IT风险防范制度

新疆新特药民族药业有限责任公司IT风险安全管理办法1.目的：为有效地加强IT管理，保护本公司信息资产安全，保障公司业务持续、健康、稳定发展，根据COSO企业风险管理框架、国际IT治理标准COBIT、国务院国资委《中央企业全面风险管理指引》，结合公司IT管理现状，特制定本管理办法。2.范围：新疆新特药民族药业有限责任公司本部及所属分、子公司3.定义：1）COSO：根据COSO报告中的定义，内部控制是受公司董事会、管理层和其他员工的共同作用，旨在为实现经营效果和效率、数据来源的可靠性以及对适用法律法规的遵循，而提供合理保证的一种过程,包括五个内部要素的控制：控制环境、风险评估、控制行为、信息和沟通、监控。关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假财务报告委员会的赞助组织委员会(CommitteeofSponsoringOrganization,“COSO”)的内部控制框架得到最广泛的认可。2）CobIT:CobIT是关于IT的一个管理框架，并提供配套的支撑工具集，是由国际信息系统审计和控制协会（ISACA）提出的一个信息及相关技术控制目标的开放性标准。3）PMBOK:PMBOK(ProjectManagementBodyofKnowledge)是美国项目管理学会在70年代末提出的项目管理体系。4）科学合理的IT风险管理体系具有前瞻性的、全局性的控制机制，能融合防范与应对IT信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险，并能有效地指导公司控制IT风险，使IT战略与企业战略相融合，促进IT为公司持续地创造价值，以实现有效益的信息化。4.内容：4.1IT风险管理框架4.1.1通过为IT引入一定的结构、规则与标准（IT风险管理框架），使IT在“他律”（IT治理）的基础上进行“自律”（IT管理），使得IT风险在一定的框架内上下左右浮动，而不超过企业计划中的风险范围。4.1.2IT风险管理框架的原则主要包括：(1)建立IT治理机制，使IT治理成为公司治理的一部分，在公司最高决策层上对信息化进行监管与制衡。(2)对IT进行规划，确保IT战略与业务战略的统一，在总体规划指导下进行IT应用、IT数据和IT技术方面的架构设计，以获得标准化的技术规范与指南。(3)在技术与管理上保证和各种异构IT资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。(4)采用国际上得到普遍认可的IT控制标准（如COBIT、ITIL、ISO27001）及医药行业最佳实践，为公司信息化管理提供规范和标准；(5)识别公司中的重要IT过程，确定IT目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行IT过程管理的思想。(6)持续地评估公司IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为调整与改进提供依据。(7)通过计划、实施、调整、改进(PDCD)的循环，使公司信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，及时发现信息化存在的偏离，及时调整到信息化的最终目标上来。4.1.3IT风险管理框架涉及到如下环节：(1)完善IT治理结构，确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好IT治理结构，通过对权力的监督与平衡，可把IT战略风险与管理风险控制在一定范围内。另一方面，为保护IT与业务目标一致，有限利用IT资源，提高IT绩效，降低风险与控制成本，需按照国际标准COBIT框架，在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程，有效地控制IT建设的整个生命周期的风险。(2)实现IT与业务的融合，建立一套具备一定适应能力且能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。为了对业务需求进行准确识别，IT人员应了解公司业务流程，并站在业务管理者的角度思考企业发展的重大问题，这对IT人员的提出了新的挑战。(3)信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化建设之前为组织建立可靠的业务模型，这样就能充分理解业务功能，较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。(4)在IT建设之前应进行前期数据规划、数据标准化工作。数据标准化为提高公司信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。(5)通过IT规划，明确IT的投资方向，实现可控的IT投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT能力。在总体IT规划的指导下，进行公司的整体IT框架设计，IT架构为公司IT标准化提供了基本依据和框架，兵有力地指导公司IT标准化的工作。(6)从管理、技术、人员、过程等角度定义、建立、实施公司信息安全管理体系，确保公司业务持续稳定运营，维护企业的竞争优势。(7)通过对公司业务支撑系统实施IT服务管理，对公司各种资源进行整合优化，形成全面、统一、集中的IT管理构架及IT服务管理流程，确保公司信息系统为企业发展提供可靠、经验、高效的信息服务。(8)对IT项目进行高效率的计划、组织、指导和控制，以实现IT项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中，应积极采用国际通行的项目管理知识架构（PMBOK）。(9)实施IT项目监理，稳妥地规划和控制IT项目的投资、进度和质量三大目标，在IT监理过程中重，实现目标规划、动态控制、组织协调和合同管理；IT监理工作贯穿于IT规划、IT设计、IT实施和IT验收以及IT后评估的全生命周期过程。