那么如何整体的去控制IT的风险呢?我这里画了一个图:
在这里我们要引进一些国际上最标准的一些实践,比如信息安全管理,把安全变成一个标准,按照标准去做,我们现在讲安全就是防火墙,可能你想不全,国际上现在有一个标准他想的就很全面,他从方面考虑安全,按照这个去做,不会有很大的偏差;IT服务管理,比如IT流程如何去规划,也可以有一个国际的标准 ITIL,或者行业更佳的实践,把运维如何组织好,把服务递交出去,达到这个要求,还有别的项目管理控制等等。都可以在不同的阶段你把它引入进来,最后我们应该形成一个PDCA,报谓PDCA就是检查控制,技术审计。这样的一个框架可能是控制风险高度性的,有一定基础的,这么一个框架。而且这个框架我们正在实践当中。
做的时候也未必是从头来,可能就是从哪先下手,比如先从安全下手,运维然后不断的与其领导沟通,IT搞好,你现在的治理结构不合理呀,因为这事情不是一 件容易的事,让领导去接纳,然后成立这样的一个组织,把这样的功能赋予IT,不是一件容易的事。要慢慢的去做,这里面可以分步的去做。因为时间的原因不具体的太多的说它了。
最后,我在总结一下,治理就是制度的安排,制度要解决的问题是对什么东西进行决策,IT的原则构架、基础设施、业务需求、IT投资等,这些事到底谁来管,以前讲人治,人治就是领导来办,或者技术人员说的算,实际上都不对。一种好的治理不同的方面有不同的模式,有的技术人员一起谈,有的可能就说算了,领导要说了这个事情要研究,我们要把这些流程通过最佳实践把它管理起来,现在信息管理好的比如就是IT服务管理 ITIL,我们要把好的国际上的最佳实践把它引用过来,到我们IT风险控制里来,在加上一些比如企业数据化操作,业务连续性,IT项目管理等等。
文章来源于领测软件测试网 https://www.ltesting.net/
