IT 治理包括业务持续性规划（Business Continuity Planning，BCP）、信息系统审计与控制、IT 服务管理、信息化战略规划、IT 项目管理、信息安全管理6 个方面。

业务持续性规划

BCP 可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁。由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下，这些关键因素的作用都能正常而持续地发挥。笼统地说，BCP 的目标就是确定并减少危险可能带来的损失，有效地保障业务的连续性。

业务持续性对确保灾难发生时企业的生存是至关重要的，不过与之同等重要的是要保证企业日常的业务运行平稳有序。业务持续管理（BCM）是一种整体管理流程，它能够确定可能发生的冲击及对企业运作造成的威胁，并提供一个架构来阻止或有效的抵消这些威胁，以保护股东的利益、企业的名誉及品牌。

每个企业所制定的BCP 都应该有每个企业或者所处行业独有的特色，彼此之间不会完全一致，但大致上说来，一个完备的BCP 主要是由危险评估、业务影响分析、策略和指标定义4 个部分构成。

危险评估就是认识并分析各种潜在危险的结果。这些危险的来源可能是各种区域性的天灾，如洪水、地震、疫病等；人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭击等；网络安全威胁、硬件、网络或通信故障；灾难性的应用系统错误。

业务影响分析实质上就是对关键性的企业功能、以及当这些功能一旦失去作用时可能造成的损失和影响的分析。

BCP 包括预防、响应、再继续（Resumption）、恢复（Recovery）、复原（Restoration）等策略。其中再继续只涉及那些时间敏感的业务流程，要么是在中断发生后立即再继续，要么是在可允许的一段平均时间后再继续，但不是对所有业务的恢复。

在危险评估和业务影响分析阶段之后，保持业务连续的基础业务就已经显现出来。可以将企业的业务功能分成关键业务、基础业务、必要业务和有利业务4 类。这样，业务恢复的目标就可以用下面的指标进行量化：

● 恢复的时间目标（RTO）——最大可允许中断时间

● 恢复的时点目标（RPO）——数据损失可允许的最远回溯时点

● 由于引进了BCP 的评测指标而导致的企业性能退化

● 实施BCP 的成本