四、適用的IT風險管理框架
我們結合以上內容,進行合理擴充并增加控制的粒度,提出了一套適應我國IT風險實際情況的控制框架。
建立信息化的“游戲規則”
建造一個信息系統是容易的,讓這個系統正常地運轉起來并能實現業務價值,則是現實的難題。雖然采用先進的IT技術與產品、的管理方法在一定的程度上能降低IT風險,但并不十分保險,只有通過為IT引入一定的結構、規則與標準,使IT在“他律”(IT治理)的基礎上進行“自律”(IT管理),才能使得IT風險在一定的框架內上下左右浮動,不超過企業計劃中的風險范圍。
這個框架是IT風險管理框架,也可以稱為IT的“游戲規則”,忽略了規則的建立是國內信息化成功率低的根源,我們應當把建立信息化的“游戲規則”看成是信息化的重要內容之一。
IT風險管理框架的目標
完善IT風險控制體系,降低IT成本,實現IT與企業戰略、管理、業務、安全的深度融合,使IT為企業持續地創造價值,有效率并有效果地進行信息化。
IT風險管理框架的原則
建立IT治理機制,使IT治理成為公司治理的一部分,在組織的高決策層上對信息化的進行監管與制衡;
對IT進行規劃,確保IT戰略與業務戰略的一致,信息化一定要為業務所想、為業務所用,IT與業務的分離是信息化面臨的大風險。在總體規劃指導下進行應用、數據和技術方面的架構設計,以獲得標準化的技術規范與指南。
在技術與管理上保證和各種異構IT資源能在統一的架構環境下,實現協同工作、無縫地進行數據交換。
采用國際上得到普遍認可的IT控制標準(例如:COBIT、ITIL、ISO27001)及行業佳實踐,為信息化管理提供規范和標準;
識別組織中的重要IT過程,確定其目標、功能與職責。梳理出縱向上的技術管理過程和橫向上的客戶服務過程,推行過程管理的思想;
持續地評估IT績效,可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進行評估,以了解當前IT狀況,為及進的調整與改進提供依據;
通過PDCD的過程,即計劃、實施、調整、改進的循環,使信息化保持在可持續發展的軌道上,階段性地進行信息系統審計,以發現存在的偏離,及時調整到信息化的終目標上來。
IT風險管理框架的內容
根據IT風險管理的目標和原則,我們給出IT風險管理框架的一種具體實現,其步驟如圖所示:
