午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、藥業有限責任公司IT 風險安全管理辦法編 制： 審 核： 批 準： 版 本 號: ESZAQDGF001 編 制： 審 核： 批 準： 版 本 號: 新疆xx藥業有限責任公司IT 風險安全管理辦法1. 目的：為有效地加強IT 管理，保護本公司信息資產安全，保障公司業務持續、健康、穩定發展，根據COSO 企業風險管理框架、國際IT 治理標準COBIT、國務院國資委中央企業全面風險管理指引，結合公司IT 管理現狀，特制定本管理辦法。2. 范圍：新疆xx藥業有限責任公司本部及所屬分、子公司3. 定義：1） COSO：根據COSO 報告中的定義，內部控制是受公司董事會、管理層和其他員工的共同作用，旨在2、為實現經營效果和效率、數據來源的可靠性以及對適用法律法規的遵循，而提供合理保證的一種過程,包括五個內部要素的控制：控制環境、風險評估、控制行為、信息和溝通、監控。關于內部控制的框架，不同機構都對其有不同的理解，其中以美國反對虛假財務報告委員會的贊助組織委員會(Committee of Sponsoring Organization, “COSO”) 的內部控制框架得到最廣泛的認可。2） CobIT: CobIT 是關于IT 的一個管理框架，并提供配套的支撐工具集，是由國際信息系統審計和控制協會（ISACA）提出的一個信息及相關技術控制目標的開放性標準。3）PMBOK: PMBOK(Projec3、t Management Body of Knowledge)是美國項目管理學會在70 年代末提出的項目管理體系。4 ）科學合理的IT 風險管理體系具有前瞻性的、全局性的控制機制，能融合防范與應對IT 信息安全、IT 治理、IT 管理、IT 服務、IT 應用、IT 項目、IT 基礎設施、業務連續性、IT 外包等方面的風險，并能有效地指導公司控制IT 風險，使IT 戰略與企業戰略相融合，促進IT 為公司持續地創造價值，以實現有效益的信息化。4. 內容：4.1 IT 風險管理框架4.1.1 通過為IT 引入一定的結構、規則與標準（IT 風險管理框架），使IT 在“他律”（IT 治理）的基礎上進行“4、自律”（IT 管理），使得IT 風險在一定的框架內上下左右浮動，而不超過企業計劃中的風險范圍。4.1.2 IT 風險管理框架的原則主要包括：(1)建立IT 治理機制，使IT 治理成為公司治理的一部分，在公司最高決策層上對信息化進行監管與制衡。(2)對IT 進行規劃，確保IT 戰略與業務戰略的統一，在總體規劃指導下進行IT 應用、IT 數據和IT 技術方面的架構設計，以獲得標準化的技術規范與指南。(3)在技術與管理上保證和各種異構IT 資源能在統一的架構環境下，實現協同工作、無縫地進行數據交換。(4)采用國際上得到普遍認可的IT 控制標準（如COBIT、ITIL、ISO27001）及醫藥行業最佳5、實踐，為公司信息化管理提供規范和標準；(5)識別公司中的重要IT 過程，確定IT 目標、功能與職責。梳理出縱向上的技術管理過程和橫向上的客戶服務過程，推行IT 過程管理的思想。(6)持續地評估公司IT 績效，可以從整體信息化績效、IT 項目績效及IT 人員績效等多個方面進行評估，以了解當前IT 狀況，為調整與改進提供依據。(7)通過計劃、實施、調整、改進(PDCD)的循環，使公司信息化保持在可持續發展的軌道上，階段性地進行信息系統審計，及時發現信息化存在的偏離，及時調整到信息化的最終目標上來。4.1.3 IT 風險管理框架涉及到如下環節：(1)完善IT 治理結構，確定IT 原則、IT 架構、基6、礎設施、應用設施和投資優先順序的決策權歸屬和職責分工。通過建立IT 委員會的方式來建立良好IT 治理結構，通過對權力的監督與平衡，可把IT 戰略風險與管理風險控制在一定范圍內。另一方面，為保護IT 與業務目標一致，有限利用IT資源，提高IT 績效，降低風險與控制成本，需按照國際標準COBIT 框架，在IT 的計劃與組織、獲得與實施、交付與支持、監控四個領域建立IT 控制過程，有效地控制IT 建設的整個生命周期的風險。