技術公司信息科技風險計量和監測管理辦法.doc
下載文檔
上傳人:職z****i
編號:1100607
2024-09-07
19頁
189.41KB
下載文檔到電腦����,查找使用更方便
15
金幣
1�、技術公司信息科技風險計量和監測管理辦法編 制: 審 核: 批 準: 版 本 號: ESZAQDGF001 編 制: 審 核: 批 準: 版 本 號: 信息科技風險計量和監測管理辦法一. 說明根據公司信息科技風險管理策略,公司應對信息科技風險持續進行監測,確定監測范圍��、監測內容和頻率�����。制定關鍵風險指標����,并分配相關責任�����,定期分析指標并產生信息科技風險監測報告,監測信息科技風險發展趨勢。在年度���,公司信息科技風險計量和監測工作以收集各項指標的信息與數據為主,做好相關歷史數據的積累,為下一個階段確定各項關鍵指標的閾值�、建立公司的信息科技風險管理指標體系打下基礎�����。公司計量和監測方法分為日常監測、定期監測和2、項目監測���,由信息科技風險管理員執行。二. 日常監測2.1 物理環境監測物理環境監測包括以下內容:監測項日常平均值日常峰值評價溫度濕度電力供應電磁輻射量2.2 網絡監測網絡監測包括以下內容:網絡流量與負載監測項日常平均值日常峰值評價核心生產網絡流量與負載渠道業務網絡流量與負載業務支撐網絡流量與負載外聯網絡流量與負載內聯網絡流量與負載辦公網絡流量與負載路由器監測指標監測項日常平均值日常峰值評價CPU負載內存占用率并發連接數CPU溫度風扇轉速交換機監測指標監測項日常平均值日常峰值評價CPU負載內存占用率背板吞吐量CPU溫度風扇轉速防火墻監測指標監測項日常平均值日常峰值評價CPU負載內存占用率并發連接3�、數新建連接數CPU溫度風扇轉速2.3 系統監測系統監測包括內容如下:服務器監測指標(包括核心應用小機��、數據庫小機及其他重要服務器等)監測項日常平均值日常峰值評價CPU負載內存占用率硬盤空間占用率CPU溫度風扇轉速三. 定期監測3.1 技術發展的風險監測信息科技風險管理員應定期監測信息科技發展給公司信息系統帶來的風險,包括但不限于以下情況: 新漏洞的發布 新型攻擊手段的發現 公司新投產的信息系統 公司已有信息系統增加新的功能或模塊 已有信息系統的調整新漏洞和新型攻擊手段的監測至少每月進行一次���。信息科技風險管理員應統計本月發布的新漏洞與攻擊手段,分析其對公司信息系統的影響��,編寫改進建議����,并監督整改4、落實���。在漏洞和攻擊手段影響可能特別嚴重時,應立即進行分析評估和整改�����。對公司信息系統變化相關的風險監測��,至少每半年進行一次。信息科技風險管理員應對本階段公司信息系統的變動進行分析與評估���,發現其中可能存在的風險,編寫改進建議�����,并監督整改落實�����。對重要信息系統的較大變化����,應在變化實施前進行分析評估�,控制可能存在的風險。3.2 操作風險和管理控制的檢查信息科技風險屬于操作風險的一部分�,其管理工作應服從公司操作風險管理辦法�。對于操作風險中有關于信息科技風險的重大事項��,應及時采取措施�����,并向董事會匯報。監測項日常平均值日常峰值評價3.3 信息科技風險問題整改處理3.4 服務水平協議定期審查信息科技風險監測工作5��、中���,應定期安排供應商和業務部門對服務水平協議(SLA)的完成情況進行審查���。對服務水平協議中的主要內容進行回顧����,并3.5 信息科技服務投拆和事故處理監測項日常平均值日常峰值評價風險管理程序的有效性四. 項目監測4.1 信息科技項目評價信息科技項目評價,需要在項目實施前及實施后進行評價�,以發現本項目和項目管理方法中可能存在的問題與風險�����,并持續改進。公司目前從項目的資源投入��、項目的進度和項目完成質量等幾方面來進行評價�����。