这些东西做好要把他变成一个风险管理体系,IT人员一般讲什么设备,这样是不对的,我们发现很多事要做好呀还是要回到管理上来,用管理理念来梳理这些好的理念,如PDCA,做什么事要先有计划,计划好了去做,做完检查,检查完要更改,实际上一个循环,首先要把IT治理和风险的框架搭建起来,首先要完善IT治理的结构,就是在战略方面IT的事不要IT部门自己说了算,一定要放到公司的层面上来,老板呀决策人等都要来参与,IT做好你也不能脱离业务,脱离业务是两回事,那也做不好,所以业务上管理上要梳理,比如你对业务需求的识别,业务需求要敏锐,不要关在家里闭门造车,否则你的IT又是两层皮。