IT風(fēng)險管理框架各環(huán)節(jié)描述如下:
完善IT治理結(jié)構(gòu)
從宏觀上來說���,IT治理要綜合公司治理結(jié)構(gòu)����、企業(yè)戰(zhàn)略規(guī)劃�,使IT治理作為公司治理的一部分,也是要確定IT原則���、IT架構(gòu)���、基礎(chǔ)設(shè)施、應(yīng)用設(shè)施和投資優(yōu)先順序的決策權(quán)歸屬和職責(zé)分工����。通過建立IT委員會的方式來建立良好的治理結(jié)構(gòu)�����,通過對權(quán)力的監(jiān)督與平衡,可把IT戰(zhàn)略風(fēng)險與管理風(fēng)險控制在一定范圍內(nèi)����,那么無論由誰來領(lǐng)導(dǎo),IT的建設(shè)不會大起大落�。
從微觀上來說,為保護IT與業(yè)務(wù)目標一致�,有限利用IT資源,提高績效��,降低風(fēng)險與控制成本��,需按照國際普遍接受的企業(yè)內(nèi)部控制標準COBIT�,在IT的計劃與組織、獲得與實施��、交付與支持�、監(jiān)控四個領(lǐng)域建立IT控制過程,有效地控制IT建設(shè)的整個生命周期的風(fēng)險�。
業(yè)務(wù)需求識別
當前企業(yè)競爭激烈、內(nèi)部變革頻繁��,要實現(xiàn)IT與業(yè)務(wù)的融合�,需要建立一套具備一定適應(yīng)能力����,能夠識別不斷變化的業(yè)務(wù)需求���,并能夠快速有效地作為響應(yīng)的機制�。業(yè)務(wù)需求是促進IT發(fā)展的源動力�,準確、及時地捕捉組織的業(yè)務(wù)需求�,并使之成為信息化建設(shè)與調(diào)整的依據(jù),這是降低IT風(fēng)險的可靠保證���。
對業(yè)務(wù)需求的識別�����,需要IT人員了解企業(yè)的業(yè)務(wù)流程��,并站在業(yè)務(wù)管理者的角度思考企業(yè)發(fā)展的重大問題��,這對IT人員的提出了新的挑戰(zhàn)�。
業(yè)務(wù)建模
信息化項目無論是網(wǎng)絡(luò)建設(shè)�、安全建設(shè),還是應(yīng)用開發(fā)�,都需要了解組織特征���,確定業(yè)務(wù)流程����,應(yīng)當在信息化之前為組織建立可靠的業(yè)務(wù)模型。業(yè)務(wù)建����?梢詣(chuàng)建一個復(fù)雜業(yè)務(wù)的抽象描述,使其成為同業(yè)務(wù)中各項目相關(guān)人員(如擁有者��、管理者����、雇員和客戶)交流的基礎(chǔ)。一旦能更好地理解業(yè)務(wù)功能�,我們能較容易地完善業(yè)務(wù)流程,較容易地發(fā)現(xiàn)�����、識別新的業(yè)務(wù)機會(即業(yè)務(wù)的完善或革新)����,并為網(wǎng)絡(luò)建設(shè)�、安全建設(shè)及應(yīng)用開發(fā)提供準確的需求定義����。
數(shù)據(jù)標準化
“信息孤島現(xiàn)象”是信息化的另一個較大風(fēng)險,現(xiàn)在許多行業(yè)都在進行數(shù)據(jù)大集中����,但遇到很多問題,進展緩慢����,這都與沒有做好前期數(shù)據(jù)規(guī)劃、實施數(shù)據(jù)標準化有關(guān)�。IT系統(tǒng)的建設(shè)首先要以數(shù)據(jù)為中心,數(shù)據(jù)是穩(wěn)定的���,處理是多變的�。數(shù)據(jù)標準化可以根本上解決數(shù)據(jù)質(zhì)量控制問題�,減少數(shù)據(jù)處理系統(tǒng)中數(shù)據(jù)元素總數(shù),提供便捷而準確的信息�����,用戶方便快速地檢索到所需信息����。數(shù)據(jù)標準化為提高信息的互操作性�、減少信息孤島���、降低信息化的風(fēng)險奠定了基礎(chǔ)�。
IT規(guī)劃與架構(gòu)設(shè)計
