IT應急計劃

組織應當制定和執(zhí)行應急計劃，通過預防性和恢復性措施的結合，把災難或者安全事故(例如可能由于自然災害、突發(fā)事件、設備故障和故意的行為)所導致的破壞減少到一個可以接受的水平。IT應急計劃呈現(xiàn)了在緊急事件發(fā)生后為了維持和恢復關鍵的IT服務所進行的范圍廣泛的活動。IT應急計劃適合于廣泛的緊急事件準備環(huán)境，包括組織和業(yè)務處理連續(xù)性及恢復計劃。為了對影響組織IT系統(tǒng)、業(yè)務處理和設施的外部威脅作出反應，并恢復和保持連續(xù)性的活動，組織通常會應用一系列計劃進行準備工作。

IT資源協(xié)同

IT資源協(xié)同可以通過架構設計、技術產(chǎn)品、管理協(xié)調(diào)、業(yè)務外包及建立共享服務中心等多種方式實現(xiàn)。其目的是實現(xiàn)信息共享、業(yè)務整合和資源優(yōu)化，以破解“信息孤島”、“應用孤島”和“資源孤島”三大難題。

IT資源協(xié)同首先是對信息的高度共享。信息共享是為了大限度的發(fā)揮其本身的價值，無論是企業(yè)管理者、員工、還是外部的合作伙伴，都可以很方便的查找到相關的信息以支持事務的處理，并利用信息創(chuàng)造新的價值。

其次是對各個業(yè)務的整合。這些業(yè)務盡管更多的時候從屬于企業(yè)的不同人員、不同部門，但本質(zhì)上來說它們都是緊密關聯(lián)的，并形成企業(yè)特有的業(yè)務體系，企業(yè)需要對各個業(yè)務進行充分的整合以使業(yè)務能夠協(xié)調(diào)和平滑運作，任何業(yè)務鏈的“斷折”或業(yè)務的“死角”都會對企業(yè)的運營產(chǎn)生影響。

第三是對各種資源的調(diào)配和優(yōu)化。這些資源包括企業(yè)的人、財、物、信息和流程，當企業(yè)實現(xiàn)了信息共享和業(yè)務整合后，企業(yè)的“神經(jīng)網(wǎng)絡體系”才能夠高效和通暢的運轉(zhuǎn)，并使這些資源能夠突破各種壁壘和障礙，在企業(yè)統(tǒng)一管理和協(xié)調(diào)下為共同的目標實現(xiàn)而服務。

IT績效測量

對IT進行績效測量無論是在國內(nèi)還是國外都是一個難點。對IT進行績效測量首先應當進行IT投資效益分析，使投資的成本和收益都明細化和具體化，以輔助進行IT投資決策和IT投資風險控制。

其次，是對IT進行財務管理。IT財務管理包括IT預算、IT會計及IT計費。IT預算為IT的運營提供預算計劃，從而為維持和改善服務預測未來的花費。IT會計核算保證了花費在批準的計劃范圍之內(nèi)，并且使資金得到很好的利用。IT計費使我們對向一個特定業(yè)務單元提供服務的成本有一個更好的了解，并且使業(yè)務部門對自己的服務消費更加負有責任。

第三是進行IT績效分析。持續(xù)地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進行評估，以了解當前IT狀況，使IT和業(yè)務部門都知道IT對實現(xiàn)業(yè)務目標的貢獻是怎樣的，幫助IT組織將工作與關鍵業(yè)務目標結合在一起，并通過客觀評價報告和改進績效，幫助組織獲得業(yè)務部門領導的信任，為及進的調(diào)整與改進提供依據(jù)。

信息系統(tǒng)審計

信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。由于信息技術在經(jīng)營、管理領域的廣泛運用，信息系統(tǒng)審計已經(jīng)貫穿在各種審計之中，成為審計全過程的一部分。信息系統(tǒng)審計是一種控制信息系統(tǒng)風險的有效方式，它是從獨立的、第三方的的角度來審視信息化過程中的各種風險，合理地鑒證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性與可靠性，政策遵循的一貫性，并可對IT的績效進行審計，以發(fā)現(xiàn)偏離，促進及進進行調(diào)整。

五、IT風險控制框架的實施步驟

建立IT風險管理框架是組織控制IT風險、確保組織實現(xiàn)其業(yè)務目標的有效方式，以上所介紹IT風險控制框架是通過多年的研究及實踐總結出來的通用方法論，不同的組織在建立控制框架的過程中，還要根據(jù)自身的實際情況應地制宜，靈活應用。

一般來說，組織在建立與完善IT風險管理框架時，可以分以下幾個階段實現(xiàn)：