IT風(fēng)險(xiǎn)管理研究框架

《IT風(fēng)險(xiǎn)管理研究框架》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、2009年版IT風(fēng)險(xiǎn)管理研究框架谷安天下陳偉作者簡(jiǎn)介：陳偉，前某著名國際咨詢公司合伙人，清華大學(xué)EMBA班、北京大學(xué)CIO班特聘教授，在IT行業(yè)服務(wù)管理、系統(tǒng)集成、軟件開發(fā)、信息安全與控制領(lǐng)域有十八年工作經(jīng)驗(yàn)，著有《信息安全管理——全球最佳實(shí)務(wù)與實(shí)施指南》、《經(jīng)營分析與信息技術(shù)》、《國際認(rèn)證信息系統(tǒng)審計(jì)師認(rèn)證指南》能，參與翻譯《索耶內(nèi)部審計(jì)》，《中國計(jì)算機(jī)用戶》CSO專欄作假，發(fā)表多篇IT治理論文。1信息化的風(fēng)險(xiǎn)目前中國的信息化建設(shè)仍然屬于“人治時(shí)代”，信息化的隨意性較大，一方面組織缺乏對(duì)信息化進(jìn)行整體規(guī)劃、實(shí)施與控制的決策機(jī)制和責(zé)任擔(dān)當(dāng)框架，也沒有形成信息化相關(guān)的制度；另一方面

2、組織在信息化過程中所涉及IT規(guī)劃、實(shí)施、運(yùn)行、檢查的一系統(tǒng)IT流程，缺乏制度化與標(biāo)準(zhǔn)化的約束，缺乏部門之間及流程之間協(xié)調(diào)、溝通的機(jī)制，造成IT系統(tǒng)與業(yè)務(wù)需求的“邏輯錯(cuò)位”。這就導(dǎo)致組織在信息化過程中存在很多風(fēng)險(xiǎn)，諸如技術(shù)標(biāo)準(zhǔn)不兼容的架構(gòu)風(fēng)險(xiǎn)，信息化投資無法得到回報(bào)的績(jī)效風(fēng)險(xiǎn)，開發(fā)的應(yīng)用系統(tǒng)脆弱的風(fēng)險(xiǎn)或滿足不了業(yè)務(wù)需要的風(fēng)險(xiǎn)等等。因而建立較完善的IT治理機(jī)制來解決信息化面臨的風(fēng)險(xiǎn)，己是迫切地?cái)[在我們面前的任務(wù)。2風(fēng)險(xiǎn)管理框架谷安天下通過對(duì)企業(yè)大量的信息化失敗案例和對(duì)信息化建設(shè)中深層次機(jī)制問題的研究，發(fā)現(xiàn)信息化也像企業(yè)管理一樣，需要制度創(chuàng)新，在信息化過程中，“制度重于一切”的定律同樣

3、適用。例如，建造一個(gè)信息系統(tǒng)是容易的，讓這個(gè)系統(tǒng)正常地運(yùn)轉(zhuǎn)起來并能實(shí)現(xiàn)業(yè)務(wù)價(jià)值，則是現(xiàn)實(shí)的難題。因而我們?cè)谝?guī)劃信息化的時(shí)候，除了要關(guān)注IT技術(shù)外，還要建立IT治理機(jī)制使企業(yè)能達(dá)到信息化的目標(biāo)。而進(jìn)行IT風(fēng)險(xiǎn)管理是進(jìn)行IT治理的最有效手段之一。谷安天下根據(jù)組織在信息化中存在的多方面的風(fēng)險(xiǎn)，結(jié)合COSO風(fēng)險(xiǎn)控制原理，對(duì)IT治理的內(nèi)容進(jìn)行合理擴(kuò)充并增加控制的粒度，提出了一套適應(yīng)我國IT風(fēng)險(xiǎn)實(shí)際情況的綜合性風(fēng)險(xiǎn)管理框架。?IT風(fēng)險(xiǎn)管理框架的目標(biāo)完善IT風(fēng)險(xiǎn)控制體系，降低IT成本，實(shí)現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合，使IT真正滿足業(yè)務(wù)發(fā)展的需求，為企業(yè)持續(xù)創(chuàng)造價(jià)值。第1頁共5頁

