IT风险管理研究框架

五、IT风险控制框架的实施步骤

建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式，以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制框架的过程中，还要根据自身的实际情况应地制宜，灵活应用。

一般来说，组织在建立与完善IT风险管理框架时，可以分以下几个阶段实现：

第一阶段：IT资源普查、建立初步控制

目标

总体治理框架的指导下，初步建立IT风险控制体系，为业务系统运行提供较可靠的保障。

主要措施：

业务流程调查，识别主要业务流程，并进行初步建模；
为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务建模的能力；
进行IT架构设计，形成应用、数据、技术架构方面的规范与指南；
梳理IT流程、划分安全域及识别信息资产，进行风险评估；
按照ISO27001、COBIT规范建立较可靠的信息安全管理和IT控制体系；
建立信息系统审计制度，从独立、客观的角度保证系统安全；
建立内部员工培训制度，实施全员培训。
–
第二阶段：资源协同、全面控制

目标：

实现有效的资源协同，为业务活动提供可靠的支撑，深化IT风险控制，实现应用系统与安全系统的全面集成。

主要措施：

建立统一的应用系统平台，实现IT资源协同，为己有业务及新业务提供灵活可靠的支撑平台；
建立统一安全保障平台，实现应用系统与安全系统全面集成；
建立IT服务管理机制，提高客户对IT服务的满意度；
深化信息安全管理、信息系统审计，建立较为完善的IT治理环境；
对IT组织、人员、流程、项目建立较为科学的绩效考核制度。

第三阶段：业务创新、完善控制

目标：

IT风险控制与企业风险控制高度融合，IT战略成为企业战略的重要组成部分，IT为企业创造新的竞争机遇。

主要措施：
IT战略成为组织决策层的重要议题，IT参与企业流程再造，IT可以为企业创造新的利润增长点；
为整个组织提供高质量的IT服务，建立全组织的IT共享服务中心；
IT成为利润中心，对IT进行财务核算和全面的绩效评估；
IT控制进一步完善，IT风险控制与企业风险控制高度融合，形成良好的信息安全企业文化，IT成为提升组织核心竞争力的“发动机”。

IT风险管理研究框架

五、IT风险控制框架的实施步骤

建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式，以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制框架的过程中，还要根据自身的实际情况应地制宜，灵活应用。

一般来说，组织在建立与完善IT风险管理框架时，可以分以下几个阶段实现：

第一阶段：IT资源普查、建立初步控制

目标

总体治理框架的指导下，初步建立IT风险控制体系，为业务系统运行提供较可靠的保障。

主要措施：

业务流程调查，识别主要业务流程，并进行初步建模；
为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务建模的能力；
进行IT架构设计，形成应用、数据、技术架构方面的规范与指南；
梳理IT流程、划分安全域及识别信息资产，进行风险评估；
按照ISO27001、COBIT规范建立较可靠的信息安全管理和IT控制体系；
建立信息系统审计制度，从独立、客观的角度保证系统安全；
建立内部员工培训制度，实施全员培训。
–
第二阶段：资源协同、全面控制

目标：

实现有效的资源协同，为业务活动提供可靠的支撑，深化IT风险控制，实现应用系统与安全系统的全面集成。

主要措施：

建立统一的应用系统平台，实现IT资源协同，为己有业务及新业务提供灵活可靠的支撑平台；
建立统一安全保障平台，实现应用系统与安全系统全面集成；
建立IT服务管理机制，提高客户对IT服务的满意度；
深化信息安全管理、信息系统审计，建立较为完善的IT治理环境；
对IT组织、人员、流程、项目建立较为科学的绩效考核制度。

第三阶段：业务创新、完善控制

目标：

IT风险控制与企业风险控制高度融合，IT战略成为企业战略的重要组成部分，IT为企业创造新的竞争机遇。

主要措施：
IT战略成为组织决策层的重要议题，IT参与企业流程再造，IT可以为企业创造新的利润增长点；
为整个组织提供高质量的IT服务，建立全组织的IT共享服务中心；
IT成为利润中心，对IT进行财务核算和全面的绩效评估；
IT控制进一步完善，IT风险控制与企业风险控制高度融合，形成良好的信息安全企业文化，IT成为提升组织核心竞争力的“发动机”。