在组织中建立完整的IT控制框架是一项长期的工作，不可能一蹴而就，应当从基础到高级，从容易到复杂一步步分阶段实现，最终使IT成为组织的核心竞争力。

第一阶段：IT规划与架构设计

1.目标

本阶段的目标是，进行信息化基础建设，构筑支撑业务运行的IT基础平台，建立完善的技术框架和管理流程。

2.主要措施

第一阶段所采取的措施如下：

·业务流程调查，识别主要的业务流程，并进行初步建模。

·为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务建模的能力。

·审视业务战略，建立IT愿景目标，进行IT规划与架构设计，建立规范的IT技术标准与管理标准。

·建立项目管理与监理制度，对项目进行绩效分析与控制。

·建立内部员工培训制度，实施全员培训。

第二阶段：完善IT治理，初步控制

1.目标

本阶段的目标是，在总体治理框架的指导下，初步建立IT风险控制体系，为业务系统运行提供较可靠的保障。

2.主要措施

第二阶段采取的措施如下：

建立IT治理委员会，完善IT决策机制及职责担当框架，确保IT战略进入组织的业务战略，使IT进入组织最高管理层的日常议题。

划分安全域，识别信息资产，进行风险评估，按照ISO27001建立信息安全体系，保护组织信息资产的机密性、完整性及可用性。

·按照ITIL规范建立IT服务管理体系，保护组织及IT服务的可靠支付，提高运行绩效可客户满意度。

·按照CMMI标准的要求，完善组织的软件开发过程，提高软件的质量。

·建立业务持续性计划（BCP），保证组织的业务及IT在发生较大的灾难时能够持续运行。

第三阶段：资源协同，全面控制

1.目标

本阶段的目标是，实现有效的资源协同，为业务活动提供可靠的支撑，深化IT风险控制，实现应用系统与安全系统的全面集成。

2.主要措施

第三阶段所采取的措施如下：

建立统一的应用系统平台，实现IT资源协同，为已有业务及新业务提供灵活可靠的支撑平台。

·建立统一安全保障平台，建立有效的应用控制机制，实现应用系统与安全系统全面集成。

·完善IT服务管理机制，进一步提高客户对IT服务的满意度，对IT服务进行量化管理。

·梳理各类IT流程，建立规范化的IT流程控制框架，按照COSO及COBIT建立IT流程框架，明确各流程的KPI、KGI及CMM等级，形成完备的IT流程控制体系。

·建立信息系统审计系统，从独立、客观的角度保证IT系统的效率与效果。

·对IT组织、人员、流程、项目建立较为科学的绩效考核制度。

第四阶段：业务创新，完善控制

1.目标

本阶段的目标是，实现IT风险控制与企业风险控制的高度融合，使IT战略成为企业战略的重要组成部分，IT为企业创造新的竞争机遇。

2.主要措施：

第四阶段所采取的措施如下：

·IT战略成为组织决策层的重要议题，IT参与企业流程再造，IT可以为企业创造新的利润增长点。

·为整个组织提供高质量的IT服务，建立全组织的IT共享服务中心。

·IT成为利润中心，对IT进行财务核算。

·IT控制进一步完善，IT风险控制与企业风险控制高度融合，形成良好的信息安全企业文化。

总之建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式。以上所介绍的IT风险控制过程是通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制的过程中，还要根据自身的实际情况因地制宜，灵活应用。