IT管理

IT风险管理

2018-06-01 11:07:09 | 来源:中培企业IT培训网

3.IT风险管理

中国石化按照内部控制和外部监管的要求,建立了包括IT内控业务流程、一般性控制和应用控制在内的IT控制体系,完善了IT风险应急机制,加强了对信息基础设施和信息安全的风险管理,较有效地防范了IT经营风险和合规风险。

IT内控业务流程包括“信息系统管理业务流程”和“信息资源管理业务流程”,前者主要按照信息系统全生命周期管理的要求,提出了对信息系统建设应用各主要环节的控制,后者以信息共享和信息安全为主要目标,体现了信息资源管理的基本要求。

参照COBIT标准设计的IT -般性控制,由企业整体层面的IT控制和企业活动层面的IT控制组成。在“信息系统管理业务流程”中纳入了企业整体层面的IT控制,主要控制点包括信息化管理体系、信息化规划、IT风险评估、信息安全管理等方面;通过制定“ERP系统IT -般性控制流程”、“应用系统IT -般性控制流程”和“基础设施IT -般性控制流程”

三个流程,以实现对企业活动层面的IT控制,包括了对程序和数据访问、程序变更、程序开发、系统运行及网络管理、服务器管理、桌面计算机管理、机房管理、备份介质管理等方面的控制。

在IT应用控制方面,结合ERP系统的应用,在相关内控业务流程中嵌入了400多个ERP控制点,初步实现了配置控制、数据输入控制、操作规范控制、用户权限管理控制和系统接口控制等。同时结合内外部审计及检查,不断完善和提升IT应用控制水平,充分发挥ERP系统的应用控制功能。如将审计工作流程、方法与ERP系统功能相结合,通过对跨模块数据的检索,在国内率先实现在线审计,为事中审计、远程审计、绩效审计提供了手段。

在风险管理方面,制定发布了IT风险评估管理办法,明确要求IT项目可研报告必须包括风险管理,要求每年对重要信息系统进行风险评估;建立IT控制流程,设立控制点,保证IT风险管理到位;形成了由控制流程、控制矩阵、工作底稿、检查办法、管理制度、组织管理办法等组成的比较完善的IT风险防范体系。

标签: IT风险管理

猜你喜欢