第一階段:IT資源普查、建立初步控制
目標(biāo)
總體治理框架的指導(dǎo)下,初步建立IT風(fēng)險(xiǎn)控制體系,為業(yè)務(wù)系統(tǒng)運(yùn)行提供較可靠的保障。
主要措施:
業(yè)務(wù)流程調(diào)查,識別主要業(yè)務(wù)流程,并進(jìn)行初步建模;
為企業(yè)的業(yè)務(wù)活動建立標(biāo)準(zhǔn)的數(shù)據(jù)體系,并具有快速識別新的業(yè)務(wù)需求和進(jìn)行業(yè)務(wù)建模的能力;
進(jìn)行IT架構(gòu)設(shè)計(jì),形成應(yīng)用、數(shù)據(jù)、技術(shù)架構(gòu)方面的規(guī)范與指南;
梳理IT流程、劃分安全域及識別信息資產(chǎn),進(jìn)行風(fēng)險(xiǎn)評估;
按照ISO27001、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系;
建立信息系統(tǒng)審計(jì)制度,從獨(dú)立、客觀的角度保證系統(tǒng)安全;
建立內(nèi)部員工培訓(xùn)制度,實(shí)施全員培訓(xùn)。
第二階段:資源協(xié)同、全面控制
目標(biāo):
實(shí)現(xiàn)有效的資源協(xié)同,為業(yè)務(wù)活動提供可靠的支撐,深化IT風(fēng)險(xiǎn)控制,實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)的全面集成。
主要措施:
建立統(tǒng)一的應(yīng)用系統(tǒng)平臺,實(shí)現(xiàn)IT資源協(xié)同,為己有業(yè)務(wù)及新業(yè)務(wù)提供靈活可靠的支撐平臺;
建立統(tǒng)一安全保障平臺,實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成;
建立IT服務(wù)管理機(jī)制,提高客戶對IT服務(wù)的滿意度;
深化信息安全管理、信息系統(tǒng)審計(jì),建立較為完善的IT治理環(huán)境;
對IT組織、人員、流程、項(xiàng)目建立較為科學(xué)的績效考核制度。
第三階段:業(yè)務(wù)創(chuàng)新、完善控制
目標(biāo):
IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制高度融合,IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分,IT為企業(yè)創(chuàng)造新的競爭機(jī)遇。
主要措施:
IT戰(zhàn)略成為組織決策層的重要議題,IT參與企業(yè)流程再造,IT可以為企業(yè)創(chuàng)造新的利潤增長點(diǎn);
為整個組織提供高質(zhì)量的IT服務(wù),建立全組織的IT共享服務(wù)中心;
IT成為利潤中心,對IT進(jìn)行財(cái)務(wù)核算和全面的績效評估;
IT控制進(jìn)一步完善,IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制高度融合,形成良好的信息安全企業(yè)文化,IT成為提升組織核心競爭力的“發(fā)動機(jī)”。