IT风险规划_原创精品文档.pdfVIP

：计算机网络安全管理制度中未明确负责监查信息化管理部门的单位。

信息化管理部门行使权利过程中，由于无管控单位，导致即便其由于操作失误，

甚至滥用职权，公司也很难发现风险根源。

：明确计算机信息化管理部门相应的监查部门

：明确计算机信息化管理部门相应的监查部门，由监查部门不定期对计算机信息

化管理部门进行监查，并找出其可能存在的风险，进行协调整改。跟踪其整改情况，完善

信息系统。监查部门定期把相关监查跟踪记录报告提交给上级部门查阅。

：公司OA系统未确定每一个职位相对应的经过授权的专项权限。

：谁有权准入访问什么和是否获得相应授权没有控制。

建立角色管理

：建立角色管理，权限认证，企业职权分离的检查和补救制度。对管理人员删除

的OA系统数据，赋予保留一定的时间，防止误删，恶意删除。

：公司员工欠缺IT风险意识

：办公过程中，因欠缺风险意识，造成不少不必要的损失，如电脑不设置登陆密

码。

：提升员工风险意识

：自上而下的提高公司员工风险意识，可通过培训、交流等方式，达到有效的风

险规避、风险转移、风险降低、风险承