it风险规划(修改版)精要.docxVIP

IT风险规划（修改版） 1.信息系统风险 风险问题：计算机网络安全管理制度中未明确负责监查信息化管理部门的单位。 风险指引：信息化管理部门行使权利过程中，由于无管控单位，导致即便其由于操作失误，甚至滥用职权，公司也很难发现风险根源。 关键控制点：明确计算机信息化管理部门相应的监查部门 控制措施：明确计算机信息化管理部门相应的监查部门，由监查部门不定期对计算机信息化管理部门进行监查，并找出其可能存在的风险，进行协调整改。跟踪其整改情况，完善信息系统。监查部门定期把相关监查跟踪记录报告提交给上级部门查阅。 风险问题：公司OA系统未确定每个职位相对应的经过授权的专项权限。 风险指引：谁有权准入访问什么和是否获得相应授权没有控制。 关键控制点：建立角色管理 控制措施：建立角色管理，权限认证，企业职权分离的检查和补救制度。对管理人员删除的OA系统数据，给予保留一定的时间，防止误删，恶意删除。 风险问题：公司员工欠缺IT风险意识 风险指引：办公过程中，因欠缺风险意识，造成很多不必要的损失，如电脑不设置登陆密码。 风险控制点：提升员工风险意识 控制措施：自上而下的提高公司员工风险意识，可通过培训、交流等方式，达到有效的风险规避、风险转移、风险降低、风险承担。 风险问题：系统开发不符合内部控制要求 风险指引：授权管理不当，审计部门无法准确、详细获取信息管理部门的资料。 风险控制点：给相关审计人员设置管理归口 控制措施：给相关审计人员设置归口管理，让其能全面收集所需审计资料，合理利用信息技术实施有效控制IT风险。 2．信息系统的开发 2.1制定信息系统开发的战略规划 风险问题：缺乏战略规划或规划不合理，可能造成信息信息孤岛或重复建设，导致企业下。没有将信息化与企业业务需求结合，降低了信息系统的应用价值。 风险指引：信息孤岛现象是不少企业信息系统建设中存在的普遍问题，根源在于这些企业往往忽视战略规划的重要性，缺乏整体观念和整合意识，常常陷入头痛医头，脚痛医脚，这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象，削弱了信息系统的协同效用，甚至引发系统冲突。 风险控制点：制定信息系统开发的战略规划和中长期发展计划。 控制措施：第一，企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。第三，信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。 2.2选择适当的信息系统开发方式 风险问题：企业信息系统未建设整体规划 风险指引： 企业信息系统归口管理部门应该组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、收线等全过程的管理要求，严格按照建设方案、相关要求组织开发工作。 风险控制点：企业应当根据信息系统建设整体规划提出项目建设方案 控制措施：明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。开发信息系统，可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。企业应当组织独立于专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。 2.3信息系统的应用控制 风险问题：未将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序 风险指引：现企业的信息系统可在人工环境下实现控制功能，对企业信息的安全性造成一定影响 风险控制点： 将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能 控制措施：企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。企业应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。企业应当在信息系统中设置操作日志功能，确信操作的可审性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制