知名IT专家讲述：企业IT风险控制框架

flb_2001

来源：比特网 作者：陈伟
一、信息化面临的风险

　　【比特网专家特稿】九十年代以来，信息技术得到了快速的发展和广泛的应用，信息化已成为全球经济社会发展的显著特征，并逐步向一场全方位的社会变革演进。当前，信息技术己深入到各行各业，甚至影响并改变着普通百姓的生活方式，信息资源也日益成为重要生产要素、无形资产和社会财富。

　　由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金，各行各业的信息化呈现出一派欣欣向荣的景象，我国信息化在推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等方面取得了可喜的进展。同时，信息化的应用也有力地推动了中国的经济持续增长、产业的升级、竞争力的提高，信息化与经济发展形成了良性循环。

　　从二十多年的信息化实践来看，目前我国的信息化正处在一个由初级水平的投入期，向中高级水平的见效期过渡的关键时期，信息化的重点己从注重对行业和企业的覆盖，注重硬件产品的配备，逐步过渡到强调整合和开发利用信息资源，对客户需求做出快速反应，提高应用水平和服务质量，使组织的价值最大化。在这一阶段信息化的机会与风险并存，许多以前还没有涉及的深层次问题都会一一暴露出来，这将考验我们是否已经做好必要的思想准备和采取有效的应当措施。

　　IT决策风险

　　中国的信息化建设仍然属于"人治时代"，信息化的随意性较大，企业还没有就信息化形成相关的制度，缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于最高管理层对信息化的理解和个人领导力的大小的影响，这种不确定性增加了组织的信息化风险，这是IT决策风险的体现。

　　组织在信息化过程中所涉及IT规划、实施、运行、检查的一系统IT流程，缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成IT系统与业务需求的“逻辑错位”，同时也造成了一个个的 信息“孤岛”，这是IT决策风险的微观体现。如何在组织中建立较完善的IT治理机制，使信息化的决策与实施成为组织中的一种完善的制度存在，己是迫切地摆在我们面前的任务。

　　IT规划与架构风险

　　随着IT应用的深入，IT与业务的关联越来越紧密，但IT也面临着越来越多的问题，如业务与IT的鸿沟、适应变革的灵活性差、技术体系复杂混乱、技术标准不兼容、技术系统互操作性差、系统安全脆弱、IIT系统管理不规范等。产生这些问题的一个重要原因是，IT建设缺乏从组织角度出发的总体规划和架构设计。往往是业务部门提出不同的需求，IT部门以不同的服务器、软件平台和数据库去满足业务需求，企业得到的是一个个条块化的IT架构。

　　应该说，每个企业都有自己的IT架构，但这种自然发生的IT架构显得混乱和复杂，成为IT支持业务发展的累赘，将导致企业的IT战略方向及IT具体实现上存在巨大风险。

　　有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程，是现代企业的战略规划的重要组成部分，是企业商业模式创新的最好机会，是企业管理系统变革的准备和前奏。

　　在总体规划的指导下，需要进行企业的整体IT架构设计，IT架构由应用、数据、技术架构构成，架构为IT标准化提供了依据和框架，有力地指导IT标准化的工作。IT标准化是架构应用的手段，是架构“落地”的工具，同时，在标准化过程中整个架构逐步完善。

　　IT项目管理风险

　　由于IT项目所处的环境和条件本身的不确定性和项目利益相关方在主观上不能准确预见或控制的影响因素，使项目的最终结果与项目相关利益主体的期望产生背离，从而给项目当事者带来损失。

　　IT项目失败主要表现在时间、费用、质量三个方面。 IT项目的高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不通对投资回报进行测量。

　　Standish Group2004年度对美国IT项目的评估报告表明，所有的项目中，被认为成功的项目仅占29%，其余的绝大多数要么是预算超支，要么是项目延期。项目的超支率平 均为原预算的56%，而平均延期时间更是达到了预定工期的84%。中国的IT高管中有76%都认为在过去两年中，他们实施成功的IT项目只有不到50% 。

　　IT基础设施风险

　　随着IT技术的高速发展，IT平台(如硬件、网络、系统)的复杂性越来越高，各种系统漏洞层出不穷，并面临着不断增多的各种各样的威胁，频繁的停机事件令用户穷于应付;