信息科技項目實施前����,信息科技風險管理員應參與到項目需求分析與設計的工作中���,與項目經理討論以下內容的合理性���,填寫表格���,并且雙方應簽字確認:監測項監測子項實施前確認指標實施后實際指標評價項6�、目進度開始日期正式驗收日期項目階段1結束日期項目階段2結束日期項目階段3結束日期項目階段N結束日期項目資源本行人員應說明總人數,并逐一列出人員姓名���、項目中的主要工作、參與的時間段應說明實際參加總人數��,并逐一列出人員姓名����、項目中的主要工作、參與的時間段第三方人員應說明總人數��,并逐一列出人員姓名�����、項目中的主要工作、參與的時間段應說明實際參加總人數,并逐一列出人員姓名�、項目中的主要工作�、參與的時間段項目預算與決算現有資源占用計劃在項目中長期使用的硬件�、設備、后勤物資等實際在項目中長期使用的硬件、設備��、后勤物資等項目質量項目目標完成情況項目主要目標項目主要目標完成情況變更情況分析項目是否可能產生變更��。7����、如有��,在哪些方面�����,產生何種變更,有何影響等應逐一列出項目變更事件文檔交付逐一列出項目計劃交付文檔���,及相關要求逐一列出項目驗收時的文檔,并評價是否符合要求項目培訓逐一列出計劃培訓內容,及相關要求、說明逐一列出項目驗收時完成的培訓�,并評價是否符合要求4.2 外包項目的風險狀況評價在項目進行中���,應定期外包風險進行監測�����,應定期(每年一次)和不定期(根據項目執行情況)進行外包服務商風險狀況的審核與監督,如人員變動情況、財務狀況和其他方面運行狀況等�,及時發現外包方面的隱患����。風險狀況調查工作可以包括與外包商��、內部相關部門會談,及獨立調研等方法���,獨立調研應包括對會談結果的必要審核���。監測項會談結果調研結果評價外8����、包人員投入情況外包服務質量情況外包人員操作合規情況外包工程中重要事件外包商經營聲譽外包商財務穩健性信息科技風險計量和監測管理辦法五. 說明根據公司信息科技風險管理策略�����,公司應對信息科技風險持續進行監測�����,確定監測范圍、監測內容和頻率。制定關鍵風險指標�����,并分配相關責任�,定期分析指標并產生信息科技風險監測報告,監測信息科技風險發展趨勢。在2011年度�,公司信息科技風險計量和監測工作以收集各項指標的信息與數據為主���,做好相關歷史數據的積累��,為下一個階段確定各項關鍵指標的閾值、建立公司的信息科技風險管理指標體系打下基礎�。公司計量和監測方法分為日常監測�、定期監測和項目監測�,由信息科技風險管理員執行。六. 日9�、常監測6.1 物理環境監測物理環境監測包括以下內容:監測項日常平均值日常峰值評價溫度濕度電力供應電磁輻射量6.2 網絡監測網絡監測包括以下內容:網絡流量與負載監測項日常平均值日常峰值評價核心生產網絡流量與負載渠道業務網絡流量與負載業務支撐網絡流量與負載外聯網絡流量與負載內聯網絡流量與負載辦公網絡流量與負載路由器監測指標監測項日常平均值日常峰值評價CPU負載內存占用率并發連接數CPU溫度風扇轉速交換機監測指標監測項日常平均值日常峰值評價CPU負載內存占用率背板吞吐量CPU溫度風扇轉速防火墻監測指標監測項日常平均值日常峰值評價CPU負載內存占用率并發連接數新建連接數CPU溫度風扇轉速6.3 系統監10����、測系統監測包括內容如下:服務器監測指標(包括核心應用小機��、數據庫小機及其他重要服務器等)監測項日常平均值日常峰值評價CPU負載內存占用率硬盤空間占用率CPU溫度風扇轉速七. 定期監測7.1 技術發展的風險監測信息科技風險管理員應定期監測信息科技發展給公司信息系統帶來的風險,包括但不限于以下情況: 新漏洞的發布 新型攻擊手段的發現 公司新投產的信息系統 公司已有信息系統增加新的功能或模塊 已有信息系統的調整新漏洞和新型攻擊手段的監測至少每月進行一次�����。