IT风险管理框架各环节描述如下：

完善IT治理结构

从宏观上来说，IT治理要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，也是要确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好的治理结构，通过对权力的监督与平衡，可把IT战略风险与管理风险控制在一定范围内，那么无论由谁来领导，IT的建设不会大起大落。

从微观上来说，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准COBIT，在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程，有效地控制IT建设的整个生命周期的风险。

业务需求识别

当前企业竞争激烈、内部变革频繁，要实现IT与业务的融合，需要建立一套具备一定适应能力，能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力，准确、及时地捕捉组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。

对业务需求的识别，需要IT人员了解企业的业务流程，并站在业务管理者的角度思考企业发展的重大问题，这对IT人员的提出了新的挑战。

业务建模

信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化之前为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述，使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能，我们能较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。

数据标准化

“信息孤岛现象”是信息化的另一个较大风险，现在许多行业都在进行数据大集中，但遇到很多问题，进展缓慢，这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心，数据是稳定的，处理是多变的。数据标准化可以根本上解决数据质量控制问题，减少数据处理系统中数据元素总数，提供便捷而准确的信息，用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。

IT规划与架构设计

IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础，识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划，明确IT的投资方向，实现可控的IT投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程，是现代企业的战略规划的重要组成部分，是企业商业模式创新的好机会，是企业管理系统变革的准备和前奏。

在总体规划的指导下，需要进行企业的整体IT框架设计，IT架构由应用、数据、技术架构构成，架构为IT标准化提供了依据和框架，有力地指导IT标准化的工作。IT标准化是架构应用的手段，是架构“落地”的工具，同时，在标准化过程中整个架构逐步完善。

IT业务流程优化

按照国际通行的IT控制框架，建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。

建立信息安全管理体系

建立信息安全管理体系是建立信息安全防线的起点，ISO27001是一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信息安全“滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。

IT服务管理

IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性，可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理，对组织的各种资源进行优化，形成全面、统一、集中的管理构架及服务管理流程，确保信息系统企业发展提供可靠、经验、高效的信息服务

IT项目管理与监理

IT项目管理是以项目为对象的系统管理方法，通过一个临时性的、专门的柔性组织，运用相关的知识、技术和手段，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中，可结合PMBOK和 PRINCE2的方法，使PMBOK定位于项目管理知识架构，PRINCE2定位于项目管理实施指南。

IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的《信息系统工程监理暂行规定》。