收藏
下载资源

《信息技术服务治理风险治理》标准全文及编制说明

上传人:木92****502 文档编号:113377921 上传时间:2019-11-08 格式:PDF 页数:29 大小:1.01MB
返回 下载 相关 举报
《信息技术服务治理风险治理》标准全文及编制说明_第1页
第1页 / 共29页
《信息技术服务治理风险治理》标准全文及编制说明_第2页
第2页 / 共29页
《信息技术服务治理风险治理》标准全文及编制说明_第3页
第3页 / 共29页
《信息技术服务治理风险治理》标准全文及编制说明_第4页
第4页 / 共29页
《信息技术服务治理风险治理》标准全文及编制说明_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《《信息技术服务治理风险治理》标准全文及编制说明》由会员分享,可在线阅读,更多相关《《信息技术服务治理风险治理》标准全文及编制说明(29页珍藏版)》请在金锄头文库上搜索。

1、ICS 35.080 177 团 体 标 准 T/ CESA XXXX2019 信息技术服务 治理 风险治理 Information Technology Service - Governance-Risk Governance 征求意见稿 (在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上) 2019 - - 发布 2019 - XX - 实施 中国电子工业标准化技术协会 发 布 T/CESA XXXX-2019 II 目 次 目次 . II 前 言 . IV 信息技术服务 治理 风险治理 5 1 范围 5 2 规范性引用文件 5 3 术语和定义 5 4 风险治理理总则 6 a)

2、风险治理与 IT 治理的关系 . 6 b)风险治理理原则 6 c)风险治理策略 6 d)风险治理依据 7 e)风险管理技术 7 f)风险管理三道防线 7 5 风险治理框架 7 6 顶层设计 8 a)战略规划 8 b)组织构建 8 c)架构设计 9 7 风险治理环境 9 a)外部环境 9 b) 内部环境 9 c)促成因素 9 8 管理体系 . 10 a)IT 应用风险管理 10 b)IT 支撑风险管理 10 c)IT 研发与运营风险管理 10 d)IT 风险管理 10 e)IT 内部控制管理 11 f)IT 合规管理 11 g)IT 审计管理 11 9 风险治理要素 . 11 a)人员 . 11

3、 b)对象 . 12 c)流程 . 12 d)平台 . 12 e)数据 . 13 10 风险治理过程 13 T/CESA XXXX-2019 III a)统筹和规划 13 b)构建和运行 13 c)监控和评价 13 d)改进和优化 14 附录 A(规范性附录)总体风险管理 . 14 附录 B (规范性附录)专项风险管理 14 参考文献 14 T/CESA XXXX-2019 IV 前 言 T/CESA XXXXX 属于GB/T 34960信息技术服务 治理总标题下的一部分: - 第1部分 (即GB/T 34960.1-2017信息技术服务 治理 第1部分:通用要求) - 第2部分 (即GB/T

4、 34960.2-2017信息技术服务 治理 第2部分:实施指南) - 第3部分 (即GB/T 34960.3-2017信息技术服务 治理 第3部分:绩效评价) - 第4部分 (即GB/T 34960.4-2017信息技术服务 治理 第4部分:审计导则) - 第5部分 (即GB/T 34960.5-2018信息技术服务 治理 第5部分:数据治理规范) - 第6部分 (即GB/T 34960.6信息技术服务 治理 第6部分::风险管理) - 第7部分 (即GB/T 34960.7信息技术服务 治理 第7部分:数据审计) - 第8部分 (即GB/T 34960.8信息技术服务 治理 第8部分:安全

5、审计) 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国电子技术标准化研究院提出。 本标准起草单位: 本标准主要起草人: T/CESA XXXX-2019 5 信息技术服务 治理 风险治理 1 范围 本标准给出了风险管理总则、风险治理框架、顶层设计、风险治理环境、管理体系、风险治理要素 及风险治理过程等内容。 a) 本标准适用于组织治理主体实施 IT 顶层设计职能; b) 建立或完善组织的 IT 风险管理体系; c) 明确组织 IT 风险管理过程中的相关要求; d) 规范组织 IT 风险管理业务的

