|
数据管理www.mypm.net
灾难恢复项目管理者联盟
数据中心运营项目管理者联盟
问题管理项目管理论坛
资产管理项目管理者联盟
应用控制项目管理者联盟
应用控制是为保证业务过程的正常运行,而设计在应用系统中控制措施,以防止和检测错误的和非授权的交易,保证交易处理的完整性、准确性、合法性及适当授权。一般在应用系统中的以下环节建立应用控制:www.mypm.net
进行计算时;training.mypm.net
实施数据合法性验证和编辑检查时;项目管理者联盟
与其他系统有数据接口时;项目管理者联盟
管理层需要依靠应用系统进行完整、准确的排序、汇总和报告关键信息时;项目管理者联盟
限制对交易和数据访问时。service.mypm.net
IT风险管理的过程也类似于企业风险的过程,主要有以下风险识别、风险分析、风险处理、风险监督、风险报告及改进的过程:项目管理者联盟
以上三个层次的IT风险管理,在组织中可以分阶段地通过一个个的IT风险控制项目,例如COBIT、ISMS、ITSM、BCP、CMMI等进行实施,也可以选择其中的某些过程进行整合后实施。PgMp.mypm.net
对于所建立IT内部控制措施是否能有效地控制风险,还需要通过第三方对组织内部措施的有效性进行独立审计,出具审计报告,以证明内部控制措施完备性。项目管理者联盟
以上过程是许多上市公司在建立符合萨班斯法要求的IT风险控制框架时的主要方法,这种方法的主要优点是把IT风险放在企业风险的高度进行管理,容易得到管理层的理解与支持,涉及的风险较全面,控制与改进的方法较完备。缺点是控制的粒度还较粗,还不能适当对IT进行精细控制的要求。项目管理者联盟
四、适用的IT风险管理框架项目管理者联盟
我们结合以上内容,进行合理扩充并增加控制的粒度,提出了一套适应我国IT风险实际情况的控制框架。项目管理者联盟
建立信息化的“游戏规则”项目管理者联盟
建造一个信息系统是容易的,让这个系统正常地运转起来并能实现业务价值,则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险,但并不十分保险,只有通过为IT引入一定的结构、规则与标准,使IT在“他律”(IT治理)的基础上进行“自律”(IT管理),才能使得IT风险在一定的框架内上下左右浮动,不超过企业计划中的风险范围。项目管理者联盟
这个框架就是IT风险管理框架,也可以称为IT的“游戏规则”,忽略了规则的建立是国内信息化成功率低的根源,我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。项目管理论坛
IT风险管理框架的目标项目管理者联盟
完善IT风险控制体系,降低IT成本,实现IT与企业战略、管理、业务、安全的深度融合,使IT为企业持续地创造价值,有效率并有效果地进行信息化。项目管理者联盟
IT风险管理框架的原则项目管理者联盟
建立IT治理机制,使IT治理成为公司治理的一部分,在组织的最高决策层上对信息化的进行监管与制衡;blog.mypm.net
|
