IT风险规划_原创精品文档.pdfVIP

IT风险规划--第1页

：计算机网络安全管理制度中未明确负责监查信息化管理部门的单位。

信息化管理部门行使权利过程中，由于无管控单位，导致即便其由于操作失误，

甚至滥用职权，公司也很难发现风险根源。

：明确计算机信息化管理部门相应的监查部门

：明确计算机信息化管理部门相应的监查部门，由监查部门不定期对计算机信息

化管理部门进行监查，并找出其可能存在的风险，进行协调整改。跟踪其整改情况，完善

信息系统。监查部门定期把相关监查跟踪记录报告提交给上级部门查阅。

：公司OA系统未确定每一个职位相对应的经过授权的专项权限。

：谁有权准入访问什么和是否获得相应授权没有控制。

建立角色管理

：建立角色管理，权限认证，企业职权分离的检查和补救制度。对管理人员删除

的OA系统数据，赋予保留一定的时间，防止误删，恶意删除。

：公司员工欠缺IT风险意识

：办公过程中，因欠缺风险意识，造成不少不必要的损失，如电脑不设置登陆密

码。

IT风险规划--第1页

IT风险规划--第2页

：提升员工风险意识

：自上而下的提高公司员工风险意识，可通过培训、交流等方式，达到有效的风

险规避、风险转移、风险降低、风险承担。

：系统开辟不符合内部控制要求

：授权管理不当，审计部门无法准确、详细获取信息管理部门的资料。

：给相关审计人员设置管理归口

：给相关审计人员设置归口管理，让其能全面采集所需审计资料，合理利用信息

技术实施有效控制IT风险。

制定信息系统开辟的战略规划

缺乏战略规划或者规划不合理，可能造成信息信息孤岛或者重复建设，导致企业

下。没有将信息化与企业业务需求结合，降低了信息系统的应用价值。

信息孤岛现象是不少企业信息系统建设中存在的普遍问题，根源在于这些企业

往往忽视战略规划的重要性，缺乏整体观念和整合意识，往往陷入头痛医头，脚痛医脚，

这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源

管理系统、办公自动化系统等各自为政、孤立存在的现象，削弱了信息系统的协同效用，

甚至引起系统冲突。

风险控制点：制定信息系统开辟的战略规划和中长期发展计划。

IT风险规划--第2页

IT风险规划--第3页

控制措施：第一，企业必须制定信息系统开辟的战略规划和中长期发展计划，并在每年制

定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。

第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部

门的积极性，使各部门广泛参预，充分沟通，提高战略规划的科学性、前瞻性和适应性。

第三，信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，

避免相互脱节。

：企业信息系统未建设整体规划

：企业信息系统归口管理部门应该组织内部各单位提出开辟需求和关键控制点，

规范开辟流程，明确系统设计、编程、安装调试、验收、收线等全过程的管理要求，严格

按照建设方案、相关要求组织开辟工作。

：企业应当根据信息系统建设整体规划提出项目建设方案

：明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照

规定的权限和程序审批后实施。开辟信息系统，可以采取自行开辟、外购调试、业务外包

等方式。选定外购调试或者业务外包方式的，应当采用公开招标等形式择优确定供应商或

者开发单位。企业信息系统归口管理部门应当加强信息系统开辟全过程的跟踪管理，组

织内部各单位的日常沟通和协调，催促开辟单位按照建设方案、计划进度和质量要求完

成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。企业

应当组织独立于专业机构对开辟完成的信息系统进行验收测试，确保在功能、性能、控

制要求和安全性等方面符合开辟需