IT保障过程中保障对象确定方法的研究

摘要

随着对信息技术(Information Technology，IT)依赖的日益增加，越来越多的企业开始担心这些IT资源带来的风险。企业通过IT控制降低风险。然而这些控制措施设计得是否科学，控制措施本身在实际中运行的情况如何，是否发挥了应有的作用，是否使风险降低到了可接受的水平，是否仍旧存在某些重大的缺陷?为了回答以上的问题，IT保障应运而生。IT保障通过考察组织的IT平台所面临的风险以及相应的控制措施的设计和实际运行情况，确定IT内部控制的可信程度。由于企业业务的复杂性和特殊性，加上信息技术的不可见性，如何重点突出、准确定位保障对象是IT保障实施过程中非常关键的问题。
　　 本文通过对信息论、系统论、内部控制等理论的研究分析，结合国际上通用的IT控制框架和标准，提出了确定IT保障对象的方法，其核心内容是：以目标管理为指导思想，分析企业战略目标及其业务流程目标，并且提出从内部和外部的两个角度找出核心业务流程；结合COBIT和关键成功因素法，实现业务目标到IT目标的层次分解和对应；提出选取IT控制框架和标准的方法，结合企业自身信息化的特点，识别支持业务的IT过程及其支配的IT资源；考察IT过程内控的环境，用成熟度模型对IT过程的控制水平进行高层评估，再针对薄弱的环节进行详细的风险评估，找到关键控制点从而准确锁定IT保障对象。最后，本文通过一个实际案例，并运用模糊综合评价法，对该方法予以说明，希望对IT保障的实际应用起到一定的指导作用。