IT风险管理研究框架

IT规划与架构设计

IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础，识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划，明确IT的投资方向，实现可控的IT投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程，是现代企业的战略规划的重要组成部分，是企业商业模式创新的最好机会，是企业管理系统变革的准备和前奏。

在总体规划的指导下，需要进行企业的整体IT框架设计，IT架构由应用、数据、技术架构构成，架构为IT标准化提供了依据和框架，有力地指导IT标准化的工作。IT标准化是架构应用的手段，是架构“落地”的工具，同时，在标准化过程中整个架构逐步完善。

IT业务流程优化

按照国际通行的IT控制框架，建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。

建立信息安全管理体系

建立信息安全管理体系是建立信息安全防线的起点，ISO27001是一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信息安全“滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。

IT服务管理

IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性，可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理，对组织的各种资源进行优化，形成全面、统一、集中的管理构架及服务管理流程，确保信息系统企业发展提供可靠、经验、高效的信息服务

IT项目管理与监理

IT项目管理就是以项目为对象的系统管理方法，通过一个临时性的、专门的柔性组织，运用相关的知识、技术和手段，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中，可结合PMBOK和 PRINCE2的方法，使PMBOK定位于项目管理知识架构，PRINCE2定位于项目管理实施指南。

IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的《信息系统工程监理暂行规定》。

IT应急计划

组织应当制定和执行应急计划，通过预防性和恢复性措施的结合，把灾难或者安全事故（例如可能由于自然灾害、突发事件、设备故障和故意的行为）所导致的破坏减少到一个可以接受的水平。IT应急计划呈现了在紧急事件发生后为了维持和恢复关键的IT服务所进行的范围广泛的活动。IT应急计划适合于广泛的紧急事件准备环境，包括组织和业务处理连续性及恢复计划。为了对影响组织IT系统、业务处理和设施的外部威胁作出反应，并恢复和保持连续性的活动，组织通常会应用一系列计划进行准备工作。

IT资源协同

IT资源协同可以通过架构设计、技术产品、管理协调、业务外包及建立共享服务中心等多种方式实现。其目的是实现信息共享、业务整合和资源优化，以破解“信息孤岛”、“应用孤岛”和“资源孤岛”三大难题。

IT资源协同首先是对信息的高度共享。信息共享是为了最大限度的发挥其本身的价值，无论是企业管理者、员工、还是外部的合作伙伴，都可以很方便的查找到相关的信息以支持事务的处理，并利用信息创造新的价值。

其次是对各个业务的整合。这些业务尽管更多的时候从属于企业的不同人员、不同部门，但本质上来说它们都是紧密关联的，并形成企业特有的业务体系，企业需要对各个业务进行充分的整合以使业务能够协调和平滑运作，任何业务链的“断折”或业务的“死角”都会对企业的运营产生影响。

第三是对各种资源的调配和优化。这些资源包括企业的人、财、物、信息和流程，当企业实现了信息共享和业务整合后，企业的“神经网络体系”才能够高效和通畅的运转，并使这些资源能够突破各种壁垒和障碍，在企业统一管理和协调下为共同的目标实现而服务。

IT绩效测量

对IT进行绩效测量无论是在国内还是国外都是一个难点。对IT进行绩效测量首先应当进行IT投资效益分析，使投资的成本和收益都明细化和具体化，以辅助进行IT投资决策和IT投资风险控制。

其次，是对IT进行财务管理。IT财务管理包括IT预算、IT会计及IT计费。IT预算为IT的运营提供预算计划，从而为维持和改善服务预测未来的花费。IT会计核算保证了花费在批准的计划范围之内，并且使资金得到很好的利用。IT计费使我们对向一个特定业务单元提供服务的成本有一个更好的了解，并且使业务部门对自己的服务消费更加负有责任。

第三是进行IT绩效分析。持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，使IT和业务部门都知道IT对实现业务目标的贡献是怎样的，帮助IT组织将工作与关键业务目标结合在一起，并通过客观评价报告和改进绩效，帮助组织获得业务部门领导的信任，为及进的调整与改进提供依据。

信息系统审计

信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。信息系统审计是一种控制信息系统风险的有效方式，它是从独立的、第三方的的角度来审视信息化过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性，并可对IT的绩效进行审计，以发现偏离，促进及进进行调整。

