IT风险管理研究框架

IT风险管理研究框架

ID:38667905

大小:737.53 KB

页数:6页

时间:2019-06-17

IT风险管理研究框架_第1页
IT风险管理研究框架_第2页
IT风险管理研究框架_第3页
IT风险管理研究框架_第4页
IT风险管理研究框架_第5页
资源描述:

《IT风险管理研究框架》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、2009年版IT风险管理研究框架谷安天下陈伟作者简介:陈伟,前某著名国际咨询公司合伙人,清华大学EMBA班、北京大学CIO班特聘教授,在IT行业服务管理、系统集成、软件开发、信息安全与控制领域有十八年工作经验,著有《信息安全管理——全球最佳实务与实施指南》、《经营分析与信息技术》、《国际认证信息系统审计师认证指南》能,参与翻译《索耶内部审计》,《中国计算机用户》CSO专栏作假,发表多篇IT治理论文。1信息化的风险目前中国的信息化建设仍然属于“人治时代”,信息化的随意性较大,一方面组织缺乏对信息化进行整体规划、实施与控制的决策机制和责任担当框架,也没有形成信息化相关的制度;另一方面

2、组织在信息化过程中所涉及IT规划、实施、运行、检查的一系统IT流程,缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成IT系统与业务需求的“逻辑错位”。这就导致组织在信息化过程中存在很多风险,诸如技术标准不兼容的架构风险,信息化投资无法得到回报的绩效风险,开发的应用系统脆弱的风险或满足不了业务需要的风险等等。因而建立较完善的IT治理机制来解决信息化面临的风险,己是迫切地摆在我们面前的任务。2风险管理框架谷安天下通过对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究,发现信息化也像企业管理一样,需要制度创新,在信息化过程中,“制度重于一切”的定律同样

3、适用。例如,建造一个信息系统是容易的,让这个系统正常地运转起来并能实现业务价值,则是现实的难题。因而我们在规划信息化的时候,除了要关注IT技术外,还要建立IT治理机制使企业能达到信息化的目标。而进行IT风险管理是进行IT治理的最有效手段之一。谷安天下根据组织在信息化中存在的多方面的风险,结合COSO风险控制原理,对IT治理的内容进行合理扩充并增加控制的粒度,提出了一套适应我国IT风险实际情况的综合性风险管理框架。IT风险管理框架的目标完善IT风险控制体系,降低IT成本,实现IT与企业战略、管理、业务、安全的深度融合,使IT真正满足业务发展的需求,为企业持续创造价值。第1页共5页

4、IT风险管理框架的原则在战略层面,要综合公司治理结构和企业战略规划来建立IT治理机制,使IT治理成为公司治理的一部分,在组织最高决策层上对信息化进行监管与制衡,使沟通与反馈机制持续有效;在战术面上,为保护IT与业务目标一致,有限利用IT资源,提高绩效,降低风险与控制成本,需按照国际普遍接受的企业内部控制标准;对IT进行规划,确保IT战略与业务战略的一致,信息化一定要为业务所想、为业务所用,IT与业务的分离是信息化面临的最大风险;采用国际上得到普遍认可的IT控制标准(例如:COBIT、ITIL、ISO27001)及行业最佳实践,为信息化管理提供标准或规范;识别组织中的重

5、要IT过程,确定其目标、活动与职责。梳理出纵向的技术管理过程和横向的客户服务过程,推行过程管理的思想;通过PDCD的过程,即计划、实施、调整、改进的循环,使信息化保持在可持续发展的轨道上,阶段性地进行信息系统审计和过程目标评估,以发现存在的偏离并及时调整到IT治理的目标上来;持续地评估IT绩效,可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估,以了解当前IT状况,为及时的调整与改进提供依据。IT风险管理框架的内容根据IT风险管理的目标和原则,我们给出IT风险管理框架的一种具体实现,其步骤如图所示:第2页共5页3IT风险管理框架的建立过程在组织中建立完整的I

6、T风险管理框架是一项长期的工作,不可能一蹴而就,应当从基础到高级,从容易到复杂一步步分阶段实现,最终使IT成为组织的核心竞争力。第3页共5页第一阶段:IT规划与架构设计目标:进行信息化基础建设,构筑支撑业务运行的IT基础平台,建立完善的技术框架和管理流程。主要措施:业务流程调查,识别主要业务流程,并进行初步建模;为企业的业务活动建立标准的数据体系,并具有快速识别新的业务需求和进行业务建模的能力;审视业务战略,建立IT愿景目标,进行IT规划与架构设计,建立规范的IT技术标准与管理标准;建立项目管理与监理制度,对项目进行绩效分析与控制。建立内部员工培训制度,实施全员培训。第

7、二阶段:完善IT治理、初步控制目标:在总体治理框架的指导下,初步建立IT风险控制体系,为业务系统运行提供较可靠的保障。主要措施:建立IT治理委员会,完善IT决策机制及职责担当框架,确保IT战略进入组织的业务战略,使IT进入组织最高管理层的日常议题;划分安全域,识别信息资产,进行风险评估,按照ISO27001建立信息安全管理体系,保护组织信息资产的机密性、完整性及可用性;按照ITIL规范建立IT服务管理体系,保护组织IT服务的可靠交付,提高运行绩效和客户满意度;按照CMMI

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。