　　企业对IT系统的依赖性越来越强的同时，IT系统的停机将造成业务受到巨大损失、声誉下降、竞争优势丧失;

　　IT新技术的发展，造成IT应用系统和IT基础设施更新换代速度加快，也造成的企业在IT基础设施投入上的风险。

　　IT系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。近年来发生了多起基础设施故障而导致的停机事件，如：银联计算机故障造成不能跨行取款，首都机场离港系统故障造成大量旅客滞留机场，证券行业A股交易量连续井喷造成多家证券公司出现“堵单”等事件，就生动地告诫我们，由于脆弱的基础设施和IT管理流程，使得这种不断增强的对IT的依赖性就是潜在的风险。

　　信息安全风险

　　在信息化的整合见效期，对组织而言信息比以往具有更高的价值，而信息固有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时，网上行动的远程化以及互联网无政府状态，使得信息安全面临严峻的挑战，即使是一个中学生，通过黑客网站的简单培训，也能发起具有危害性的攻击。目前互联网上黑客网站已超过3万个，一些有影响力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏，造成许多商业网站、政府网站被入侵，大量网银用户网上银行存款被盗，许多敏感机密信息被泄露。

　　据统计，2008年初全球产生的电脑病毒和木马的数量达到50万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。

　　业务性持续风险

　　在今天快速增长的IT环境下，许多业务系统要求信息系统提供7X24的服务。尽管组织可能会采取各种保护措施来防止系统受到破坏，保证系统的正常运行，但是系统中硬件的故障及意外的灾难仍是不可避免的，只是灾难发生的几率可能会相对小些。这种灾难一旦发生将会给企业造成损失，轻则造成运行业务非正常中断，影响系统的功能，重则破坏整个系统，使系统完全瘫痪状态。

　　美国“911” 事件中，世贸中心在遭受攻击后数小时内，Morgan Stanley 集团和American Express等公司能够迅速恢复服务，完全归功于组织事前建立了稳妥的业务连续性计划。对于eSpeed公司，甚至其在这次恐怖袭击中损失了近四分之三的员工，仍然能够在几天后金融市场重开时继续运作。2003年春夏之交，中国“SARS”肆虐时，成功实施业务连续性计划的惠普、亚信、摩托罗拉等公司使人们看到面对这样的重大灾害时，企业怎样才能避免束手无策。

　　保持业务持续运行最根本的办法就是制定、实施灾难恢复和业务连续性计划， 通过预防性和恢复性措施的结合，把灾难或者安全事故(例如可能由于自然灾害、突发事件、设备故障和故意的行为)所导致的破坏减少到一个可以接受的水平，保证组织重要业务的持续运行。

　　IT应用系统风险

　　开发和获取应用系统是组织实施信息化的核心内容，但开发和获取应用系统是一个高风险的过程。首先，如果组织所开发的应用系统不能准确地反映业务目标，将产生IT 应用与业务需求之间的逻辑错位风险;如果应用系统开发过程不能遵守相关规范和内置充分的安全措施措施，IT应用将面临系统脆弱性风险;如果应用系统不能经过严格的各种测试，IT应用将面临可靠性风险;如果应用系统不能周密地迁移、过渡到生产环境，IT应用系统将面临可用性风险。

　　此外，应用系统风险还表现在以下应用控制方面：业务安全控制点是否在应用系统中得到有效实施;在应用系统中是否仅有完整的、准确的和有效的数据被输入和更新;处理过程是否完成了正确的任务;处理结果与预期目标是否相符合;输出数据是否得到了维护。

　　IT服务交付风险

　　组织的内外客户并不直接面对 IT基础设施和应用系统，他们只关注完成其业务活动时，是否能方便、可靠、及时地得到必要的IT服务。

　　各类重要的IT基础设施和应用系统就算是没有漏洞，也不等于就能向组织的内外客户提供优质的IT服务，国内许多组织不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程也是造成IT系统停机的重要原因;

　　组织应当对IT技术设施进行分类，向用户提供IT服务清单，与用户签署服务水平协议，实施必要的IT服务管理流程。

　　IT绩效风险

　　国内在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险。根据商务部研究院信息咨询中心提供的数据，2005年我国在信息化改造提升方面的投入2829亿，2006年是3227亿元，2007年达到了4236亿元。从2005到2007年中国行业信息化投入的绝对增加额达到了 1300亿以上，未来几年行业信息化IT投入将进入了高增长期。