(2)實現IT 與業務的融合，建立一套具備一定適應能力且能夠識別不斷變化的業務需求，并能夠快速有效地作為響應的機制。為了對業務需求進行準確識別，IT 人員應了解公司業務流程，并站在7、業務管理者的角度思考企業發展的重大問題，這對IT 人員的提出了新的挑戰。(3)信息化項目無論是網絡建設、安全建設，還是應用開發，都需要了解組織特征，確定業務流程，應當在信息化建設之前為組織建立可靠的業務模型，這樣就能充分理解業務功能，較容易地完善業務流程，較容易地發現、識別新的業務機會(即業務的完善或革新)，并為網絡建設、安全建設及應用開發提供準確的需求定義。(4)在IT 建設之前應進行前期數據規劃、數據標準化工作。數據標準化為提高公司信息的互操作性、減少信息孤島、降低信息化的風險奠定了基礎。(5)通過IT 規劃，明確IT 的投資方向，實現可控的IT 投資成本，在有效地管理信息化有關風險的基礎8、上，獲得可持續改進和提升的IT 能力。在總體IT 規劃的指導下，進行公司的整體IT 框架設計，IT 架構為公司IT 標準化提供了基本依據和框架，兵有力地指導公司IT 標準化的工作。(6)從管理、技術、人員、過程等角度定義、建立、實施公司信息安全管理體系，確保公司業務持續穩定運營，維護企業的競爭優勢。(7)通過對公司業務支撐系統實施IT 服務管理，對公司各種資源進行整合優化，形成全面、統一、集中的IT 管理構架及IT 服務管理流程，確保公司信息系統為企業發展提供可靠、經驗、高效的信息服務。(8)對IT 項目進行高效率的計劃、組織、指導和控制，以實現IT 項目全過程的動態管理和項目目標的綜合協調與9、優化。在IT 項目管理中，應積極采用國際通行的項目管理知識架構（PMBOK）。(9)實施IT 項目監理，穩妥地規劃和控制IT 項目的投資、進度和質量三大目標，在IT 監理過程中重，實現目標規劃、動態控制、組織協調和合同管理；IT 監理工作貫穿于IT 規劃、IT 設計、IT實施和IT 驗收以及IT 后評估的全生命周期過程。(10)應當制定和執行IT 應急計劃，通過預防性和恢復性措施相結合，把IT 災難或者IT 安全事故所導致的破壞減少到一個可以接受范圍內。IT 應急計劃適合于廣泛的緊急事件準備環境，包括業務處理連續性及IT 恢復計劃。為了對影響組織IT 系統、業務處理和IT 設施的外部威脅做出快10、速反應，并恢復和保持業務連續性的活動，在IT 應急計劃啟動之前應進行準備工作。4.1.4 在建立與完善IT 風險管理框架時，應通過如下三個階段進行實施：第一階段：IT 資源普查、建立初步控制；第二階段：資源協同、全面控制；第三階段：業務創新、完善控制。4.2 IT 風險管理4.2.1 對于IT 人員，應加強IT 風險意識培訓，對于IT 風險中所涉及到因素以及現象進行識別、歸納，積極主動地規避IT 風險。4.2.2 重要崗位IT 人員應建立交叉培訓機制，并建立IT 人員備份。4.2.3 所有IT 人員應簽訂保密協議，對于IT 文檔、程序源代碼、公司重要信息等提供重要保護條款。保密期限不得低于5 11、年。4.2.4 對于IT 人員逐步實施IT 能力考核機制，除了對其技術、管理方面考核外，還要對其人品、道德、忠誠度等方面的考察。4.2.5 IT 人員應積極主要了解業務，通過IT 技術、IT 管理帶動、支持業務發展，并在IT 項目實施過程中逐步成為既懂業務又懂IT 技術的復合型人才。4.2.6 IT 項目文檔（包括電子、紙質）應按照ISO9000 流程及時歸檔，并由專人做好歸檔記錄。4.2.7 各級分子公司IT 項目必須按照有關集團總公司、國藥控股信息化項目管理規定及時上報審批。實施建設時應PMBOK 等項目管理程序進行全生命周期管理。重大IT 項目應設立項目領導小組、工作小組，并定期召開項目12、進度例會、問題協調溝通會，做好會議備案、會議紀要或者會議記錄。4.2.8 所有IT 項目必須在國藥控股公司一體化運營信息化規劃統一指導下進行建設，且在得到正式批復后方可實施。