統全面集成;
建立IT服務管理機制,提高客戶對IT服務的滿意度;
深化信息安全管理、信息系統審計,建立較為完善的IT治理環境;
對IT組織、人員、流程、項目建立較為科學的績效考核制度。
第三階段:業務創新、完善控制
目標:
IT風險控制與企業風險控制高度融合,IT戰略成為企業戰略的重要組成部分,IT為企業創造新的競爭機遇。
主要措施:
IT戰略成為組織決策層的重要議題,IT參與企業流程再造,IT可以為企業創造新的利潤增長點;
為整個組織提供高質量的IT服務,建立全組織的IT共享服務中心;
IT成為利潤中心,對IT進行財務核算和全面的績效評估;
IT控制進一步完善,IT風險控制與企業風險控制高度融合,形成良好的信息安全企業文化,IT成為提升組織核心競爭力的“發動機”。