IT应急计划

组织应当制定和执行应急计划，通过预防性和恢复性措施的结合，把灾难或者安全事故(例如可能由于自然灾害、突发事件、设备故障和故意的行为)所导致的破坏减少到一个可以接受的水平。IT应急计划呈现了在紧急事件发生后为了维持和恢复关键的IT服务所进行的范围广泛的活动。IT应急计划适合于广泛的紧急事件准备环境，包括组织和业务处理连续性及恢复计划。为了对影响组织IT系统、业务处理和设施的外部威胁作出反应，并恢复和保持连续性的活动，组织通常会应用一系列计划进行准备工作。

IT资源协同

IT资源协同可以通过架构设计、技术产品、管理协调、业务外包及建立共享服务中心等多种方式实现。其目的是实现信息共享、业务整合和资源优化，以破解“信息孤岛”、“应用孤岛”和“资源孤岛”三大难题。

IT资源协同首先是对信息的高度共享。信息共享是为了大限度的发挥其本身的价值，无论是企业管理者、员工、还是外部的合作伙伴，都可以很方便的查找到相关的信息以支持事务的处理，并利用信息创造新的价值。

其次是对各个业务的整合。这些业务尽管更多的时候从属于企业的不同人员、不同部门，但本质上来说它们都是紧密关联的，并形成企业特有的业务体系，企业需要对各个业务进行充分的整合以使业务能够协调和平滑运作，任何业务链的“断折”或业务的“死角”都会对企业的运营产生影响。

第三是对各种资源的调配和优化。这些资源包括企业的人、财、物、信息和流程，当企业实现了信息共享和业务整合后，企业的“神经网络体系”才能够高效和通畅的运转，并使这些资源能够突破各种壁垒和障碍，在企业统一管理和协调下为共同的目标实现而服务。

IT绩效测量

对IT进行绩效测量无论是在国内还是国外都是一个难点。对IT进行绩效测量首先应当进行IT投资效益分析，使投资的成本和收益都明细化和具体化，以辅助进行IT投资决策和IT投资风险控制。

其次，是对IT进行财务管理。IT财务管理包括IT预算、IT会计及IT计费。IT预算为IT的运营提供预算计划，从而为维持和改善服务预测未来的花费。IT会计核算保证了花费在批准的计划范围之内，并且使资金得到很好的利用。IT计费使我们对向一个特定业务单元提供服务的成本有一个更好的了解，并且使业务部门对自己的服务消费更加负有责任。

第三是进行IT绩效分析。持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，使IT和业务部门都知道IT对实现业务目标的贡献是怎样的，帮助IT组织将工作与关键业务目标结合在一起，并通过客观评价报告和改进绩效，帮助组织获得业务部门领导的信任，为及进的调整与改进提供依据。

信息系统审计

信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。信息系统审计是一种控制信息系统风险的有效方式，它是从独立的、第三方的的角度来审视信息化过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性，并可对IT的绩效进行审计，以发现偏离，促进及进进行调整。

五、IT风险控制框架的实施步骤

建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式，以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制框架的过程中，还要根据自身的实际情况应地制宜，灵活应用。

一般来说，组织在建立与完善IT风险管理框架时，可以分以下几个阶段实现：