SMS_POL_IT服务管理风险识别控制v2.0.docVIP

年度待批预算、超预算、预算外项目报批规定 - PAGE 2 - 内部资料，请勿外传 第 PAGE 1 页 共 NUMPAGES 7 页 内部资料，请勿外传 第 PAGE 2 页 共 NUMPAGES 7 页 中国海洋石油总公司 信息技术中心 IT服务管理风险识别和控制 二〇〇 IT服务管理风险识别和控制 内部资料，请勿外传 Page PAGE 1 of NUMPAGES 7 文档信息 文档名称: 中国海洋石油总公司信息技术中心IT服务管理风险识别和控制 文档安全级别 内部资料，请勿外传 文档版本编号 页数 文档版本日期 起草人 郭强 起草日期 批准人 王若讯 批准日期 发布人 发布日期 审阅记录 审阅人 日 期 电 话/ 传 真 审阅意见 版本记录 版本号 版本日期 修改者 说 明 文 件 名 V1.0 2006-7-14 郭强 初稿 V2.0 2007-7-18 王若讯 加入多个系统兼容的风险及控制，修改部分风险的优先级 本文档仅限于中国海洋石油总公司信息技术中心内部使用，未经中国海洋石油总公司信息技术中心书面许可，请勿扩散。 目录 TOC \o 1-5 \h \z \u 1 文档介绍 3 1.1 文档简介 3 1.2 文档目标 3 2 IT服务管理风险识别和控制 4 文档介绍 文档简介 本文档是IT服务管理风险识别和控制文档。文档内容包括： IT服务管理可能产生的风险类型 IT服务管理风险识别具体描述、风险等级 IT服务管理风险控制措施 文档目标 本文档能够帮助中国海洋石油总公司信息技术中心更好地实现IT服务，通过识别IT服务管理中可能产生的风险并对风险制定等级，同时给出控制措施，能够帮助信息技术中心 IT服务管理流程的相关工作人员更好的实施服务管理。 概述 IT服务管理风险识别策略的服务对象是IT服务管理整体。通过识别IT服务管理实施过程中可能遇到的风险，分析这些风险发生的概率和影响，确定风险等级。对于本策略中定义的IT服务管理实施的风险，中国海洋石油总公司信息技术中心主要采取降低风险的处理方法。针对风险点，制定相应的对策和控制措施，确保该风险能够降低到一个可以接受的水平，不至于降低服务管理实施的效率，甚至对服务管理产生重大危害。 风险发生可能性定义为高、中、低三个等级; 风险影响程度定义为高、中、低三个等级： 影响程度 评判标准 高 对服务管理实施有显著影响 中等 对服务管理实施有一定影响 低 对服务管理实施影响较小 风险等级由风险发生的可能性和影响程度决定。基于发生的可能性和影响程度，风险等级如下： 影响程度 可能性等级 高 中等 低 高 高风险 高风险 中等风险 中 高风险 中等风险 低风险 低 中等风险 低风险 低风险 IT服务管理定义的风险不是一成不变的，风险识别和检查每半年进行一次回顾和调整。 IT服务管理风险识别和控制 针对中国海洋石油总公司IT服务管理的实施，当前主要存在的风险、相应控制措施如下： 类型 描述 等级 控制措施 变更风险 变更实施时受到员工的反对，尽管该变更对业务有益 低 在员工中大力宣传实施变更的业务收益，并让员工参与到新流程的设计中来 当前资源有限，实施变更时难以使业务维持正常水平 中 最大限度使用员工资源（全职工作或加班），或在新项目中雇用临时员工 流程改进风险 流程改进缺乏规划 中 所有质量改进活动都应当按照有组织的项目管理方法来执行，以确保采取恰当的规划 缺乏服务管理流程的回顾与检查 高 制定回顾策略，定期检查各流程的运作 根据回顾内容，制定流程改进计划 缺乏监督服务管理持续改进的负责人（推动服务管理执行的人） 中 组织一个团队监督流程改进，参与持续服务改进计划 注意：监督工作不太可能由一个人完成 流程实施风险 设计的流程难以在现实中操作 高 切实估算所需资源和时间 将项目细分为更易于管理的部分 服务管理体系和信息安全管理体系的不兼容 高 整合相关内容，保持一致性，ISO27001作为信息安全管理规范的细化 流程实施人员缺乏足够的授权以做出必需的决策 中 赋予员工恰当的授权，使其能够尽可能有效地规划、执行或运作流程 流程执行人员技能缺乏 中 对员工进行培训，确保员工能够正确理解ITIL的概念 每个员工都应当接受一定量的培训，保证其有恰当的技能满足工作需求 通过让IT人员接受IT基础架构、业务相关培训，使其对业务需求有更充分的了解 缺乏全局观，导致在某一单独流程上投入过多精力 中 建立各单独流程的详细的低级别的目标外