6、开展及相关平台的建设; e) 第三方或其他相关机构开展 IT 风险管理咨询业务的指导 各级各类信息化主管部门、监管机构等,可根据法律法规、部门规章的要求,使用本标准对所管辖 各类组织的IT风险管理提出要求,并进行监督。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 34960.1 信息技术服务 治理 第1部分:通用要求 3 术语和定义 3.1 信息技术风险治理 risk governance IT及其应用过程中相关的全面风险管控活动和绩效的集合。

7、3.2 信息技术风险管理 risk management of it IT资源获取、风险管控、价值提升等活动的集合。 3.3 内部控制体系 Internal control system 是为合理保证组织经营活动的效益性、财务报告的可靠性和法律法规的遵循性,而自行检查、制约 和调整内部业务活动的自律系统。 3.4 信息技术内部控制体系 Internal control system of it T/CESA XXXX-2019 6 是为合理保证组织IT活动的效益性、信息系统的可靠性和法律法规的遵循性,而自行检查、制约和 调整内部IT活动的自律系统。 3.5 合规管理体系 conformance

8、 system 是指由若干合规管理要素相互联系而构成的一个有机整体。 3.6 信息技术合规管理体系 conformance system of it 是指由若干IT合规管理要素相互联系而构成的一个有机整体。 3.7 审计管理体系 audit system 是指由若干审计管理要素相互联系而构成的一个有机整体。 3.8 信息技术审计体系 audit system of it 是指由若干IT审计管理要素相互联系而构成的一个有机整体。 4 风险治理理总则 a) 风险治理与 IT 治理的关系 IT风险治属于IT治理的一部分。 依据GB/T XXXXX.1的规定:治理主体以组织章程、监管职责、利益相关方期

9、望、业务压力和业务要 求为驱动力,建立评估、指导、监督的治理过程并明确任务。治理主体应通过IT战略和方针,指导管理 者对IT及其应用的管理体系进行完善, 并对IT相关的方案和规划进行评估、 对IT应用的绩效和符合性进 行监督。组织的IT风险治理应在IT治理框架下进行,并与IT治理保持一致。 b) 风险治理理原则 IT风险管理原则包括: a) 决策层的最终责任; b) 成本与收益的平衡; c) 风险管理文化; d) 全面性; e) 系统性; f) 动态性; g) 有效的沟通渠道。 c) 风险治理策略 T/CESA XXXX-2019 7 组织应根据自身条件和外部环境,围绕组织IT发展战略,确定I

10、T风险偏好、IT风险承受度、IT风险 管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等 适合的风险管理工具总体策略,并确定IT风险管理所需人力和财力资源的配置原则。 d) 风险治理依据 IT 风险治理依据包括但不限于: a) 国家 IT 风险相关法律、法规及标准; b) 行业 IT 风险相关规范及标准; c) 地方 IT 风险相关规范及标准; d) 组织内部 IT 风险相关规范及标准; e) 国际 IT 风险相关标准; f) 国内外 IT 风险最佳实践。 e) 风险管理技术 IT 风险管理技术包括但不限于: a) 风险评估技术; b) 计算机辅助管理技

11、术; c) 大数据技术; f) 风险管理三道防线 IT风险管理三道防线包括: a) 与应用系统使用相关的职能部门、业务单位及 IT 部门为第一道防线业务部门; b) 风险管理职能部门和决策机构下设的风险管理委员会为第二道防线 c) 内部审计部门和决策机构下设的审计委员会为第三道防线 5 风险治理框架 风险治理框架包含顶层设计、风险治理环境、管理体系的治理、资源和基础工作的治理和风险治 理过程五大部分,见图1. T/CESA XXXX-2019 8 管理体系管理体系管理体系管理体系 顶层设计顶层设计 IT应用应用 风险管风险管 理理 IT应用应用 风险管风险管 理理 战略战略 规划规划 战略战略

