第一階段：IT資源普查、建立初步控制

目標(biāo)

總體治理框架的指導(dǎo)下，初步建立IT風(fēng)險(xiǎn)控制體系，為業(yè)務(wù)系統(tǒng)運(yùn)行提供較可靠的保障。

主要措施：

業(yè)務(wù)流程調(diào)查，識(shí)別主要業(yè)務(wù)流程，并進(jìn)行初步建模;

為企業(yè)的業(yè)務(wù)活動(dòng)建立標(biāo)準(zhǔn)的數(shù)據(jù)體系，并具有快速識(shí)別新的業(yè)務(wù)需求和進(jìn)行業(yè)務(wù)建模的能力;

進(jìn)行IT架構(gòu)設(shè)計(jì)，形成應(yīng)用、數(shù)據(jù)、技術(shù)架構(gòu)方面的規(guī)范與指南;

梳理IT流程、劃分安全域及識(shí)別信息資產(chǎn)，進(jìn)行風(fēng)險(xiǎn)評(píng)估;

按照ISO27001、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系;

建立信息系統(tǒng)審計(jì)制度，從獨(dú)立、客觀的角度保證系統(tǒng)安全;

建立內(nèi)部員工培訓(xùn)制度，實(shí)施全員培訓(xùn)。

第二階段：資源協(xié)同、全面控制

目標(biāo)：

實(shí)現(xiàn)有效的資源協(xié)同，為業(yè)務(wù)活動(dòng)提供可靠的支撐，深化IT風(fēng)險(xiǎn)控制，實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)的全面集成。

主要措施：

建立統(tǒng)一的應(yīng)用系統(tǒng)平臺(tái)，實(shí)現(xiàn)IT資源協(xié)同，為己有業(yè)務(wù)及新業(yè)務(wù)提供靈活可靠的支撐平臺(tái);

建立統(tǒng)一安全保障平臺(tái)，實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成;

建立IT服務(wù)管理機(jī)制，提高客戶對(duì)IT服務(wù)的滿意度;

深化信息安全管理、信息系統(tǒng)審計(jì)，建立較為完善的IT治理環(huán)境;

對(duì)IT組織、人員、流程、項(xiàng)目建立較為科學(xué)的績(jī)效考核制度。

第三階段：業(yè)務(wù)創(chuàng)新、完善控制

目標(biāo)：

IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制高度融合，IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分，IT為企業(yè)創(chuàng)造新的競(jìng)爭(zhēng)機(jī)遇。

主要措施：

IT戰(zhàn)略成為組織決策層的重要議題，IT參與企業(yè)流程再造，IT可以為企業(yè)創(chuàng)造新的利潤(rùn)增長(zhǎng)點(diǎn);

為整個(gè)組織提供高質(zhì)量的IT服務(wù)，建立全組織的IT共享服務(wù)中心;

IT成為利潤(rùn)中心，對(duì)IT進(jìn)行財(cái)務(wù)核算和全面的績(jī)效評(píng)估;

IT控制進(jìn)一步完善，IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制高度融合，形成良好的信息安全企業(yè)文化，IT成為提升組織核心競(jìng)爭(zhēng)力的“發(fā)動(dòng)機(jī)”。