2013-12-10 09:17:55 来源:CIO时代网
IT控制框架的建立过程
在组织中建立完整的IT控制框架是一项长期的工作,不可能一蹴而就,应当从基础到高级,从容易到复杂一步步分阶段实现,最终使IT成为组织的核心竞争力,如图所示:
第一阶段:IT规划与架构设计
1.目标
本阶段的目标是,进行信息化基础建设,构筑支撑业务运行的IT基础平台,建立完善的技术框架和管理流程。
2.主要措施
第一阶段所采取的措施如下:
·业务流程调查,识别主要的业务流程,并进行初步建模。
·为企业的业务活动建立标准的数据体系,并具有快速识别新的业务需求和进行业务建模的能力。
·审视业务战略,建立IT愿景目标,进行IT规划与架构设计,建立规范的IT技术标准与管理标准。
·建立项目管理与监理制度,对项目进行绩效分析与控制。
·建立内部员工培训制度,实施全员培训。
第二阶段:完善IT治理,初步控制
1.目标
本阶段的目标是,在总体治理框架的指导下,初步建立IT风险控制体系,为业务系统运行提供较可靠的保障。
2.主要措施
第二阶段采取的措施如下:
·建立IT治理委员会,完善IT决策机制及职责担当框架,确保IT战略进入组织的业务战略,使IT进入组织最高管理层的日常议题。
·划分安全域,识别信息资产,进行风险评估,按照ISO27001建立信息安全体系,保护组织信息资产的机密性、完整性及可用性。
·按照ITIL规范建立IT服务管理体系,保护组织及IT服务的可靠支付,提高运行绩效可客户满意度。
·按照CMMI标准的要求,完善组织的软件开发过程,提高软件的质量。
·建立业务持续性计划(BCP),保证组织的业务及IT在发生较大的灾难时能够持续运行。
[page] 第三阶段:资源协同,全面控制
1.目标
本阶段的目标是,实现有效的资源协同,为业务活动提供可靠的支撑,深化IT风险控制,实现应用系统与安全系统的全面集成。
2.主要措施
第三阶段所采取的措施如下:
·建立统一的应用系统平台,实现IT资源协同,为已有业务及新业务提供灵活可靠的支撑平台。
·建立统一安全保障平台,建立有效的应用控制机制,实现应用系统与安全系统全面集成。
·完善IT服务管理机制,进一步提高客户对IT服务的满意度,对IT服务进行量化管理。
·梳理各类IT流程,建立规范化的IT流程控制框架,按照COSO及COBIT建立IT流程框架,明确各流程的KPI、KGI及CMM等级,形成完备的IT流程控制体系。
·建立信息系统审计系统,从独立、客观的角度保证IT系统的效率与效果。
·对IT组织、人员、流程、项目建立较为科学的绩效考核制度。
第四阶段:业务创新,完善控制
1.目标
本阶段的目标是,实现IT风险控制与企业风险控制的高度融合,使IT战略成为企业战略的重要组成部分,IT为企业创造新的竞争机遇。
2.主要措施:
第四阶段所采取的措施如下:
·IT战略成为组织决策层的重要议题,IT参与企业流程再造,IT可以为企业创造新的利润增长点。
·为整个组织提供高质量的IT服务,建立全组织的IT共享服务中心。
·IT成为利润中心,对IT进行财务核算。
·IT控制进一步完善,IT风险控制与企业风险控制高度融合,形成良好的信息安全企业文化。
总之建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式。以上所介绍的IT风险控制过程是通过多年的研究及实践总结出来的通用方法论,不同的组织在建立控制的过程中,还要根据自身的实际情况因地制宜,灵活应用。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。