讲了这么多的风险怎么办,实际上我觉得今天提出来就是要建立一套制度,或人治,靠某某 人领导重视,还有我们要搞的典型政府信息化的典型,企业的模式,这东西只是昙花一现,企业要把IT做好一定把他变成种制度,决定IT能够真正做的好不是一 两个人的技术,技术已经不是很重要了,技术的东西总是能买到,但是把技术控制好、用好靠的是制度,靠的是管理,最终靠的是人,所以我们要建立一个有效的制 度安排。
回过头来我们发现国内的一些信息化建设走了很多弯路,我们有一点和国外有区别的是我们不太重视游戏规则的制订,IT一定 先要把规则建立起来,包括制度和控制,建起来以后我们发现IT风险小多了,所以我们要强调建立一种制度,IT风险控制其实上就是企业重要的组成部分。
那么如何整体的去控制IT的风险呢?我这里画了一个图:
在这里我们要引进一些国际上最标准的一些实践,比如信息安全管理,把安全变成一个标准,按照标准去做,我们现在讲安全就是防火墙,可能你想不全,国际上 现在有一个标准他想的就很全面,他从方面考虑安全,按照这个去做,不会有很大的偏差;IT服务管理,比如IT流程如何去规划,也可以有一个国际的标准 ITIL,或者行业更佳的实践,把运维如何组织好,把服务递交出去,达到这个要求,还有别的项目管理控制等等。都可以在不同的阶段你把它引入进来,最后我 们应该形成一个PDCA,报谓PDCA就是检查控制,技术审计。这样的一个框架可能是控制风险高度性的,有一定基础的,这么一个框架。而且这个框架我们正 在实践当中。
做的时候也未必是从头来,可能就是从哪先下手,比如先从安全下手,运维然后不断的与其领导沟通,IT搞好,你现在的治理结构不合理呀,因为这事情不是一 件容易的事,让领导去接纳,然后成立这样的一个组织,把这样的功能赋予IT,不是一件容易的事。要慢慢的去做,这里面可以分步的去做。因为时间的原因不具 体的太多的说它了。
此文章共有6页 上一页 1 2 3 4 5 6 下一页
文章来源:互联网
|
Leadge.com首页 > 知识库 