4.2.9 各級分子公司應在國藥控股信息化規劃下，根據公司自身實際，編制相應的信息化規劃。為了指導信息化規劃，應設立相應的IT 委員會。4.2.10 IT 項目外包應按有關規定執行招標評標制度選擇外包商。對于外包商的選擇時，除了外包商的資質、規模實力等外，對于IT 項目實施人員經驗、技術等應進行嚴格考核，并與他們簽訂保密協議。4.2.11 對于自行開發的IT 系統，應嚴格按照IT 項目需求管理流程，以ISO9000 為基礎13、進行業務需求設計、開發、版本管理以及實施部署，并進行運行跟蹤等。4.2.12 所有IT 項目中涉及到密碼、權限等，需要加強管理，制定修改、更改、使用策略。在實施完成后，應及時清理不再使用的密碼以及權限，密碼位數應超過7 位以上，應定期（通常兩個月）進行更換。4.2.13 所有員工應按公司規定安裝必備軟件，因安裝非必備軟件而導致公司信息泄露，或者黑客攻擊公司網絡、電腦等安全事故，應追究法律責任，并在保密協議有關條款中進行限制。4.2.14 為了加強大型或者復雜IT 項目管理，提高實施成功率，超過100 萬元以上IT 項目應選擇IT 監理。4.2.15 在IT 項目實施、交付、支持過程中，應對IT14、 項目特性進行評估、總結，并探討項目模板的實施可能性，提高未來IT 項目實施成功率，降低投資成本。4.2.16 在IT 項目實施過程中，應充分發揮使用部門在項目管理、實施中的積極性、主動性，并注重加強使用部門的項目培訓。4.2.17 應加強對IT 應用的管理。根據國家安全等級制度對重要IT 應用進行等級評估，確定等級水平，提出安全保護辦法；同時，為了確保IT 應用持續有效運行，還要制定IT 應急預案，并根據情況需要進行演練，對于IT 應急恢復應有詳細可操作措施。4.2.18 采用集中管理、遠程訪問管理的IT 應用，必須實現雙機熱備機制，在此基礎上逐步探討雙擊備份的負載均衡模式，提高服務器利用率15、，增強IT 應用的高可靠性。重要IT 應用有條件也應采用以上備份機制。應加強對備份機制程序進行培訓，做好培訓、操作文檔管理。4.2.19 采用SaaS 模式的外包IT 應用，必須加強安全保護管理，特別是IT 應用的密碼、權限管理，對于數據庫應有監控記錄以及自動備份機制。4.2.20 所有IT 應用應制定使用1 年后的后評估制度，以考察IT 應用績效以及IT 投資利用水平。4.2.21 對于公司機房內網絡設備、電源設備、服務器，應定期進行巡查，發現可疑現象，應立即排除，并設立日志管理制度。進出機房人員應進行登記。應機房交接人員管理，有交接詳細記錄。4.2.22 IT 應用系統應根據業務需求，設立16、靈活但成熟的系統架構，并逐步采用B/S、SOA 等先進系統架構。4.2.23 信息部門應加強國藥控股廣域網、VPN 網絡的監控管理，杜絕非法用戶進入公司網絡。同時還要加強公司無線局域網的使用管理，除了設立密碼權限外，為了確保公司網絡安全，可以設立無線網絡不在周邊地區進行傳播功能。5 檢查與考核5.1 按照IT 風險治理結構，對于IT 人員風險、IT 規劃和架構的風險、IT 項目管理風險、IT 服務風險、信息資產管理風險、IT 服務供應商風險、IT 應用風險、IT 基礎設施風險、IT 績效風險，應給出相應的責任規定。5.2 對于以下情形而引起IT 風險管理不當，將給有關責任人或公司給予通報批評，17、并提出整改措施。(1)IT 人員泄露公司信息；(2)未按IT 項目要求制定IT 規劃和架構；(3)未按照IT 項目管理程序對項目進行立項、實施。(4)未按照IT 服務管理程序管理IT 設備、IT 資源；(5)未妥善地管理公司信息資產；(6)未按照招標程序選擇IT 服務供應商，或者選擇服務商標準不當(7)在IT 應用過程中，因密碼、權限管理混亂而導致了IT 風險；(8)未按照有關規定或者程序對IT 基礎設施進行管理。6 附則6.1 本管理辦法基于國際、國內有關標準進行制定，在實際過程中將不斷充實、完善、調整。6.2 本管理辦法由國藥控股總經理辦公室、信息技術部負責解釋。6.3 本管理辦法自頒布之日起施行。