IT風(fēng)險(xiǎn)管理框架各環(huán)節(jié)描述如下:
完善IT治理結(jié)構(gòu)
從宏觀上來(lái)說(shuō),IT治理要綜合公司治理結(jié)構(gòu)����、企業(yè)戰(zhàn)略規(guī)劃�,使IT治理作為公司治理的一部分��,也是要確定IT原則�����、IT架構(gòu)���、基礎(chǔ)設(shè)施���、應(yīng)用設(shè)施和投資優(yōu)先順序的決策權(quán)歸屬和職責(zé)分工。通過(guò)建立IT委員會(huì)的方式來(lái)建立良好的治理結(jié)構(gòu)���,通過(guò)對(duì)權(quán)力的監(jiān)督與平衡��,可把IT戰(zhàn)略風(fēng)險(xiǎn)與管理風(fēng)險(xiǎn)控制在一定范圍內(nèi)�����,那么無(wú)論由誰(shuí)來(lái)領(lǐng)導(dǎo)��,IT的建設(shè)不會(huì)大起大落����。
從微觀上來(lái)說(shuō),為保護(hù)IT與業(yè)務(wù)目標(biāo)一致�,有限利用IT資源,提高績(jī)效��,降低風(fēng)險(xiǎn)與控制成本�,需按照國(guó)際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)COBIT����,在IT的計(jì)劃與組織、獲得與實(shí)施����、交付與支持、監(jiān)控四個(gè)領(lǐng)域建立IT控制過(guò)程����,有效地控制IT建設(shè)的整個(gè)生命周期的風(fēng)險(xiǎn)。
業(yè)務(wù)需求識(shí)別
當(dāng)前企業(yè)競(jìng)爭(zhēng)激烈���、內(nèi)部變革頻繁����,要實(shí)現(xiàn)IT與業(yè)務(wù)的融合,需要建立一套具備一定適應(yīng)能力��,能夠識(shí)別不斷變化的業(yè)務(wù)需求�,并能夠快速有效地作為響應(yīng)的機(jī)制。業(yè)務(wù)需求是促進(jìn)IT發(fā)展的源動(dòng)力�,準(zhǔn)確、及時(shí)地捕捉組織的業(yè)務(wù)需求��,并使之成為信息化建設(shè)與調(diào)整的依據(jù)�,這是降低IT風(fēng)險(xiǎn)的可靠保證。
對(duì)業(yè)務(wù)需求的識(shí)別��,需要IT人員了解企業(yè)的業(yè)務(wù)流程���,并站在業(yè)務(wù)管理者的角度思考企業(yè)發(fā)展的重大問(wèn)題����,這對(duì)IT人員的提出了新的挑戰(zhàn)���。
業(yè)務(wù)建模
信息化項(xiàng)目無(wú)論是網(wǎng)絡(luò)建設(shè)�����、安全建設(shè)�����,還是應(yīng)用開(kāi)發(fā)�,都需要了解組織特征,確定業(yè)務(wù)流程��,應(yīng)當(dāng)在信息化之前為組織建立可靠的業(yè)務(wù)模型��。業(yè)務(wù)建�����?梢詣(chuàng)建一個(gè)復(fù)雜業(yè)務(wù)的抽象描述�,使其成為同業(yè)務(wù)中各項(xiàng)目相關(guān)人員(如擁有者�����、管理者��、雇員和客戶(hù))交流的基礎(chǔ)�����。一旦能更好地理解業(yè)務(wù)功能��,我們能較容易地完善業(yè)務(wù)流程,較容易地發(fā)現(xiàn)����、識(shí)別新的業(yè)務(wù)機(jī)會(huì)(即業(yè)務(wù)的完善或革新),并為網(wǎng)絡(luò)建設(shè)�、安全建設(shè)及應(yīng)用開(kāi)發(fā)提供準(zhǔn)確的需求定義。
數(shù)據(jù)標(biāo)準(zhǔn)化
“信息孤島現(xiàn)象”是信息化的另一個(gè)較大風(fēng)險(xiǎn)���,現(xiàn)在許多行業(yè)都在進(jìn)行數(shù)據(jù)大集中�,但遇到很多問(wèn)題�����,進(jìn)展緩慢�����,這都與沒(méi)有做好前期數(shù)據(jù)規(guī)劃���、實(shí)施數(shù)據(jù)標(biāo)準(zhǔn)化有關(guān)����。IT系統(tǒng)的建設(shè)首先要以數(shù)據(jù)為中心,數(shù)據(jù)是穩(wěn)定的��,處理是多變的����。數(shù)據(jù)標(biāo)準(zhǔn)化可以根本上解決數(shù)據(jù)質(zhì)量控制問(wèn)題,減少數(shù)據(jù)處理系統(tǒng)中數(shù)據(jù)元素總數(shù)���,提供便捷而準(zhǔn)確的信息�,用戶(hù)方便快速地檢索到所需信息���。數(shù)據(jù)標(biāo)準(zhǔn)化為提高信息的互操作性���、減少信息孤島、降低信息化的風(fēng)險(xiǎn)奠定了基礎(chǔ)�。
IT規(guī)劃與架構(gòu)設(shè)計(jì)
