返回
IT风险防范制度

IT风险防范制度

ID:42720470

大小:35.51 KB

页数:9页

时间:2019-09-21

IT风险防范制度_第1页
IT风险防范制度_第2页
IT风险防范制度_第3页
IT风险防范制度_第4页
IT风险防范制度_第5页
资源描述:

《IT风险防范制度》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、新疆新特药民族药业有限责任公司IT风险安全管理办法1.目的:为有效地加强IT管理,保护本公司信息资产安全,保障公司业务持续、健康、稳定发展,根据COSO企业风险管理框架、国际IT治理标准COBIT、国务院国资委《中央企业全面风险管理指引》,结合公司IT管理现状,特制定本管理办法。2.范围:新疆新特药民族药业有限责任公司本部及所属分、子公司3.定义:1)COSO:根据COSO报告中的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营效果和效率、数据来源的可靠性以及对适用法律法规的遵循,而提供合理保证的一

2、种过程,包括五个内部要素的控制:控制环境、风险评估、控制行为、信息和沟通、监控。关于内部控制的框架,不同机构都对其有不同的理解,其中以美国反对虚假财务报告委员会的赞助组织委员会(CommitteeofSponsoringOrganization,“COSO”)的内部控制框架得到最广泛的认可。2)CobIT:CobIT是关于IT的一个管理框架,并提供配套的支撑工具集,是由国际信息系统审计和控制协会(ISACA)提出的一个信息及相关技术控制目标的开放性标准。3)PMBOK:PMBOK(ProjectManagementBody

3、ofKnowledge)是美国项目管理学会在70年代末提出的项目管理体系。4)科学合理的IT风险管理体系具有前瞻性的、全局性的控制机制,能融合防范与应对IT信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险,并能有效地指导公司控制IT风险,使IT战略与企业战略相融合,促进IT为公司持续地创造价值,以实现有效益的信息化。4.内容:4.1IT风险管理框架4.1.1通过为IT引入一定的结构、规则与标准(IT风险管理框架),使IT在“他律”(IT治理)的基础上进行“自律”(I

4、T管理),使得IT风险在一定的框架内上下左右浮动,而不超过企业计划中的风险范围。4.1.2IT风险管理框架的原则主要包括:(1)建立IT治理机制,使IT治理成为公司治理的一部分,在公司最高决策层上对信息化进行监管与制衡。(2)对IT进行规划,确保IT战略与业务战略的统一,在总体规划指导下进行IT应用、IT数据和IT技术方面的架构设计,以获得标准化的技术规范与指南。(3)在技术与管理上保证和各种异构IT资源能在统一的架构环境下,实现协同工作、无缝地进行数据交换。(4)采用国际上得到普遍认可的IT控制标准(如COBIT、ITI

5、L、ISO27001)及医药行业最佳实践,为公司信息化管理提供规范和标准;(5)识别公司中的重要IT过程,确定IT目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程,推行IT过程管理的思想。(6)持续地评估公司IT绩效,可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估,以了解当前IT状况,为调整与改进提供依据。(7)通过计划、实施、调整、改进(PDCD)的循环,使公司信息化保持在可持续发展的轨道上,阶段性地进行信息系统审计,及时发现信息化存在的偏离,及时调整到信息化的最终目标上来。4.1.

6、3IT风险管理框架涉及到如下环节:(1)完善IT治理结构,确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好IT治理结构,通过对权力的监督与平衡,可把IT战略风险与管理风险控制在一定范围内。另一方面,为保护IT与业务目标一致,有限利用IT资源,提高IT绩效,降低风险与控制成本,需按照国际标准COBIT框架,在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程,有效地控制IT建设的整个生命周期的风险。(2)实现IT与业务的融合,建立一套具备一

7、定适应能力且能够识别不断变化的业务需求,并能够快速有效地作为响应的机制。为了对业务需求进行准确识别,IT人员应了解公司业务流程,并站在业务管理者的角度思考企业发展的重大问题,这对IT人员的提出了新的挑战。(3)信息化项目无论是网络建设、安全建设,还是应用开发,都需要了解组织特征,确定业务流程,应当在信息化建设之前为组织建立可靠的业务模型,这样就能充分理解业务功能,较容易地完善业务流程,较容易地发现、识别新的业务机会(即业务的完善或革新),并为网络建设、安全建设及应用开发提供准确的需求定义。(4)在IT建设之前应进行前期数据

8、规划、数据标准化工作。数据标准化为提高公司信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。(5)通过IT规划,明确IT的投资方向,实现可控的IT投资成本,在有效地管理信息化有关风险的基础上,获得可持续改进和提升的IT能力。在总体IT规划的指导下,进行公司的整体IT框架设计,IT架构为公司IT标

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。