IT风险防范制度.pdf

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

IT风险防范制度

新疆新特药民族药业有限责任公司

IT风险安全管理办法

1.目的:为有效地加强IT管理,保护本公司信息资产安全,保障

公司业务持续、健康、稳定发展,根据COSO企业风险管理框架、国

际IT治理标准COBIT、国务院国资委《中央企业全面风险管理指

引》,结合公司IT管理现状,特制定本管理办法。

2.范围:新疆新特药民族药业有限责任公司本部及所属分、子公司

3.定义:

1)COSO:根据COSO报告中的定义,内部控制是受公司董事会、管

理层和其他员工的共同作用,旨在为实现经营效果和效率、数据来

源的可靠性以及对适用法律法规的遵循,而提供合理保证的一种过

程,包括五个内部要素的控制:控制环境、风险评估、控制行为、信

息和沟通、监控。关于内部控制的框架,不同机构都对其有不同的

理解,其中以美国反对虚假财务报告委员会的赞助组织委员会

(CommitteeofSponsoringOrganization,COSO“”)的内部控制框

架得到最广泛的认可。

2)CobIT:CobIT是关于IT的一个管理框架,并提供配套的支撑

工具集,是由国际信息系统审计和控制协会(ISACA)提出的一个信

息及相关技术控制目标的开放性标准。

3)PMBOK:PMBOK(ProjectManagementBodyofKnowledge)是美国

项目管理学会在70年代末提出的项目管理体系。

1/10

IT风险防范制度

4)科学合理的IT风险管理体系具有前瞻性的、全局性的控制机

制,能融合防范与应对IT信息安全、IT治理、IT管理、IT服

务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方

面的风险,并能有效地指导公司控制IT风险,使IT战略与企业战

略相融合,促进IT为公司持续地创造价值,以实现有效益的信息

化。

4.内容:

4.1IT风险管理框架

4.1.1通过为IT引入一定的结构、规则与标准(IT风险管理框

架),使IT在“他律”(IT治理)的基础上进行“自律”(IT管

理),使得IT风险在一定的框架内上下左右浮动,而不超过企业计

划中的风险范围。

4.1.2IT风险管理框架的原则主要包括:

(1)建立IT治理机制,使IT治理成为公司治理的一部分,在公司最

高决策层上对信息化进行监管与制衡。

(2)对IT进行规划,确保IT战略与业务战略的统一,在总体规划指

导下进行IT应用、IT数据和IT技术方面的架构设计,以获得标准

化的技术规范与指南。

(3)在技术与管理上保证和各种异构IT资源能在统一的架构环境

下,实现协同工作、无缝地进行数据交换。

2/10

IT风险防范制度

(4)采用国际上得到普遍认可的IT控制标准(如COBIT、ITIL、

ISO27001)及医药行业最佳实践,为公司信息化管理提供规范和标

准;

(5)识别公司中的重要IT过程,确定IT目标、功能与职责。梳理出

纵向上的技术管理过程和横向上的客户服务过程,推行IT

文档评论(0)

***** + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档