4、?IT風(fēng)險(xiǎn)管理框架的原則?在戰(zhàn)略層面，要綜合公司治理結(jié)構(gòu)和企業(yè)戰(zhàn)略規(guī)劃來建立IT治理機(jī)制，使IT治理成為公司治理的一部分，在組織最高決策層上對(duì)信息化進(jìn)行監(jiān)管與制衡，使溝通與反饋機(jī)制持續(xù)有效；?在戰(zhàn)術(shù)面上，為保護(hù)IT與業(yè)務(wù)目標(biāo)一致，有限利用IT資源，提高績(jī)效，降低風(fēng)險(xiǎn)與控制成本，需按照國際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)；?對(duì)IT進(jìn)行規(guī)劃，確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致，信息化一定要為業(yè)務(wù)所想、為業(yè)務(wù)所用，IT與業(yè)務(wù)的分離是信息化面臨的最大風(fēng)險(xiǎn)；?采用國際上得到普遍認(rèn)可的IT控制標(biāo)準(zhǔn)（例如：COBIT、ITIL、ISO27001）及行業(yè)最佳實(shí)踐，為信息化管理提供標(biāo)準(zhǔn)或規(guī)范；?識(shí)別組織中的重

5、要IT過程，確定其目標(biāo)、活動(dòng)與職責(zé)。梳理出縱向的技術(shù)管理過程和橫向的客戶服務(wù)過程，推行過程管理的思想；?通過PDCD的過程，即計(jì)劃、實(shí)施、調(diào)整、改進(jìn)的循環(huán)，使信息化保持在可持續(xù)發(fā)展的軌道上，階段性地進(jìn)行信息系統(tǒng)審計(jì)和過程目標(biāo)評(píng)估，以發(fā)現(xiàn)存在的偏離并及時(shí)調(diào)整到IT治理的目標(biāo)上來；?持續(xù)地評(píng)估IT績(jī)效，可以從整體信息化績(jī)效、IT項(xiàng)目績(jī)效及IT人員績(jī)效等多個(gè)方面進(jìn)行評(píng)估，以了解當(dāng)前IT狀況，為及時(shí)的調(diào)整與改進(jìn)提供依據(jù)。?IT風(fēng)險(xiǎn)管理框架的內(nèi)容根據(jù)IT風(fēng)險(xiǎn)管理的目標(biāo)和原則，我們給出IT風(fēng)險(xiǎn)管理框架的一種具體實(shí)現(xiàn)，其步驟如圖所示：第2頁共5頁3IT風(fēng)險(xiǎn)管理框架的建立過程在組織中建立完整的I

6、T風(fēng)險(xiǎn)管理框架是一項(xiàng)長(zhǎng)期的工作，不可能一蹴而就，應(yīng)當(dāng)從基礎(chǔ)到高級(jí)，從容易到復(fù)雜一步步分階段實(shí)現(xiàn)，最終使IT成為組織的核心競(jìng)爭(zhēng)力。第3頁共5頁第一階段：IT規(guī)劃與架構(gòu)設(shè)計(jì)目標(biāo)：進(jìn)行信息化基礎(chǔ)建設(shè)，構(gòu)筑支撐業(yè)務(wù)運(yùn)行的IT基礎(chǔ)平臺(tái)，建立完善的技術(shù)框架和管理流程。主要措施：?業(yè)務(wù)流程調(diào)查，識(shí)別主要業(yè)務(wù)流程，并進(jìn)行初步建模；?為企業(yè)的業(yè)務(wù)活動(dòng)建立標(biāo)準(zhǔn)的數(shù)據(jù)體系，并具有快速識(shí)別新的業(yè)務(wù)需求和進(jìn)行業(yè)務(wù)建模的能力；?審視業(yè)務(wù)戰(zhàn)略，建立IT愿景目標(biāo)，進(jìn)行IT規(guī)劃與架構(gòu)設(shè)計(jì)，建立規(guī)范的IT技術(shù)標(biāo)準(zhǔn)與管理標(biāo)準(zhǔn)；?建立項(xiàng)目管理與監(jiān)理制度，對(duì)項(xiàng)目進(jìn)行績(jī)效分析與控制。?建立內(nèi)部員工培訓(xùn)制度，實(shí)施全員培訓(xùn)。第

7、二階段：完善IT治理、初步控制目標(biāo)：在總體治理框架的指導(dǎo)下，初步建立IT風(fēng)險(xiǎn)控制體系，為業(yè)務(wù)系統(tǒng)運(yùn)行提供較可靠的保障。主要措施：?建立IT治理委員會(huì)，完善IT決策機(jī)制及職責(zé)擔(dān)當(dāng)框架，確保IT戰(zhàn)略進(jìn)入組織的業(yè)務(wù)戰(zhàn)略，使IT進(jìn)入組織最高管理層的日常議題；?劃分安全域，識(shí)別信息資產(chǎn)，進(jìn)行風(fēng)險(xiǎn)評(píng)估，按照ISO27001建立信息安全管理體系，保護(hù)組織信息資產(chǎn)的機(jī)密性、完整性及可用性；?按照ITIL規(guī)范建立IT服務(wù)管理體系，保護(hù)組織IT服務(wù)的可靠交付，提高運(yùn)行績(jī)效和客戶滿意度；?按照CMMI