四、适用的IT风险管理框架

我们结合以上内容，进行合理扩充并增加控制的粒度，提出了一套适应我国IT风险实际情况的控制框架。

建立信息化的“游戏规则”

建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”(IT治理)的基础上进行“自律”(IT管理)，才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。

这个框架是IT风险管理框架，也可以称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

IT风险管理框架的目标

完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。

IT风险管理框架的原则

建立IT治理机制，使IT治理成为公司治理的一部分，在组织的高决策层上对信息化的进行监管与制衡;

对IT进行规划，确保IT战略与业务战略的一致，信息化一定要为业务所想、为业务所用，IT与业务的分离是信息化面临的大风险。在总体规划指导下进行应用、数据和技术方面的架构设计，以获得标准化的技术规范与指南。

在技术与管理上保证和各种异构IT资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。

采用国际上得到普遍认可的IT控制标准(例如：COBIT、ITIL、ISO27001)及行业佳实践，为信息化管理提供规范和标准;

识别组织中的重要IT过程，确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行过程管理的思想;

持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据;

通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的终目标上来。

IT风险管理框架的内容

根据IT风险管理的目标和原则，我们给出IT风险管理框架的一种具体实现，其步骤如图所示：