　　如果IT投资行为如果不能带来合理的回报，将使组织面临巨大风险。这几年国内信息化失败的案例比比皆是，如果规划不当、控制不严，IT系统不能带来预期的业务价值，那么，巨额的信息化投入很可能造成新一轮的“投资黑洞”

　　IT绩效风险另一表现就是对IT的投资绩效和运行绩效不能进行有效测量。不能测量意味着无法了解当前IT系统的“健康状况”，就不能有效地发现存在的问题，并采取有针对性的改进措施。

　　合规性风险

　　由于IT在社会和经济生活越来越充当重要角色，国内外近年来出台了许多法律法规加强对IT进行监管。

　　例如，2002年美国国会发布了《萨班斯—奥克斯利法案》，在这个法案中明确提出了所有上市公司都必须加强风险管理，建立有效的内部控制框架，以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制，中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国Financial Executive International组织对321个公司的调查显示，在一个规模比较大、年营业收入超过50亿美元的公司，建立此体系至少需要470万美元，维系其运转需要每年150万美元。

　　虽然萨班斯法没有直接明确对IT的要求，但企业在实施符合法案要求的内控过程时，发现IT方面的工作量竟然占到了相当大的比重，这是因为一方面IT要作为管理组织业务风险的工具与手段，例如，对财务应用系统的机密性、完整性控制，以及对业务交易信息的监督与数据采集都离不开IT系统;另一方面IT本身的风险，例如网络风险、系统风险、应用风险，也是萨班斯法关注的重要内容，特别是如何使已有的IT流程和应用系统中的控制符合萨班斯法的要求是CIO最为头痛的问题。

　　近年来，国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》，旨在为规范和加强对商业银行内部控制评价，督促商业银行建立内部控制体系，健全内部控制机制，保证商业银行稳健运行，其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》，直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。与此同时，其他行业监管部门也准备出台类似的风险管理措施。中国财政部于2006年10月发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制。企业内部控制标准委员会的成立，预示着我国企业在内部控制方面将迎来一部类似美国《萨班斯法案》的标准体系，届时必将对IT风险控制提出相应的要求。

　　以上只列出主要的IT风险，这些方面并没有涵盖所有的IT风险，反映的问题也只是冰山之一角，不同的行业在不同的时期，其IT风险有着不同的表现形式。在应对这些IT风险时，我们也曾有过各种风险控制方法和模型，但一般都是针对技术风险提出来的，偏重于某一技术领域，而且大多是采用事后反应式的控制措施。在信息化的整合见效期，这种单一的“救火模式”将使我们疲于应付各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险，传统的控制方法存在明显不足。

　　科学合理的IT治理机制应当具有前瞻性的、全局性的控制机制，能融合防范与应对IT决策、IT管理、信息安全、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险，并能有效地指导组织控制IT风险，使IT战略与企业战略相融合，促进IT为组织持续地创造价值，以实现有效益的信息化。

flb_2001

二、IT风险控制框架

　　建立信息化的“游戏规则”

　　对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究，我们发现信息化也像企业管理一样，需要制度创新，在信息化过程中，“制度重于一切”的定律同样适用。例如，建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”(IT治理)的基础上进行“自律”(IT管理)，才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。

　　通俗地说，我们在规划信息化的时候，除了要关注IT技术外，还要建立能使IT正常运转的制度，或者称为IT治理机制。正如公司需要治理一样，IT也需要进行治理，就是要从制度、标准、规范的角度来重新认识IT问题并完善IT治理机制，这是目前走出IT建设误区的良方。 IT治理是国际IT领域中的一个新的概念，用于描述企业或政府是否采用有效的机制，使IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。

　　根据MIT的研究数据，没有良好的IT治理结构和持之以恒的评估反馈机制，IT资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。

　　IT治理的目标

　　完善IT治理机制，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。

　　IT治理的内容与框架

　　为完善企业的IT治理，在战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用，使IT议题要进入最高管理层的决策范围中，建立有效的IT决策机制与职责担当的框架;IT执行与监管要分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效。

