IT风险管理框架各环节描述如下:
完善IT治理结构
从宏观上来说,IT治理要综合公司治理结构、企业战略规划,使IT治理作为公司治理的一部分,也是要确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好的治理结构,通过对权力的监督与平衡,可把IT战略风险与管理风险控制在一定范围内,那么无论由谁来领导,IT的建设不会大起大落。
从微观上来说,为保护IT与业务目标一致,有限利用IT资源,提高绩效,降低风险与控制成本,需按照国际普遍接受的企业内部控制标准COBIT,在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程,有效地控制IT建设的整个生命周期的风险。
业务需求识别
当前企业竞争激烈、内部变革频繁,要实现IT与业务的融合,需要建立一套具备一定适应能力,能够识别不断变化的业务需求,并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力,准确、及时地捕捉组织的业务需求,并使之成为信息化建设与调整的依据,这是降低IT风险的可靠保证。
对业务需求的识别,需要IT人员了解企业的业务流程,并站在业务管理者的角度思考企业发展的重大问题,这对IT人员的提出了新的挑战。
业务建模
信息化项目无论是网络建设、安全建设,还是应用开发,都需要了解组织特征,确定业务流程,应当在信息化之前为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述,使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能,我们能较容易地完善业务流程,较容易地发现、识别新的业务机会(即业务的完善或革新),并为网络建设、安全建设及应用开发提供准确的需求定义。
数据标准化
“信息孤岛现象”是信息化的另一个较大风险,现在许多行业都在进行数据大集中,但遇到很多问题,进展缓慢,这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心,数据是稳定的,处理是多变的。数据标准化可以根本上解决数据质量控制问题,减少数据处理系统中数据元素总数,提供便捷而准确的信息,用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。
IT规划与架构设计
IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础,识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划,明确IT的投资方向,实现可控的IT投资成本,在有效地管理信息化有关风险的基础上,获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程,是现代企业的战略规划的重要组成部分,是企业商业模式创新的好机会,是企业管理系统变革的准备和前奏。
在总体规划的指导下,需要进行企业的整体IT框架设计,IT架构由应用、数据、技术架构构成,架构为IT标准化提供了依据和框架,有力地指导IT标准化的工作。IT标准化是架构应用的手段,是架构“落地”的工具,同时,在标准化过程中整个架构逐步完善。
IT业务流程优化
按照国际通行的IT控制框架,建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。
建立信息安全管理体系
建立信息安全管理体系是建立信息安全防线的起点,ISO27001是一个可以指导组织安全实践的信息安全管理标准,它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,保障组织的信息安全“滴水不漏”,确保组织业务的持续运营,维护企业的竞争优势。
IT服务管理
IT服务管理是一种以流程为导向、以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性,可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理,对组织的各种资源进行优化,形成全面、统一、集中的管理构架及服务管理流程,确保信息系统企业发展提供可靠、经验、高效的信息服务
IT项目管理与监理
IT项目管理是以项目为对象的系统管理方法,通过一个临时性的、专门的柔性组织,运用相关的知识、技术和手段,对项目进行高效率的计划、组织、指导和控制,以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中,可结合PMBOK和 PRINCE2的方法,使PMBOK定位于项目管理知识架构,PRINCE2定位于项目管理实施指南。
IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的《信息系统工程监理暂行规定》。