IT系統(tǒng)規(guī)劃是以組織的目標(biāo)���、戰(zhàn)略���、目的、過(guò)程以及信息需求為基礎(chǔ)�,識(shí)別并選擇建立哪種IT系統(tǒng)以及什么時(shí)間建立的過(guò)程。通過(guò)IT規(guī)劃�,明確IT的投資方向�,實(shí)現(xiàn)可控的IT投資成本�����,在有效地管理信息化有關(guān)風(fēng)險(xiǎn)的基礎(chǔ)上�����,獲得可持續(xù)改進(jìn)和提升的IT能力����。有效的IT規(guī)劃可以將組織戰(zhàn)略目標(biāo)轉(zhuǎn)化為IT系統(tǒng)的戰(zhàn)略目標(biāo)的過(guò)程,是現(xiàn)代企業(yè)的戰(zhàn)略規(guī)劃的重要組成部分��,是企業(yè)商業(yè)模式創(chuàng)新的好機(jī)會(huì)���,是企業(yè)管理系統(tǒng)變革的準(zhǔn)備和前奏���。
在總體規(guī)劃的指導(dǎo)下,需要進(jìn)行企業(yè)的整體IT框架設(shè)計(jì)���,IT架構(gòu)由應(yīng)用�����、數(shù)據(jù)�����、技術(shù)架構(gòu)構(gòu)成�,架構(gòu)為IT標(biāo)準(zhǔn)化提供了依據(jù)和框架,有力地指導(dǎo)IT標(biāo)準(zhǔn)化的工作����。IT標(biāo)準(zhǔn)化是架構(gòu)應(yīng)用的手段,是架構(gòu)“落地”的工具�����,同時(shí)���,在標(biāo)準(zhǔn)化過(guò)程中整個(gè)架構(gòu)逐步完善����。
IT業(yè)務(wù)流程優(yōu)化
按照國(guó)際通行的IT控制框架��,建立并優(yōu)化從信息技術(shù)的規(guī)劃與組織��、采集與實(shí)施����、交付與支持、監(jiān)控等四個(gè)方面的多個(gè)信息技術(shù)處理過(guò)程�。從質(zhì)量、成本��、時(shí)間��、資源利用率����、系統(tǒng)效率、保密性��、完整性�、可用性等方面來(lái)保證信息的安全性、可靠性�、有效性。
建立信息安全管理體系
建立信息安全管理體系是建立信息安全防線的起點(diǎn)�����,ISO27001是一個(gè)可以指導(dǎo)組織安全實(shí)踐的信息安全管理標(biāo)準(zhǔn)�����,它從管理、技術(shù)���、人員���、過(guò)程的角度來(lái)定義、建立����、實(shí)施信息安全管理體系,保障組織的信息安全“滴水不漏”�����,確保組織業(yè)務(wù)的持續(xù)運(yùn)營(yíng)����,維護(hù)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。
IT服務(wù)管理
IT服務(wù)管理是一種以流程為導(dǎo)向���、以客戶(hù)為中心的方法��,它通過(guò)整合IT服務(wù)與組織業(yè)務(wù)�,提高組織IT服務(wù)提供和服務(wù)支持的能力及其水平��。建立有效的IT服務(wù)管理體系有助于為組織提高IT服務(wù)的有效性與經(jīng)濟(jì)性��,可以消除 “信息技術(shù)人員充當(dāng)救火隊(duì)員”的局面�����。通過(guò)對(duì)業(yè)務(wù)支撐系統(tǒng)實(shí)施IT服務(wù)管理����,對(duì)組織的各種資源進(jìn)行優(yōu)化,形成全面���、統(tǒng)一����、集中的管理構(gòu)架及服務(wù)管理流程�����,確保信息系統(tǒng)企業(yè)發(fā)展提供可靠�����、經(jīng)驗(yàn)、高效的信息服務(wù)
IT項(xiàng)目管理與監(jiān)理
IT項(xiàng)目管理是以項(xiàng)目為對(duì)象的系統(tǒng)管理方法���,通過(guò)一個(gè)臨時(shí)性的����、專(zhuān)門(mén)的柔性組織���,運(yùn)用相關(guān)的知識(shí)�����、技術(shù)和手段��,對(duì)項(xiàng)目進(jìn)行高效率的計(jì)劃�、組織���、指導(dǎo)和控制���,以實(shí)現(xiàn)項(xiàng)目全過(guò)程的動(dòng)態(tài)管理和項(xiàng)目目標(biāo)的綜合協(xié)調(diào)與優(yōu)化。在IT項(xiàng)目管理中�,可結(jié)合PMBOK和 PRINCE2的方法,使PMBOK定位于項(xiàng)目管理知識(shí)架構(gòu)�����,PRINCE2定位于項(xiàng)目管理實(shí)施指南。
IT項(xiàng)目監(jiān)理的中心任務(wù)是要規(guī)劃和控制工程項(xiàng)目的投資�����、進(jìn)度和質(zhì)量三大目標(biāo);監(jiān)理的基本方法是目標(biāo)規(guī)劃��、動(dòng)態(tài)控制�����、組織協(xié)調(diào)和合同管理;監(jiān)理工作貫穿規(guī)劃����、設(shè)計(jì)��、實(shí)施和驗(yàn)收的全過(guò)程�����。信息工程監(jiān)理正是通過(guò)投資控制���、進(jìn)度控制�、質(zhì)量控制以及合同管理和信息管理來(lái)對(duì)工程項(xiàng)目進(jìn)行監(jiān)督和管理,保證工程的順利進(jìn)行和工程質(zhì)量���。具體的監(jiān)理辦法可參照信息產(chǎn)業(yè)部發(fā)布的《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》�����。
