第一階段：IT資源普查、建立初步控制

目標

總體治理框架的指導下，初步建立IT風險控制體系，為業(yè)務系統(tǒng)運行提供較可靠的保障。

主要措施：

業(yè)務流程調查，識別主要業(yè)務流程，并進行初步建模;

為企業(yè)的業(yè)務活動建立標準的數(shù)據(jù)體系，并具有快速識別新的業(yè)務需求和進行業(yè)務建模的能力;

進行IT架構設計，形成應用、數(shù)據(jù)、技術架構方面的規(guī)范與指南;

梳理IT流程、劃分安全域及識別信息資產，進行風險評估;

按照ISO27001、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系;

建立信息系統(tǒng)審計制度，從獨立、客觀的角度保證系統(tǒng)安全;

建立內部員工培訓制度，實施全員培訓。

第二階段：資源協(xié)同、全面控制

目標：

實現(xiàn)有效的資源協(xié)同，為業(yè)務活動提供可靠的支撐，深化IT風險控制，實現(xiàn)應用系統(tǒng)與安全系統(tǒng)的全面集成。

主要措施：

建立統(tǒng)一的應用系統(tǒng)平臺，實現(xiàn)IT資源協(xié)同，為己有業(yè)務及新業(yè)務提供靈活可靠的支撐平臺;

建立統(tǒng)一安全保障平臺，實現(xiàn)應用系統(tǒng)與安全系統(tǒng)全面集成;

建立IT服務管理機制，提高客戶對IT服務的滿意度;

深化信息安全管理、信息系統(tǒng)審計，建立較為完善的IT治理環(huán)境;

對IT組織、人員、流程、項目建立較為科學的績效考核制度。

第三階段：業(yè)務創(chuàng)新、完善控制

目標：

IT風險控制與企業(yè)風險控制高度融合，IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分，IT為企業(yè)創(chuàng)造新的競爭機遇。

主要措施：

IT戰(zhàn)略成為組織決策層的重要議題，IT參與企業(yè)流程再造，IT可以為企業(yè)創(chuàng)造新的利潤增長點;

為整個組織提供高質量的IT服務，建立全組織的IT共享服務中心;

IT成為利潤中心，對IT進行財務核算和全面的績效評估;

IT控制進一步完善，IT風險控制與企業(yè)風險控制高度融合，形成良好的信息安全企業(yè)文化，IT成為提升組織核心競爭力的“發(fā)動機”。