　　在战术面上，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准，建立有效的IT控制框架并监控实施。

　　这个框架也可称为IT治理框架，或称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

　　根据IT风险管理的目标和原则，我们给出IT风险控制框架的一种具体实现，其步骤如图所示：

IT风险管理框架的原则

　　在战略层面，建立IT治理机制，使IT治理成为公司治理的一部分，在组织最高决策层上对信息化的进行监管与制衡;

　　在战术面上，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，采用国际上得到普遍认可的IT控制标准(例如：COBIT、ITIL、ISO27001)及行业最佳实践，建立规范化的IT流程。

　　持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据;

　　通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的最终目标上来。

flb_2001

三、IT治理实施过程　　(一) 在战略层面上完善组织的IT治理结构
　　随着信息化建设的逐步深入，越来越多的IT风险使我们面临严峻的挑战，为使IT能够高效、经济地为组织交付价值，降低IT风险，需要为IT创造良好的控制环境，以保证组织从战略的高度、治理的层面来关注信息化问题，建立信息化过程中相关规范和标准、对信息化建立监管、制衡和审计机制。
　　为完善企业的IT治理，在战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用，使IT议题要进入最高决策层，要建立合理IT决策和职责担当机制;IT执行与监管要分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效。
　　1、什么是IT治理?
　　ISACA定义：IT 治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。
　　IT治理知名专家彼得.维尔和珍妮.罗斯认为，IT治理是指为鼓励期望行为而明确的决策权归属和责任担当的框架。
　　治理是决定由谁来做决策，而管理则是制定制定和执行这些决策的过程。例如，治理决策了由谁来掌握企业在IT投资额度上的决策权，管理则决定某年投入的实际资金数和资金所投向的范围。
　　根据MIT的研究数据，在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。而对世界范围内250家企业的调查表明，只有38%的高级主管能够精确描述他们的IT治理。
　　2、IT治理要解决的问题
　　战略层面的IT治理需要解决以下三个问题：为了保证有效地管理与使用IT，应当做出怎样的决策?谁来做出这些决策?如何做出决策及对决策进行监控?
　　(1) IT治理应当做出哪些决策?
　　IT治理应当做出以下五种决策：
　　IT原则的决策—高层关于企业如何使用IT的陈述。
　　IT架构决策—组织从一系列政策、关系以及技术选择中捕获的数据、应用和基础设施的逻辑，以达到预期的商业、技术的标准化和一体化。
　　IT基础设施决策—集中协调、共享IT服务可以给企业的IT能力提供基础;
　　业务应用需求决策—为购买或内部开发IT应用确定业务需求
　　IT投资和优先顺序决策—关于应该在IT的哪些方面投资以及投资多少的决策。包括项目的审批和论证技术
　　(2) 谁来做出这些决策?
　　可以按照政治上的原型(业务君主制、IT君主制、封建制、联邦制、IT双寡头制、无政府制)来描述拥有IT决策权或者为IT决策提供信息输入的人员组合。
  

决策者	决策者的组成
业务君主制	一群业务主管或者单个主管（CXOs）。包括高级业务主管委员会（可能包括CIO）。不包括独立设备的IT主管。
IT君主制	一个或一群IT主管
封建制	业务单位领导，关键流程负责人或其代表。
联邦制	核心级主管和业务团队（例如，业务单位或流程）；可能也包括作为额外参与者的IT主管。相当于中央政府和地方政府的协同工作方式。
IT双寡头制	IT主管和其他团队（如CxO或业务单位或流程负责人）。
无政府制	每一个单独的使用者。

flb_2001

通用的IT治理模式　　MIT Sloan School 2003年对23个国家的256家企业进行研究后，根据决策原型与决策类型的对应关系如下所示：

决策 原型	IT原则		IT架构		IT基础 设施		业务应用 需求		IT投资
	输入	决策	输入	决策	输入	决策	输入	决策	输入	决策
业务君主制	0	27	0	6	0	7	1	12	1	30
IT君主制	1	18	20	73	10	59	0	8	0	9
封建制	0	3	0	0	1	2	1	18	0	3
联邦制	83	14	46	4	59	6	81	30	93	27
IT双寡头制	15	36	34	15	30	23	17	27	6	30
无政府制	0	0	0	1	0	1	0	3	0	1
无数据或 不知道	1	2	0	1	0	2	0	2	0	0

