IT風險管理框架各環(huán)節(jié)描述如下:
完善IT治理結構
從宏觀上來說,IT治理要綜合公司治理結構、企業(yè)戰(zhàn)略規(guī)劃���,使IT治理作為公司治理的一部分�,也是要確定IT原則��、IT架構����、基礎設施�、應用設施和投資優(yōu)先順序的決策權歸屬和職責分工��。通過建立IT委員會的方式來建立良好的治理結構����,通過對權力的監(jiān)督與平衡,可把IT戰(zhàn)略風險與管理風險控制在一定范圍內����,那么無論由誰來領導,IT的建設不會大起大落���。
從微觀上來說���,為保護IT與業(yè)務目標一致,有限利用IT資源�����,提高績效���,降低風險與控制成本�����,需按照國際普遍接受的企業(yè)內部控制標準COBIT�����,在IT的計劃與組織�����、獲得與實施�、交付與支持���、監(jiān)控四個領域建立IT控制過程�����,有效地控制IT建設的整個生命周期的風險�����。
業(yè)務需求識別
當前企業(yè)競爭激烈�、內部變革頻繁��,要實現IT與業(yè)務的融合,需要建立一套具備一定適應能力�,能夠識別不斷變化的業(yè)務需求,并能夠快速有效地作為響應的機制�����。業(yè)務需求是促進IT發(fā)展的源動力���,準確�����、及時地捕捉組織的業(yè)務需求��,并使之成為信息化建設與調整的依據����,這是降低IT風險的可靠保證��。
對業(yè)務需求的識別��,需要IT人員了解企業(yè)的業(yè)務流程����,并站在業(yè)務管理者的角度思考企業(yè)發(fā)展的重大問題��,這對IT人員的提出了新的挑戰(zhàn)�����。
業(yè)務建模
信息化項目無論是網絡建設����、安全建設���,還是應用開發(fā)�����,都需要了解組織特征,確定業(yè)務流程�,應當在信息化之前為組織建立可靠的業(yè)務模型。業(yè)務建���?梢詣(chuàng)建一個復雜業(yè)務的抽象描述�����,使其成為同業(yè)務中各項目相關人員(如擁有者��、管理者�、雇員和客戶)交流的基礎。一旦能更好地理解業(yè)務功能�,我們能較容易地完善業(yè)務流程,較容易地發(fā)現���、識別新的業(yè)務機會(即業(yè)務的完善或革新)��,并為網絡建設����、安全建設及應用開發(fā)提供準確的需求定義��。
數據標準化
“信息孤島現象”是信息化的另一個較大風險���,現在許多行業(yè)都在進行數據大集中����,但遇到很多問題�,進展緩慢,這都與沒有做好前期數據規(guī)劃��、實施數據標準化有關。IT系統(tǒng)的建設首先要以數據為中心�����,數據是穩(wěn)定的��,處理是多變的���。數據標準化可以根本上解決數據質量控制問題���,減少數據處理系統(tǒng)中數據元素總數,提供便捷而準確的信息����,用戶方便快速地檢索到所需信息。數據標準化為提高信息的互操作性�、減少信息孤島、降低信息化的風險奠定了基礎����。
IT規(guī)劃與架構設計
IT系統(tǒng)規(guī)劃是以組織的目標�����、戰(zhàn)略����、目的���、過程以及信息需求為基礎,識別并選擇建立哪種IT系統(tǒng)以及什么時間建立的過程����。通過IT規(guī)劃,明確IT的投資方向�,實現可控的IT投資成本,在有效地管理信息化有關風險的基礎上��,獲得可持續(xù)改進和提升的IT能力��。有效的IT規(guī)劃可以將組織戰(zhàn)略目標轉化為IT系統(tǒng)的戰(zhàn)略目標的過程�,是現代企業(yè)的戰(zhàn)略規(guī)劃的重要組成部分,是企業(yè)商業(yè)模式創(chuàng)新的好機會��,是企業(yè)管理系統(tǒng)變革的準備和前奏���。
在總體規(guī)劃的指導下���,需要進行企業(yè)的整體IT框架設計,IT架構由應用、數據�����、技術架構構成��,架構為IT標準化提供了依據和框架�����,有力地指導IT標準化的工作�����。IT標準化是架構應用的手段�,是架構“落地”的工具,同時����,在標準化過程中整個架構逐步完善。
IT業(yè)務流程優(yōu)化
按照國際通行的IT控制框架���,建立并優(yōu)化從信息技術的規(guī)劃與組織�、采集與實施��、交付與支持����、監(jiān)控等四個方面的多個信息技術處理過程。從質量��、成本�����、時間�����、資源利用率�、系統(tǒng)效率、保密性����、完整性、可用性等方面來保證信息的安全性����、可靠性、有效性���。
建立信息安全管理體系
建立信息安全管理體系是建立信息安全防線的起點���,ISO27001是一個可以指導組織安全實踐的信息安全管理標準�,它從管理���、技術�、人員����、過程的角度來定義、建立���、實施信息安全管理體系��,保障組織的信息安全“滴水不漏”�����,確保組織業(yè)務的持續(xù)運營�����,維護企業(yè)的競爭優(yōu)勢��。
IT服務管理
IT服務管理是一種以流程為導向�、以客戶為中心的方法�����,它通過整合IT服務與組織業(yè)務�,提高組織IT服務提供和服務支持的能力及其水平。建立有效的IT服務管理體系有助于為組織提高IT服務的有效性與經濟性���,可以消除 “信息技術人員充當救火隊員”的局面�����。通過對業(yè)務支撐系統(tǒng)實施IT服務管理�����,對組織的各種資源進行優(yōu)化�����,形成全面����、統(tǒng)一、集中的管理構架及服務管理流程�,確保信息系統(tǒng)企業(yè)發(fā)展提供可靠、經驗���、高效的信息服務
IT項目管理與監(jiān)理
IT項目管理是以項目為對象的系統(tǒng)管理方法��,通過一個臨時性的���、專門的柔性組織,運用相關的知識����、技術和手段,對項目進行高效率的計劃�、組織、指導和控制����,以實現項目全過程的動態(tài)管理和項目目標的綜合協(xié)調與優(yōu)化。在IT項目管理中�����,可結合PMBOK和 PRINCE2的方法�����,使PMBOK定位于項目管理知識架構,PRINCE2定位于項目管理實施指南��。
IT項目監(jiān)理的中心任務是要規(guī)劃和控制工程項目的投資�����、進度和質量三大目標;監(jiān)理的基本方法是目標規(guī)劃���、動態(tài)控制、組織協(xié)調和合同管理;監(jiān)理工作貫穿規(guī)劃���、設計���、實施和驗收的全過程。信息工程監(jiān)理正是通過投資控制�����、進度控制����、質量控制以及合同管理和信息管理來對工程項目進行監(jiān)督和管理�,保證工程的順利進行和工程質量���。具體的監(jiān)理辦法可參照信息產業(yè)部發(fā)布的《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》�����。
