TCESA-信息技术服务 治理 风险治理.pdf

ICS35.080

177

团体标准

T/CESAXXXX—2019

信息技术服务治理风险治理

InformationTechnologyService-Governance-RiskGovernance

征求意见稿

（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）

2019--发布2019-XX-实施

中国电子工业标准化技术协会发布

T/CESAXXXX-2019

版权保护文件

版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其

他形式或任何手段进行复制、再版或使用，包括电子版，影印件，或发布在互联网及内部网络等。使用

许可可于发布机构获取。

I

T/CESAXXXX-2019

目次

目次II

前言IV

信息技术服务治理风险治理5

1范围5

2规范性引用文件5

3术语和定义5

4风险治理理总则6

a)风险治理与IT治理的关系6

b)风险治理理原则6

c)风险治理策略6

d)风险治理依据7

e)风险管理技术7

f)风险管理三道防线7

5风险治理框架7

6顶层设计8

a)战略规划8

b)组织构建8

c)架构设计9

7风险治理环境9

a)外部环境9

b)内部环境9

c)促成因素9

8管理体系10

a)IT应用风险管理10

b)IT支撑风险管理10

c)IT研发与运营风险管理10

d)IT风险管理10

e)IT内部控制管理11

f)IT合规管理11

g)IT审计管理11

9风险治理要素11

a)人员11

b)对象12

c)流程12

d)平台12

e)数据13

10风险治理过程13

II

T/CESAXXXX-2019

a)统筹和规划13

b)构建和运行13

c)监控和评价13

d)改进和优化14

附录A（规范性附录）总体风险管理14

附录B（规范性附录）专项风险管理14

参考文献14

III

T/CESAXXXX-2019

前言

T/CESAXXXXX属于GB/T34960《信息技术服务治理》总标题下的一部分：

第1部分（即GB/T34960.1-2017《信息技术服务治理第1部分：通用要求》）

第2部分（即GB/T34960.2-2017《信息技术服务治理第2部分：实施指南》）

第3部分（即GB/T34960.3-2017《信息技术服务治理第3部分：绩效评价》）

第4部分（即GB/T34960.4-2017《信息技术服务治理第4部分：审计导则》）

第5部分（即GB/T34960.5-2018《信息技术服务治理第5部分：数据治理规范》）

第6部分（即GB