4.IT風險管理架構的原則

    IT風險管理架構應遵循如下原則：

    ·在戰略層面，建立IT治理機制，使IT治理成為公司治理的一部分，在組織***決策層上對信息化建設進行監管與制衡 。

    ·在戰術面上，為保護IT業務目標一致，有限利用IT資源，提高績效，降低風險與控制成本，需按照國際普遍接受的企業內部控制標準。

    ·采用國際上得到普遍認可的IT控制標準（例如，COBIT、ITIL、ISO27001）及行業最佳實踐，為信息化管理提供規范和標準。

    ·識別組織中的重要IT過程，確定其目標、功能與職責。梳理出縱向上的技術管理過程和橫向上的客戶服務過程，推行過程管理的思想。

    ·通過PDCD的過程，即計劃、實施、調整、改進循環，使信息化保持在可持續發展的軌道上，階段性地進行信息系統審計，以發現存在的偏離，及時調整到信息化的最終目標上來。

    ·持續地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多方面進行評估，以了解當前IT狀況，為及時的調整與改進提供依據。