4.IT風(fēng)險(xiǎn)管理架構(gòu)的原則
IT風(fēng)險(xiǎn)管理架構(gòu)應(yīng)遵循如下原則:
·在戰(zhàn)略層面,建立IT治理機(jī)制����,使IT治理成為公司治理的一部分,在組織最高決策層上對(duì)信息化建設(shè)進(jìn)行監(jiān)管與制衡 ����。
·在戰(zhàn)術(shù)面上,為保護(hù)IT業(yè)務(wù)目標(biāo)一致�����,有限利用IT資源��,提高績效����,降低風(fēng)險(xiǎn)與控制成本����,需按照國際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)����。
·采用國際上得到普遍認(rèn)可的IT控制標(biāo)準(zhǔn)(例如,COBIT�、ITIL、ISO27001)及行業(yè)最佳實(shí)踐��,為信息化管理提供規(guī)范和標(biāo)準(zhǔn)�����。
·識(shí)別組織中的重要IT過程�����,確定其目標(biāo)�����、功能與職責(zé)����。梳理出縱向上的技術(shù)管理過程和橫向上的客戶服務(wù)過程,推行過程管理的思想����。
·通過PDCD的過程,即計(jì)劃��、實(shí)施����、調(diào)整、改進(jìn)循環(huán)�,使信息化保持在可持續(xù)發(fā)展的軌道上,階段性地進(jìn)行信息系統(tǒng)審計(jì)����,以發(fā)現(xiàn)存在的偏離,及時(shí)調(diào)整到信息化的最終目標(biāo)上來����。
·持續(xù)地評(píng)估IT績效,可以從整體信息化績效��、IT項(xiàng)目績效及IT人員績效等多方面進(jìn)行評(píng)估���,以了解當(dāng)前IT狀況�,為及時(shí)的調(diào)整與改進(jìn)提供依據(jù)。
