在組織中建立完整的IT控制框架是一項(xiàng)長(zhǎng)期的工作,，不可能一蹴而就，應(yīng)當(dāng)從基礎(chǔ)到高級(jí),，從容易到復(fù)雜一步步分階段實(shí)現(xiàn),，最終使IT成為組織的核心競(jìng)爭(zhēng)力。

第一階段：IT規(guī)劃與架構(gòu)設(shè)計(jì)

1.目標(biāo)

本階段的目標(biāo)是,，進(jìn)行信息化基礎(chǔ)建設(shè),，構(gòu)筑支撐業(yè)務(wù)運(yùn)行的IT基礎(chǔ)平臺(tái)，建立完善的技術(shù)框架和管理流程,。

2.主要措施

第一階段所采取的措施如下：

·業(yè)務(wù)流程調(diào)查,，識(shí)別主要的業(yè)務(wù)流程，并進(jìn)行初步建模,。

·為企業(yè)的業(yè)務(wù)活動(dòng)建立標(biāo)準(zhǔn)的數(shù)據(jù)體系,，并具有快速識(shí)別新的業(yè)務(wù)需求和進(jìn)行業(yè)務(wù)建模的能力。

·審視業(yè)務(wù)戰(zhàn)略,，建立IT愿景目標(biāo),，進(jìn)行IT規(guī)劃與架構(gòu)設(shè)計(jì)，建立規(guī)范的IT技術(shù)標(biāo)準(zhǔn)與管理標(biāo)準(zhǔn),。

·建立項(xiàng)目管理與監(jiān)理制度,，對(duì)項(xiàng)目進(jìn)行績(jī)效分析與控制。

·建立內(nèi)部員工培訓(xùn)制度,，實(shí)施全員培訓(xùn),。

第二階段：完善IT治理，初步控制

1.目標(biāo)

本階段的目標(biāo)是,，在總體治理框架的指導(dǎo)下,，初步建立IT風(fēng)險(xiǎn)控制體系,，為業(yè)務(wù)系統(tǒng)運(yùn)行提供較可靠的保障。

2.主要措施

第二階段采取的措施如下：

建立IT治理委員會(huì),，完善IT決策機(jī)制及職責(zé)擔(dān)當(dāng)框架,，確保IT戰(zhàn)略進(jìn)入組織的業(yè)務(wù)戰(zhàn)略，使IT進(jìn)入組織最高管理層的日常議題,。

劃分安全域,，識(shí)別信息資產(chǎn)，進(jìn)行風(fēng)險(xiǎn)評(píng)估,，按照ISO27001建立信息安全體系,，保護(hù)組織信息資產(chǎn)的機(jī)密性、完整性及可用性,。

·按照ITIL規(guī)范建立IT服務(wù)管理體系,，保護(hù)組織及IT服務(wù)的可靠支付，提高運(yùn)行績(jī)效可客戶滿意度,。

·按照CMMI標(biāo)準(zhǔn)的要求,，完善組織的軟件開發(fā)過程，提高軟件的質(zhì)量,。

·建立業(yè)務(wù)持續(xù)性計(jì)劃（BCP）,，保證組織的業(yè)務(wù)及IT在發(fā)生較大的災(zāi)難時(shí)能夠持續(xù)運(yùn)行。

第三階段：資源協(xié)同,，全面控制

1.目標(biāo)

本階段的目標(biāo)是,，實(shí)現(xiàn)有效的資源協(xié)同，為業(yè)務(wù)活動(dòng)提供可靠的支撐,，深化IT風(fēng)險(xiǎn)控制,，實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)的全面集成。

2.主要措施

第三階段所采取的措施如下：

建立統(tǒng)一的應(yīng)用系統(tǒng)平臺(tái),，實(shí)現(xiàn)IT資源協(xié)同,，為已有業(yè)務(wù)及新業(yè)務(wù)提供靈活可靠的支撐平臺(tái)。

·建立統(tǒng)一安全保障平臺(tái),，建立有效的應(yīng)用控制機(jī)制,，實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成。

·完善IT服務(wù)管理機(jī)制,，進(jìn)一步提高客戶對(duì)IT服務(wù)的滿意度,，對(duì)IT服務(wù)進(jìn)行量化管理。

·梳理各類IT流程,，建立規(guī)范化的IT流程控制框架,，按照COSO及COBIT建立IT流程框架，明確各流程的KPI,、KGI及CMM等級(jí),，形成完備的IT流程控制體系,。

·建立信息系統(tǒng)審計(jì)系統(tǒng)，從獨(dú)立,、客觀的角度保證IT系統(tǒng)的效率與效果,。

·對(duì)IT組織、人員,、流程,、項(xiàng)目建立較為科學(xué)的績(jī)效考核制度。

第四階段：業(yè)務(wù)創(chuàng)新,，完善控制

1.目標(biāo)

本階段的目標(biāo)是,，實(shí)現(xiàn)IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制的高度融合，使IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分,，IT為企業(yè)創(chuàng)造新的競(jìng)爭(zhēng)機(jī)遇,。

2.主要措施：

第四階段所采取的措施如下：

·IT戰(zhàn)略成為組織決策層的重要議題，IT參與企業(yè)流程再造,，IT可以為企業(yè)創(chuàng)造新的利潤(rùn)增長(zhǎng)點(diǎn),。

·為整個(gè)組織提供高質(zhì)量的IT服務(wù)，建立全組織的IT共享服務(wù)中心,。

·IT成為利潤(rùn)中心,，對(duì)IT進(jìn)行財(cái)務(wù)核算。

·IT控制進(jìn)一步完善,，IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制高度融合，形成良好的信息安全企業(yè)文化,。

總之建立IT風(fēng)險(xiǎn)管理框架是組織控制IT風(fēng)險(xiǎn),、確保組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的有效方式。以上所介紹的IT風(fēng)險(xiǎn)控制過程是通過多年的研究及實(shí)踐總結(jié)出來的通用方法論,，不同的組織在建立控制的過程中,，還要根據(jù)自身的實(shí)際情況因地制宜，靈活應(yīng)用,。