IT系統(tǒng)規(guī)劃是以組織的目標���、戰(zhàn)略、目的��、過程以及信息需求為基礎(chǔ)���,識別并選擇建立哪種IT系統(tǒng)以及什么時間建立的過程��。通過IT規(guī)劃�,明確IT的投資方向���,實現(xiàn)可控的IT投資成本���,在有效地管理信息化有關(guān)風(fēng)險的基礎(chǔ)上,獲得可持續(xù)改進和提升的IT能力�。有效的IT規(guī)劃可以將組織戰(zhàn)略目標轉(zhuǎn)化為IT系統(tǒng)的戰(zhàn)略目標的過程�����,是現(xiàn)代企業(yè)的戰(zhàn)略規(guī)劃的重要組成部分���,是企業(yè)商業(yè)模式創(chuàng)新的好機會,是企業(yè)管理系統(tǒng)變革的準備和前奏���。
在總體規(guī)劃的指導(dǎo)下���,需要進行企業(yè)的整體IT框架設(shè)計,IT架構(gòu)由應(yīng)用�����、數(shù)據(jù)�����、技術(shù)架構(gòu)構(gòu)成�,架構(gòu)為IT標準化提供了依據(jù)和框架,有力地指導(dǎo)IT標準化的工作��。IT標準化是架構(gòu)應(yīng)用的手段,是架構(gòu)“落地”的工具����,同時�����,在標準化過程中整個架構(gòu)逐步完善�。
IT業(yè)務(wù)流程優(yōu)化
按照國際通行的IT控制框架,建立并優(yōu)化從信息技術(shù)的規(guī)劃與組織����、采集與實施��、交付與支持����、監(jiān)控等四個方面的多個信息技術(shù)處理過程�。從質(zhì)量、成本�、時間�、資源利用率、系統(tǒng)效率、保密性���、完整性�����、可用性等方面來保證信息的安全性、可靠性�����、有效性�。
建立信息安全管理體系
建立信息安全管理體系是建立信息安全防線的起點,ISO27001是一個可以指導(dǎo)組織安全實踐的信息安全管理標準����,它從管理��、技術(shù)����、人員、過程的角度來定義�����、建立、實施信息安全管理體系���,保障組織的信息安全“滴水不漏”�,確保組織業(yè)務(wù)的持續(xù)運營����,維護企業(yè)的競爭優(yōu)勢����。
IT服務(wù)管理
IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法��,它通過整合IT服務(wù)與組織業(yè)務(wù),提高組織IT服務(wù)提供和服務(wù)支持的能力及其水平��。建立有效的IT服務(wù)管理體系有助于為組織提高IT服務(wù)的有效性與經(jīng)濟性��,可以消除 “信息技術(shù)人員充當救火隊員”的局面��。通過對業(yè)務(wù)支撐系統(tǒng)實施IT服務(wù)管理����,對組織的各種資源進行優(yōu)化,形成全面����、統(tǒng)一、集中的管理構(gòu)架及服務(wù)管理流程����,確保信息系統(tǒng)企業(yè)發(fā)展提供可靠�、經(jīng)驗、高效的信息服務(wù)
IT項目管理與監(jiān)理
IT項目管理是以項目為對象的系統(tǒng)管理方法���,通過一個臨時性的�、專門的柔性組織���,運用相關(guān)的知識�、技術(shù)和手段����,對項目進行高效率的計劃�����、組織、指導(dǎo)和控制�,以實現(xiàn)項目全過程的動態(tài)管理和項目目標的綜合協(xié)調(diào)與優(yōu)化。在IT項目管理中�,可結(jié)合PMBOK和 PRINCE2的方法,使PMBOK定位于項目管理知識架構(gòu)��,PRINCE2定位于項目管理實施指南��。
IT項目監(jiān)理的中心任務(wù)是要規(guī)劃和控制工程項目的投資���、進度和質(zhì)量三大目標;監(jiān)理的基本方法是目標規(guī)劃、動態(tài)控制��、組織協(xié)調(diào)和合同管理;監(jiān)理工作貫穿規(guī)劃���、設(shè)計、實施和驗收的全過程���。信息工程監(jiān)理正是通過投資控制�、進度控制�、質(zhì)量控制以及合同管理和信息管理來對工程項目進行監(jiān)督和管理����,保證工程的順利進行和工程質(zhì)量。具體的監(jiān)理辦法可參照信息產(chǎn)業(yè)部發(fā)布的《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》�����。
