3集团企业IT治理内容、工具与实例.pptVIP

从整体IT的治理策略出发，令IT部门能够在她的任务上，恰如其分地与公司业务发展、风险管理策略同步配合。 * 从整体IT的治理策略出发，令IT部门能够在她的任务上，恰如其分地与公司业务发展、风险管理策略同步配合。 * 5. 企业如何实施IT治理-----16字方针 整体规划，分步实施，关注试点，持续优化 --Think big, do small, Do big 5. 企业如何实施IT治理-----16字方针 整体规划，分步实施，关注试点，持续优化 --Think big, do small, Do big 5. 企业如何实施IT治理-----16字方针 整体规划，分步实施，关注试点，持续优化 --Think big, do small, Do big 外部合规要求： 《中央企业全面风险管理指引》 《国资委信息化水平评价》 《企业内部控制基本规范》 《上海证券交易所上市公司内部控制指引》 美国SOX法案合规 施工总承包企业特级资质标准 《国资委信息化水平评价》--合规2 企业内部控制应用指引 内部控制应用指引中的计算机信息系统具体规范则提出：企业在建立并实施计算机信息系统内部控制制度中，至少应当强化对以下关键方面或者关键环节的风险控制，并采取相应的控制措施： （一）权责分配和职责分工应当明确，重大信息系统事项应履行审批程序； （二）信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确； （三）信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定； （四）硬件管理事项和审批程序应当科学合理； （五）会计电算化流程应当规范，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。 《上海证券交易所上市公司内部控制指引》--合规4 第四条 公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责，董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。 第十条 公司使用计算机信息系统的，还应制定信息管理的内控制度。 信息管理的内控制度至少应涵盖下列内容： 　　（一）信息处理部门与使用部门权责的划分； 　　（二）信息处理部门的功能及职责划分 　　（三）系统开发及程序修改的控制； 　　（四）程序及资料的存取、数据处理的控制； 　　（五）档案、设备、信息的安全控制； IT治理成熟度诊断 成熟度诊断的六个方面： IT权责体系 IT战略 IT投资 IT运维服务 风险与合规 IT人力资源 成熟度模型的使用 成熟度提供了一种简单实用的管理工具，组织可以用于评估现状，了解自身目前所处的地位，行业标杆和国际最佳实践的水平。 根据企业现状和行业标杆、国际最佳实践对比找出未来改进的方向，结合业务需求，将主要精力投入到关键的管理领域。 成熟度模型等级有助于向管理层清晰地展示IT管理存在的缺陷，将组织的管理水平与国际最佳实践相对照，从而确定组织的发展目标。 服务台 ·制定了制度文档。 ·有Remedy和联友自己开发的服务平台支撑。·有效回访率56％。 · 呼损率指标目前由花都电信提供，不准确。 事件管理 ·制定了事件管理流程和制度，并对故障进行分级。 ·事件主要由人工触发。没有从监控设备直接触发的事件。 问题管理 ·没有明确的问题管理流程。·有与IS部举行例会解决问题的机制 ;有重大故障详细报告。·没有主动分析事件、触发问题的机制 。 配置管理 ·配置库中对配置信息的分类层次清楚。 ·配置管理的工具（remedy）支撑配置管理。 ·配置管理信息较基础。 变更管理 ·变更的申请、审批、测试、实施流程完备。 ·紧急变更流程未见相关文件。 服务级别管理 ·有完善的服务级别管理，并分解到服务目录。 ·针对不同的服务级别，有相应的控制措施。 ·定期为DFL提供服务报告。 示例 网络设备、系统 ·一线人员上岗前参加相关技术培训。 ·缺乏统一的网络、应用监控平台。 ·已制定部分操作流程，未形成完整体系。 数据中心 ·武汉机房管理较完善，十堰较为混乱。 ·运维人员对双机、均衡、灾难恢复等技术掌握不熟练。 ·缺乏事件应急方案。 设备维护 ·运维工程师具备系统硬软件维护的基本技能。 ·同客户的沟通存在一定的问题。 数据库 ·一线工程师定期对数据库进行备份和性能监控的工作。 ·二线运维SE定期对系统进行评估和性能优化； ·同原厂商建立密切的联系，经常参加原厂商的技术培训。 示例 信息安全战略与策略 ·缺乏明确的信息安全体系策略文件 组织的安全 ·没有公司层面的安全组织；与第三方保持着良好的联系 资产管理 ·有资产清单，但资产罗 列不全；信息分类不够细致 人力资源安全 ·没有对入职员工进行信息安全背景调查，但签署了保密协议；信息安全培训较薄弱；离职时，缺乏撤销访问权限的流