12、 规划规划 组织组织 构建构建 组织组织 构建构建 架构架构 设计设计 架构架构 设计设计 风险治理风险治理 环境环境 风险治理风险治理 环境环境 内外部内外部 环境环境 内外部内外部 环境环境 促成促成 因素因素 促成促成 因素因素 风险治理过程风险治理过程风险治理过程风险治理过程 统筹和规划统筹和规划统筹和规划统筹和规划 改进和优化改进和优化改进和优化改进和优化 监控和评价监控和评价监控和评价监控和评价 构建和运行构建和运行构建和运行构建和运行 IT研发研发 与运营与运营 风险管风险管 理理 IT研发研发 与运营与运营 风险管风险管 理理 IT风险风险 管理管理 IT风险风险 管理管理 I

13、T内部内部 控制控制 IT内部内部 控制控制 IT审计管理审计管理IT审计管理审计管理 风险治理要素风险治理要素风险治理要素风险治理要素 风风 险险 管管 理理 流流 程程 风风 险险 管管 理理 流流 程程 风风 险险 管管 理理 平平 台台 风风 险险 管管 理理 平平 台台 风风 险险 数数 据据 管管 理理 风风 险险 数数 据据 管管 理理 风风 险险 管管 理理 人人 员员 风风 险险 管管 理理 人人 员员 风风 险险 管管 理理 对对 象象 风风 险险 管管 理理 对对 象象 IT合规合规 管理管理 IT合规合规 管理管理 IT支撑支撑 风险管风险管 理理 IT支撑支撑 风险管

14、风险管 理理 图1 风险治理框架 图1 风险治理框架 顶层设计包含与风险治理相关的战略规划、组织构建和架构设计,是风险治理实施的基础。 风险治理环境包含外部环境、内部环境及促成因素,是风险治理实施的基础。 管理体系的治理包含应用风险管理体系、支撑风险管理体系、研发与运营风险管理体系、IT风险管 理体系、IT内部控制体系、IT合规管理体系和IT审计管理体系,是风险治理实施的基础。 资源与基础工作的治理包含风险管理人员、风险管理对象、风险管理流程、风险管理平台和风险数 据管理,是风险治理实施的基础。 风险治理实施过程包含统筹和规划、构建和运行、监控和评价以及改进和优化,是风险治理实施的 方法。 6

15、 顶层设计 a) 战略规划 组织应制定独立的IT风险管控中长期规划。 IT风险管控战略规划应保持与业务规划、 信息技术规划 一致,并明确战略规划实施的策略,包括但不限于: a) 理解业务规划和信息技术规划,调研需求并评估 IT 风险现状、技术现状、应用现状和环境; b) 制定 IT 风险管控战略规划,包含但不限于目标、原则、依据、任务、内容、边界、环境和蓝 图等; c) 指导 IT 风险治理方案的建立,包含但不限于实施主体、责权利、技术方案、管控方案、实施 策略和实施路线等,并明确 IT 风险管理体系和 IT 风险资源与基础工作; d) 明确风险偏好、风险容忍程度、符合性、绩效和审计等要求,监

16、控和评价 IT 风险治理的实施 并持续改进。 b) 组织构建 T/CESA XXXX-2019 9 组织构建应聚焦IT风险治理责任主体及责权利, 通过完善组织机制, 获得利益相关方的理解和支持, 制定IT风险管理的流程和制度,以支撑IT风险治理的实施,包括但不限于: a) 建立支撑 IT 风险战略的组织机构和组织机制,明确相关的实施原则和策略; b) 明确决策和实施机构,设立岗位并明确角色,确保责权利一致; c) 建立相关的授权、决策和沟通机制,保证利益相关方理解、接受相应的职责和权利; d) 实现决策、执行、控制和监督等职能,评估运行绩效并持续改进和优化。 c) 架构设计 架构设计应关注技术架构、应用架构和架构管理体系,通过持续的评估、改进和优化,以支撑IT 风险的管控,包括但不限于: a) 建立与战略一致的 IT 风险治理平台架构,明确技术方向、管理策略和支撑体系,以满足 IT 总 体风险与 IT 专项风险的管控; b) 评价 IT 风险治理平台架构

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号