信息科技風險管理員應統計本月發布的新漏洞與攻擊手段�,分析其對公司信息系統的影響,編寫改進建議����,并監督整改落實�����。在漏洞和攻擊手段影響可能特別嚴重時,應11���、立即進行分析評估和整改。對公司信息系統變化相關的風險監測�����,至少每半年進行一次���。信息科技風險管理員應對本階段公司信息系統的變動進行分析與評估��,發現其中可能存在的風險���,編寫改進建議�,并監督整改落實����。對重要信息系統的較大變化���,應在變化實施前進行分析評估�����,控制可能存在的風險���。7.2 操作風險和管理控制的檢查信息科技風險屬于操作風險的一部分���,其管理工作應服從公司操作風險管理辦法�。對于操作風險中有關于信息科技風險的重大事項,應及時采取措施����,并向董事會匯報�����。監測項日常平均值日常峰值評價7.3 信息科技風險問題整改處理7.4 服務水平協議定期審查信息科技風險監測工作中,應定期安排供應商和業務部門對服務水平協議12����、(SLA)的完成情況進行審查�����。對服務水平協議中的主要內容進行回顧,并7.5 信息科技服務投拆和事故處理監測項日常平均值日常峰值評價風險管理程序的有效性八. 項目監測8.1 信息科技項目評價信息科技項目評價��,需要在項目實施前及實施后進行評價����,以發現本項目和項目管理方法中可能存在的問題與風險�����,并持續改進�����。公司目前從項目的資源投入、項目的進度和項目完成質量等幾方面來進行評價。信息科技項目實施前���,信息科技風險管理員應參與到項目需求分析與設計的工作中,與項目經理討論以下內容的合理性,填寫表格,并且雙方應簽字確認:監測項監測子項實施前確認指標實施后實際指標評價項目進度開始日期正式驗收日期項目階段1結束日期13����、項目階段2結束日期項目階段3結束日期項目階段N結束日期項目資源本行人員應說明總人數�,并逐一列出人員姓名��、項目中的主要工作�����、參與的時間段應說明實際參加總人數,并逐一列出人員姓名��、項目中的主要工作���、參與的時間段第三方人員應說明總人數���,并逐一列出人員姓名�、項目中的主要工作、參與的時間段應說明實際參加總人數��,并逐一列出人員姓名���、項目中的主要工作����、參與的時間段項目預算與決算現有資源占用計劃在項目中長期使用的硬件�、設備、后勤物資等實際在項目中長期使用的硬件��、設備���、后勤物資等項目質量項目目標完成情況項目主要目標項目主要目標完成情況變更情況分析項目是否可能產生變更����。如有,在哪些方面�����,產生何種變更,有何影響等應14�����、逐一列出項目變更事件文檔交付逐一列出項目計劃交付文檔����,及相關要求逐一列出項目驗收時的文檔,并評價是否符合要求項目培訓逐一列出計劃培訓內容��,及相關要求����、說明逐一列出項目驗收時完成的培訓,并評價是否符合要求8.2 外包項目的風險狀況評價在項目進行中����,應定期外包風險進行監測,應定期(每年一次)和不定期(根據項目執行情況)進行外包服務商風險狀況的審核與監督��,如人員變動情況���、財務狀況和其他方面運行狀況等����,及時發現外包方面的隱患。風險狀況調查工作可以包括與外包商�����、內部相關部門會談����,及獨立調研等方法,獨立調研應包括對會談結果的必要審核����。監測項會談結果調研結果評價外包人員投入情況外包服務質量情況外包人員操作合規情況外包工程中重要事件外包商經營聲譽外包商財務穩健性
全部分類
標準檢索
招標公告
免費下載資料庫
10000份+資源包
千萬vip文檔暢享下載
下載文檔文件編輯即用
網站精選百萬好案
百萬工程地產工作者都在用
微信掃一掃登錄
