|
综合性的IT风险管理框架
我们在规划信息化时,除了要关注IT技术外,还要建立能使IT正常运转的制度,或者称为IT治理机制。对IT控制的内容进行合理扩充饼干增加控制的粒度,提出了一套适应我国IT风险实际情况的综合性风险管理框架。
完善IT风险控制体系,降低IT成本,实现IT与企业战略、管理、业务、安全的深度融合,使IT为企业持续地创造价值,有效率并有效果地进行信息化建设。 3.IT风险管理框架的内容 根据IT风险管理的目标和原则,我们给出IT风险管理框架的一种具体实现,其步骤如下图所示。 4.IT风险管理架构的原则 IT风险管理架构应遵循如下原则: 在战略层面,建立IT治理机制,使IT治理成为公司治理的一部分,在组织最高决策层上对信息化建设进行监管与制衡 。 在战术面上,为保护IT业务目标一致,有限利用IT资源,提高绩效,降低风险与控制成本,需按照国际普遍接受的企业内部控制标准。 采用国际上得到普遍认可的IT控制标准(例如,COBIT、ITIL、ISO27001)及行业最佳实践,为信息化管理提供规范和标准。 识别组织中的重要IT过程,确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程,推行过程管理的思想。 通过PDCD的过程,即计划、实施、调整、改进循环,使信息化保持在可持续发展的轨道上,阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。 持续地评估IT绩效,可以从整体信息化绩效、IT项目绩效及IT人员绩效等多方面进行评估,以了解当前IT状况,为及时的调整与改进提供依据。
责编:王雅京
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
|
|