1.情報技術に関する「ゲームのルール」の確立。
企業における数多くの情報化失敗事例と、情報化構築における根深いメカニズムの問題を研究した結果、情報化は企業経営と同様にシステム革新が必要であり、情報化の過程においても「システムは全てに優先する」という法則が当てはまることが明らかになりました。例えば、情報システムを構築することは簡単ですが、そのシステムを適切に機能させ、ビジネス価値を実現することは難しいのです。高度なIT技術や製品の使用は、ある程度優れた管理方法は、ITのリスクを減らすことができますが、非常に安全ではない、唯一のITのための一定の構造、ルールや標準の導入を通じて、"自主規制 "に基づいて "その他 "のITように唯一の "その他 "に基づいてITの "自主規制 "ので、上下、左右の変動の一定の枠組みの中で、ITのリスクを超えないように、ITのための一定の構造、ルールや基準の導入を通じて、計画されたリスクの範囲。
一般的に、情報技術の計画では、IT技術に焦点を当てるだけでなく、ITが正常に機能するようにシステムを確立するために、またはITガバナンス機構として知られています。ITガバナンスは、国際的なITの分野での新しい概念であり、企業や政府を記述するために使用されるかどうか、効果的なメカニズムを採用するので、ITのアプリケーションは、その使命を与えるために組織を完了することができるように、情報技術と組織の戦略的目標の達成を確保するためのプロセスのリスクのバランスをとりながら。同時に、組織の戦略的目標の達成を確実にするために、ITとプロセスのリスクのバランスを取ります。
企業のITガバナンスを改善するために、戦略レベルでは、コーポレートガバナンス構造と企業戦略計画を統合し、ITガバナンスをコーポレートガバナンスの一部とし、ITの位置づけと役割をガバナンス構造に反映させ、IT問題を取締役会傘下の戦略委員会、監査委員会、セキュリティ委員会に参入させる必要があります。コミュニケーションとフィードバックのメカニズムが継続的かつ効果的であること。
戦術レベルでは、ITとビジネス目標との整合性を守り、IT資源を限定的に活用し、パフォーマンスを向上させ、リスクを低減し、コストを管理するために、国際的に認められた企業の内部統制基準に従って、効果的なIT統制の枠組みを確立し、その実施を監視することが必要です。
2.ITリスクマネジメントフレームワークの目的
ITリスク管理システムを改善し、ITコストを削減し、ITと企業戦略、経営、ビジネス、セキュリティとの綿密な統合を実現し、ITが持続可能な方法で企業の価値を創造し、効率的かつ効果的に情報技術建設を実施します。
3.ITリスクマネジメントフレームワークの要素
ITリスクマネジメントの目的と原則に基づき、ITリスクマネジメントフレームワークの具体的な実現手順を以下に示します。
4.ITリスク管理アーキテクチャの原則
ITリスクマネジメントアーキテクチャは、以下の原則に従うべきです:
-戦略レベルでは、ITガバナンスをコーポレート・ガバナンスの一部とするためのITガバナンス・メカニズムを確立し、組織の***意思決定レベルでは、情報技術構築を規制し、牽制します。
-戦術レベルでは、ITビジネス目標の整合性、ITリソースの限定的な活用、パフォーマンスの向上、リスクと管理コストの削減を守るために、国際的に認められている企業内部統制の基準に従うことが必要です。
-国際的に認められたIT管理基準および業界のベストプラクティスを採用し、情報技術管理の規範と基準を提供します。
-組織における重要なITプロセスを特定し、その目標、機能、責任を定義します。技術管理プロセスを縦割りに、顧客サービスプロセスを横割りに整理し、プロセス管理の考え方を導入します。
-すなわち、PDCD(Plan, Do, Adjust, Improve)サイクルのプロセスを通じて、ITを持続可能な軌道に乗せること。これにより、情報システム監査が段階的に実施され、逸脱が検出され、ITの最終目標に向けてタイムリーな調整が行われます。
-ITパフォーマンスを継続的に評価し、全体的な情報技術パフォーマンス、ITプロジェクトパフォーマンス、IT人材パフォーマンスなど、さまざまな側面から評価することで、ITの現状を把握し、タイムリーな調整と改善の基礎を提供します。
