3集团企业IT治理内容、工具与实例.pptVIP

  • 11
  • 0
  • 约1.3万字
  • 约 44页
  • 2017-09-06 发布于重庆
  • 举报
从整体IT的治理策略出发,令IT部门能够在她的任务上,恰如其分地与公司业务发展、风险管理策略同步配合。 * 从整体IT的治理策略出发,令IT部门能够在她的任务上,恰如其分地与公司业务发展、风险管理策略同步配合。 * 5. 企业如何实施IT治理-----16字方针 整体规划,分步实施,关注试点,持续优化 --Think big, do small, Do big 5. 企业如何实施IT治理-----16字方针 整体规划,分步实施,关注试点,持续优化 --Think big, do small, Do big 5. 企业如何实施IT治理-----16字方针 整体规划,分步实施,关注试点,持续优化 --Think big, do small, Do big 外部合规要求: 《中央企业全面风险管理指引》 《国资委信息化水平评价》 《企业内部控制基本规范》 《上海证券交易所上市公司内部控制指引》 美国SOX法案合规 施工总承包企业特级资质标准 《国资委信息化水平评价》--合规2 企业内部控制应用指引 内部控制应用指引中的计算机信息系统具体规范则提出:企业在建立并实施计算机信息系统内部控制制度中,至少应当强化对以下关键方面或者关键环节的风险控制,并采取相应的控制措施: (一)权责分配和职责分工应当明确,重大信息系统事项应履行审批程序; (二)信息系统开发、变更和维护流程应当清晰,授权审批程序应当明确; (三)信息系统应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定; (四)硬件管理事项和审批程序应当科学合理; (五)会计电算化流程应当规范,会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。 《上海证券交易所上市公司内部控制指引》--合规4 第四条 公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责,董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。 第十条 公司使用计算机信息系统的,还应制定信息管理的内控制度。 信息管理的内控制度至少应涵盖下列内容:   (一)信息处理部门与使用部门权责的划分;   (二)信息处理部门的功能及职责划分   (三)系统开发及程序修改的控制;   (四)程序及资料的存取、数据处理的控制;   (五)档案、设备、信息的安全控制; IT治理成熟度诊断 成熟度诊断的六个方面: IT权责体系 IT战略 IT投资 IT运维服务 风险与合规 IT人力资源 成熟度模型的使用 成熟度提供了一种简单实用的管理工具,组织可以用于评估现状,了解自身目前所处的地位,行业标杆和国际最佳实践的水平。 根据企业现状和行业标杆、国际最佳实践对比找出未来改进的方向,结合业务需求,将主要精力投入到关键的管理领域。 成熟度模型等级有助于向管理层清晰地展示IT管理存在的缺陷,将组织的管理水平与国际最佳实践相对照,从而确定组织的发展目标。 服务台 ·制定了制度文档。 ·有Remedy和联友自己开发的服务平台支撑。 ·有效回访率56%。 · 呼损率指标目前由花都电信提供,不准确。 事件管理 ·制定了事件管理流程和制度,并对故障进行分级。 ·事件主要由人工触发。没有从监控设备直接触发的事件。 问题管理 ·没有明确的问题管理流程。 ·有与IS部举行例会解决问题的机制 ;有重大故障详细报告。 ·没有主动分析事件、触发问题的机制 。 配置管理 ·配置库中对配置信息的分类层次清楚。 ·配置管理的工具(remedy)支撑配置管理。 ·配置管理信息较基础。 变更管理 ·变更的申请、审批、测试、实施流程完备。 ·紧急变更流程未见相关文件。 服务级别管理 ·有完善的服务级别管理,并分解到服务目录。 ·针对不同的服务级别,有相应的控制措施。 ·定期为DFL提供服务报告。 示例 网络设备、系统 ·一线人员上岗前参加相关技术培训。 ·缺乏统一的网络、应用监控平台。 ·已制定部分操作流程,未形成完整体系。 数据中心 ·武汉机房管理较完善,十堰较为混乱。 ·运维人员对双机、均衡、灾难恢复等技术掌握不熟练。 ·缺乏事件应急方案。 设备维护 ·运维工程师具备系统硬软件维护的基本技能。 ·同客户的沟通存在一定的问题。 数据库 ·一线工程师定期对数据库进行备份和性能监控的工作。 ·二线运维SE定期对系统进行评估和性能优化; ·同原厂商建立密切的联系,经常参加原厂商的技术培训。 示例 信息安全战略与策略 ·缺乏明确的信息安全体系策略文件 组织的安全 ·没有公司层面的安全组织;与第三方保持着良好的联系 资产管理 ·有资产清单,但资产罗 列不全;信息分类不够细致 人力资源安全 ·没有对入职员工进行信息安全背景调查,但签署了保密协议;信息安全培训较薄弱;离职时,缺乏撤销访问权限的流

您可能关注的文档

文档评论(0)

1亿VIP精品文档

相关文档