IT风险管理研究框架

IT规划与架构设计

IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础，识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划，明确IT的投资方向，实现可控的IT投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程，是现代企业的战略规划的重要组成部分，是企业商业模式创新的最好机会，是企业管理系统变革的准备和前奏。

在总体规划的指导下，需要进行企业的整体IT框架设计，IT架构由应用、数据、技术架构构成，架构为IT标准化提供了依据和框架，有力地指导IT标准化的工作。IT标准化是架构应用的手段，是架构“落地”的工具，同时，在标准化过程中整个架构逐步完善。

IT业务流程优化

按照国际通行的IT控制框架，建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。

建立信息安全管理体系

建立信息安全管理体系是建立信息安全防线的起点，ISO27001是一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信息安全“滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。

IT服务管理

IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性，可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理，对组织的各种资源进行优化，形成全面、统一、集中的管理构架及服务管理流程，确保信息系统企业发展提供可靠、经验、高效的信息服务

IT项目管理与监理

IT项目管理就是以项目为对象的系统管理方法，通过一个临时性的、专门的柔性组织，运用相关的知识、技术和手段，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中，可结合PMBOK和 PRINCE2的方法，使PMBOK定位于项目管理知识架构，PRINCE2定位于项目管理实施指南。

IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的《信息系统工程监理暂行规定》。

IT应急计划

组织应当制定和执行应急计划，通过预防性和恢复性措施的结合，把灾难或者安全事故（例如可能由于自然灾害、突发事件、设备故障和故意的行为）所导致的破坏减少到一个可以接受的水平。IT应急计划呈现了在紧急事件发生后为了维持和恢复关键的IT服务所进行的范围广泛的活动。IT应急计划适合于广泛的紧急事件准备环境，包括组织和业务处理连续性及恢复计划。为了对影响组织IT系统、业务处理和设施的外部威胁作出反应，并恢复和保持连续性的活动，组织通常会应用一系列计划进行准备工作。

IT资源协同

IT资源协同可以通过架构设计、技术产品、管理协调、业务外包及建立共享服务中心等多种方式实现。其目的是实现信息共享、业务整合和资源优化，以破解“信息孤岛”、“应用孤岛”和“资源孤岛”三大难题。

IT资源协同首先是对信息的高度共享。信息共享是为了最大限度的发挥其本身的价值，无论是企业管理者、员工、还是外部的合作伙伴，都可以很方便的查找到相关的信息以支持事务的处理，并利用信息创造新的价值。

其次是对各个业务的整合。这些业务尽管更多的时候从属于企业的不同人员、不同部门，但本质上来说它们都是紧密关联的，并形成企业特有的业务体系，企业需要对各个业务进行充分的整合以使业务能够协调和平滑运作，任何业务链的“断折”或业务的“死角”都会对企业的运营产生影响。

第三是对各种资源的调配和优化。这些资源包括企业的人、财、物、信息和流程，当企业实现了信息共享和业务整合后，企业的“神经网络体系”才能够高效和通畅的运转，并使这些资源能够突破各种壁垒和障碍，在企业统一管理和协调下为共同的目标实现而服务。

IT绩效测量

对IT进行绩效测量无论是在国内还是国外都是一个难点。对IT进行绩效测量首先应当进行IT投资效益分析，使投资的成本和收益都明细化和具体化，以辅助进行IT投资决策和IT投资风险控制。

其次，是对IT进行财务管理。IT财务管理包括IT预算、IT会计及IT计费。IT预算为IT的运营提供预算计划，从而为维持和改善服务预测未来的花费。IT会计核算保证了花费在批准的计划范围之内，并且使资金得到很好的利用。IT计费使我们对向一个特定业务单元提供服务的成本有一个更好的了解，并且使业务部门对自己的服务消费更加负有责任。

第三是进行IT绩效分析。持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，使IT和业务部门都知道IT对实现业务目标的贡献是怎样的，帮助IT组织将工作与关键业务目标结合在一起，并通过客观评价报告和改进绩效，帮助组织获得业务部门领导的信任，为及进的调整与改进提供依据。

信息系统审计

信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。信息系统审计是一种控制信息系统风险的有效方式，它是从独立的、第三方的的角度来审视信息化过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性，并可对IT的绩效进行审计，以发现偏离，促进及进进行调整。