　　从以上调查表，我们得出一些通用的治理机制：
　　IT原则
　　为IT原则收集信息、征求意见时，主要采用联邦制进输入，而且具体决策时，主要是通过IT双寡头制。
　　IT架构
　　组织建立IT架构输入可以使用联邦制或IT双寡头制，而进行IT架构决策时，由于IT架构决策具有一定的技术性，组织更多地采用了IT君主制进行决策。
　　基础设施
　　IT基础设施的输入与决策模型类似于IT架构。
　　业务应用需求
　　业务应用需求的输入主要采用联邦制，这是为了使应用系统符合业务的要求，应当广泛地听取各方面的意见，决策时也使用联邦制和IT双寡头制，使决策更具有代表性。
　　IT投资
　　IT投资的输入主要采用联邦制，而决策时根据不同的企业类似，采用业务君主制、联邦制和IT双寡头制。
　　最有效的IT决策模式
　　根据统计数据的分析，存在三种最有效的IT决策模式，如图所示，这三种模式综合考虑了成本、增长率和灵活性等多个绩效目标。

IT治理安排模式1：需要IT团队了解业务、要求业务方和IT方相互信任，IT方与业务协同工作。适合于民主型组织。
　　IT治理安排模式2：类似于模式1，更适合于要求快速决策的组织。
　　IT治理安排模式3：应用于单一业务部门或收益率及成本控制占据重要位置的公司，要求业务部门领导关心且了解IT问题。当发生重大变革，必须稳固决策权时，3 也是非常明智的选择。

flb_2001

(二) 在战术层面上建立组织IT控制框架　　在战术面上，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准，建立有效的的IT控制框架并监控实施。
　　业务需求识别
　　当前企业竞争激烈、内部变革频繁，要实现IT与业务的融合，就需要建立一套具备一定适应能力，能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力，准确、及时地捕捉组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。
　　业务建模
　　信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化之前就为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述，使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能，我们就能较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。
　　数据标准化
　　“信息孤岛现象”是信息化的另一个较大风险，现在许多行业都在进行数据大集中，但遇到很多问题，进展缓慢，这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心，数据是稳定的，处理是多变的。数据标准化可以根本上解决数据质量控制问题，减少数据处理系统中数据元素总数，提供便捷而准确的信息，用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。
　　IT规划
　　IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础，识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划，明确IT的投资方向，实现可控的IT投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程，是现代企业的战略规划的重要组成部分，是企业商业模式创新的最好机会，是企业管理系统变革的准备和前奏。
　　IT业务流程优化
　　按照国际通行的IT控制框架，建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。
　　建立信息安全管理体系
　　建立信息安全管理体系是建立信息安全防线的起点，BS7799是一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信息安全“滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。
　　IT服务管理
　　IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性，可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理，对组织的各种资源进行优化，形成全面、统一、集中的管理构架及服务管理流程，确保信息系统企业发展提供可靠、经验、高效的信息服务。
　　IT项目管理与监理
　　IT项目管理就是以项目为对象的系统管理方法，通过一个临时性的、专门的柔性组织，运用相关的知识、技术和手段，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中，可结合PMBOK和 PRINCE2的方法，使PMBOK定位于项目管理知识架构，PRINCE2定位于项目管理实施指南。
　　IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的《信息系统工程监理暂行规定》。
　　IT应急计划
　　组织应当制定和执行应急计划，通过预防性和恢复性措施的结合，把灾难或者安全事故(例如可能由于自然灾害、突发事件、设备故障和故意的行为)所导致的破坏减少到一个可以接受的水平。IT应急计划呈现了在紧急事件发生后为了维持和恢复关键的IT服务所进行的范围广泛的活动。IT应急计划适合于广泛的紧急事件准备环境，包括组织和业务处理连续性及恢复计划。为了对影响组织IT系统、业务处理和设施的外部威胁作出反应，并恢复和保持连续性的活动，组织通常会应用一系列计划进行准备工作。
　　信息系统审计
　　信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。信息系统审计是一种控制信息系统风险的有效方式，它是从独立的、第三方的的角度来审视信息化过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性，并可对IT的绩效进行审计，以发现偏离，促进及进进行调整。
　　总之，建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式，以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制框架的过程中，还要根据自身的实际情况应地制宜，灵活应用。

ruochen

完全的看不懂

flb_2001

就是IT风险管理