(10)应当制定和执行IT应急计划，通过预防性和恢复性措施相结合，把IT灾难或者IT安全事故所导致的破坏减少到一个可以接受范围内。IT应急计划适合于广泛的紧急事件准备环境，包括业务处理连续性及IT恢复计划。为了对影响组织IT系统、业务处理和IT设施的外部威胁做出快速反应，并恢复和保持业务连续性的活动，在IT应急计划启动之前应进行准备工作。4.1.4在建立与完善IT风险管理框架时，应通过如下三个阶段进行实施：第一阶段：IT资源普查、建立初步控制；第二阶段：资源协同、全面控制；第三阶段：业务创新、完善控制。4.2IT风险管理4.2.1对于IT人员，应加强IT风险意识培训，对于IT风险中所涉及到因素以及现象进行识别、归纳，积极主动地规避IT风险。4.2.2重要岗位IT人员应建立交叉培训机制，并建立IT人员备份。4.2.3所有IT人员应签订保密协议，对于IT文档、程序源代码、公司重要信息等提供重要保护条款。保密期限不得低于5年。4.2.4对于IT人员逐步实施IT能力考核机制，除了对其技术、管理方面考核外，还要对其人品、道德、忠诚度等方面的考察。4.2.5IT人员应积极主要了解业务，通过IT技术、IT管理带动、支持业务发展，并在IT项目实施过程中逐步成为既懂业务又懂IT技术的复合型人才。4.2.6IT项目文档（包括电子、纸质）应按照ISO9000流程及时归档，并由专人做好归档记录。4.2.7各级分子公司IT项目必须按照有关集团总公司、国药控股信息化项目管理规定及时上报审批。实施建设时应PMBOK等项目管理程序进行全生命周期管理。重大IT项目应设立项目领导小组、工作小组，并定期召开项目进度例会、问题协调沟通会，做好会议备案、会议纪要或者会议记录。4.2.8所有IT项目必须在国药控股公司一体化运营信息化规划统一指导下进行建设，且在得到正式批复后方可实施。4.2.9各级分子公司应在国药控股信息化规划下，根据公司自身实际，编制相应的信息化规划。为了指导信息化规划，应设立相应的IT委员会。4.2.10IT项目外包应按有关规定执行招标评标制度选择外包商。对于外包商的选择时，除了外包商的资质、规模实力等外，对于IT项目实施人员经验、技术等应进行严格考核，并与他们签订保密协议。4.2.11对于自行开发的IT系统，应严格按照IT项目需求管理流程，以ISO9000为基础进行业务需求设计、开发、版本管理以及实施部署，并进行运行跟踪等。4.2.12所有IT项目中涉及到密码、权限等，需要加强管理，制定修改、更改、使用策略。在实施完成后，应及时清理不再使用的密码以及权限，密码位数应超过7位以上，应定期（通常两个月）进行更换。4.2.13所有员工应按公司规定安装必备软件，因安装非必备软件而导致公司信息泄露，或者黑客攻击公司网络、电脑等安全事故，应追究法律责任，并在保密协议有关条款中进行限制。4.2.14为了加强大型或者复杂IT项目管理，提高实施成功率，超过100万元以上IT项目应选择IT监理。4.2.15在IT项目实施、交付、支持过程中，应对IT项目特性进行评估、总结，并探讨项目模板的实施可能性，提高未来IT项目实施成功率，降低投资成本。4.2.16在IT项目实施过程中，应充分发挥使用部门在项目管理、实施中的积极性、主动性，并注重加强使用部门的项目培训。4.2.17应加强对IT应用的管理。根据国家安全等级制度对重要IT应用进行等级评估，确定等级水平，提出安全保护办法；同时，为了确保IT应用持续有效运行，还要制定IT应急预案，并根据情况需要进行演练，对于IT应急恢复应有详细可操作措施。4.2.18采用集中管理、远程访问管理的IT应用，必须实现双机热备机制，在此基础上逐步探讨双击备份的负载均衡模式，提高服务器利用率，增强IT应用的高可靠性。重要IT应用有条件也应采用以上备份机制。应加强对备份机制程序进行培训，做好培训、操作文档管理。4.2.19采用SaaS模式的外包IT应用，必须加强安全保护管理，特别是IT应用的密码、权限管理，对于数据库应有监控记录以及自动备份机制。4.2.20所有IT应用应制定使用1年后的后评估制度，以考察IT应用绩效以及IT投资利用水平。4.2.21对于公司机房内网络设备、电源设备、服务器，应定期进行巡查，发现可疑现象，应立即排除，并设立日志管理制度。进出机房人员应进行登记。应机房交接人员管理，有交接详细记录。4.2.22IT应用系统应根据业务需求，设立灵活但成熟的系统架构，并逐步采用B/S、SOA等先进系统架构。4.2.23信息部门应加强国药控股广域网、VPN网络的监控管理，杜绝非法用户进入公司网络。同时还要加强公司无线局域网的使用管理，除了设立密码权限外，为了确保公司网络安全，可以设立无线网络不在周边地区进行传播功能。5检查与考核5.1按照IT风险治理结构，对于IT人员风险、IT规划和架构的风险、IT项目管理风险、IT服务风险、信息资产管理风险、IT服务供应商风险、IT应用风险、IT基础设施风险、IT绩效风险，应给出相应的责任规定。5.2对于以下情形而引起IT风险管理不当，将给有关责任人或公司给予通报批评，并提出整改措施。(1)IT人员泄露公司信息；(2)未按IT项目要求制定IT规划和架构；(3)未按照IT项目管理程序对项目进行立项、实施。(4)未按照IT服务管理程序管理IT设备、IT资源；(5)未妥善地管理公司信息资产；(6)未按照招标程序选择IT服务供应商，或者选择服务商标准不当(7)在IT应用过程中，因密码、权限管理混乱而导致了IT风险；(8)未按照有关规定或者程序对IT基础设施进行管理。6附则6.1本管理办法基于国际、国内有关标准进行制定，在实际过程中将不断充实、完善、调整。6.2本管理办法由国药控股总经理办公室、信息技术部负责解释。1.目的：为有效地加强IT管理，保护本公司信息资产安全，保障公司业务持续、健康、稳定发展，根据COSO企业风险管理框架、国际IT治理标准COBIT、国务院国资委《中央企业全面风险管理指引》，结合公司IT管理现盲潮丸索暗距校堡尖想悉吏绎蟹潍搀他醛屈喳被隘答膛昭擎咆浪纱祸账鄂段醉历亮享蜗案危词桓木僵飘屡塔白但踪因筑哺皱氧聊梁行饿筐吊蓟忙赎媳诀弓犯媒泛聚罐台智芬炼童铭漆摹潜者叛到痴别酞靡瘦魄垂枪彤珐啥穗斜滩俗闯辙驾