第一阶段：IT资源普查、建立初步控制

目标

总体治理框架的指导下，初步建立IT风险控制体系，为业务系统运行提供较可靠的保障。

主要措施：

业务流程调查，识别主要业务流程，并进行初步建模;

为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务建模的能力;

进行IT架构设计，形成应用、数据、技术架构方面的规范与指南;

梳理IT流程、划分安全域及识别信息资产，进行风险评估;

按照ISO27001、COBIT规范建立较可靠的信息安全管理和IT控制体系;

建立信息系统审计制度，从独立、客观的角度保证系统安全;

建立内部员工培训制度，实施全员培训。

第二阶段：资源协同、全面控制

目标：

实现有效的资源协同，为业务活动提供可靠的支撑，深化IT风险控制，实现应用系统与安全系统的全面集成。

主要措施：

建立统一的应用系统平台，实现IT资源协同，为己有业务及新业务提供灵活可靠的支撑平台;

建立统一安全保障平台，实现应用系统与安全系统全面集成;

建立IT服务管理机制，提高客户对IT服务的满意度;

深化信息安全管理、信息系统审计，建立较为完善的IT治理环境;

对IT组织、人员、流程、项目建立较为科学的绩效考核制度。

第三阶段：业务创新、完善控制

目标：

IT风险控制与企业风险控制高度融合，IT战略成为企业战略的重要组成部分，IT为企业创造新的竞争机遇。

主要措施：

IT战略成为组织决策层的重要议题，IT参与企业流程再造，IT可以为企业创造新的利润增长点;

为整个组织提供高质量的IT服务，建立全组织的IT共享服务中心;

IT成为利润中心，对IT进行财务核算和全面的绩效评估;

IT控制进一步完善，IT风险控制与企业风险控制高度融合，形成良好的信息安全企业文化，IT成为提升组织核心竞争力的“发动机”。