耐世特汽车系统公司是转向系统及相关先进技术的全球供应商，该公司为通用、福特、克莱斯勒、大众、标致雪铁龙、菲亚特、宝马等60多家汽车制造商设计、制造、销售电动助力转向器、液压助力转向器、转向管柱和传动轴产品，是全球一级汽车零部件供应商。公司在全球34个国家和地区设有制造厂、客户服务中心和技术研发中心，在苏州分布着两个工厂和一个研发中心，同时，在苏州部署了亚太区的一个数据中心。面对公司如此庞大的组织和信息化要求，做到有效控制IT所可能面临的风险，是至关重要的。

 　　建立完善和健全的风险控制制度，是IT风险控制的前提条件，也是最重要的。一般来说，在规划信息化的时候，除了要关注IT技术外，更要建立能使IT正常运转的制度，或者称为IT治理机制。通过机制的建立，清楚的定义出IT组织可提供什么样的服务，强调IT风险控制其实就是企业重要的组成部分，继而通过推动流程优化、操作规范等控管手段，达到完善IT治理，减少IT风险的目的。

 　　据资料显示，经常对泄密的事件调查后发现，一般是内部人员的不注意造成的后果远远大于外部人的窃取。刘哲介绍说：\"在耐世特内部，即便是IT经理也没有任何应用系统方面的访问特权。我们选取HP作为全球的基础架构支持服务提供商，不单单是出于技术层面的考虑，主要是由第三方控制管控IT系统的访问权限，更能有效地隔绝那些\'不经意\'的信息泄漏。经常有用户过来，会跟我说请帮忙在某个目录下开个权限。但我只能告诉他，很不好意思我没有这个权限，作为IT经理也并具有任何超级权限。\"这就是通过制度对内部人员进行权责分明，实现防治风险的有效方法，ITSOX中的\"Segregationofduties\"就是这样被有效实现的。 

　　同时耐世特选择通过实行外包，有效转嫁部分风险给有着专业管理的第三方供应商，专业的人做专业的事，其抗风险性会更强。\"比如说，我们去年就把公司的邮件系统转移到了Google的云计算平台上，至少我比较不担心因为服务器问题导致数据丢失邮件的状况了。Google的数据中心会比较专业。\"刘哲笑着说。

 　　在耐世特有很好的团队合作和追求卓越的氛围，制度的制定不只是单个部门在运作，IT的风险控制其实是涵盖在整个公司的风险控制框架内的。全民动员做管控，包括财务、人力资源、质量等部门。比如每个员工入职时，人力资源部会要求签阅员工手册，并告知公司信息安全方针。同时，除了每年接受外部事务所的IT年审外，公司还设有专门的内控审计小组，对IT流程进行评估，并针对每次的审计结果再次给出合理化流程，形成不断改进良性循环的文化。

         上海信息化培训中心好课ITIL，是IT服务管理的最佳实践指南，是目前全球IT服务领域最受认可的系统而实用的结构化方法，有助于提高IT部门运营的质量与效率。上海信息化培训中心ITIL培训每月定期开班，最近一期在6月24-26号，咨询热线021-62127454，全国咨询热线4008808369