IT风险防范制度.pdf

IT风险防范制度

新疆新特药民族药业有限责任公司

IT风险安全管理办法

1.目的：为有效地加强IT管理，保护本公司信息资产安全，保障

公司业务持续、健康、稳定发展，根据COSO企业风险管理框架、国

际IT治理标准COBIT、国务院国资委《中央企业全面风险管理指

引》，结合公司IT管理现状，特制定本管理办法。

2.范围：新疆新特药民族药业有限责任公司本部及所属分、子公司

3.定义：

1）COSO：根据COSO报告中的定义，内部控制是受公司董事会、管

理层和其他员工的共同作用，旨在为实现经营效果和效率、数据来

源的可靠性以及对适用法律法规的遵循，而提供合理保证的一种过

程,包括五个内部要素的控制：控制环境、风险评估、控制行为、信

息和沟通、监控。关于内部控制的框架，不同机构都对其有不同的

理解，其中以美国反对虚假财务报告委员会的赞助组织委员会

(CommitteeofSponsoringOrganization,COSO“”)的内部控制框

架得到最广泛的认可。

2）CobIT:CobIT是关于IT的一个管理框架，并提供配套的支撑

工具集，是由国际信息系统审计和控制协会（ISACA）提出的一个信

息及相关技术控制目标的开放性标准。

3）PMBOK:PMBOK(ProjectManagementBodyofKnowledge)是美国

项目管理学会在70年代末提出的项目管理体系。

1/10

IT风险防范制度

4）科学合理的IT风险管理体系具有前瞻性的、全局性的控制机

制，能融合防范与应对IT信息安全、IT治理、IT管理、IT服

务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方

面的风险，并能有效地指导公司控制IT风险，使IT战略与企业战

略相融合，促进IT为公司持续地创造价值，以实现有效益的信息

化。

4.内容：

4.1IT风险管理框架

4.1.1通过为IT引入一定的结构、规则与标准（IT风险管理框

架），使IT在“他律”（IT治理）的基础上进行“自律”（IT管

理），使得IT风险在一定的框架内上下左右浮动，而不超过企业计

划中的风险范围。

4.1.2IT风险管理框架的原则主要包括：

(1)建立IT治理机制，使IT治理成为公司治理的一部分，在公司最

高决策层上对信息化进行监管与制衡。

(2)对IT进行规划，确保IT战略与业务战略的统一，在总体规划指

导下进行IT应用、IT数据和IT技术方面的架构设计，以获得标准

化的技术规范与指南。

(3)在技术与管理上保证和各种异构IT资源能在统一的架构环境

下，实现协同工作、无缝地进行数据交换。

2/10

IT风险防范制度

(4)采用国际上得到普遍认可的IT控制标准（如COBIT、ITIL、

ISO27001）及医药行业最佳实践，为公司信息化管理提供规范和标

准；

(5)识别公司中的重要IT过程，确定IT目标、功能与职责。梳理出

纵向上的技术管理过程和横向上的客户服务过程，推行IT