君乐宝IT风险预警管理制度.docx

《君乐宝IT风险预警管理制度.docx》由会员分享，可在线阅读，更多相关《君乐宝IT风险预警管理制度.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、君乐宝IT风险预警管理制度君乐宝IT风险预警管理制度一、目的为保障我公司信息安全，提升信息化项目建设质量；有效躲避并防备信息化建设及应用的风险，根据（全面风险管理制度第二版），结合我公司实际情况，制定该制度。二、适用范围君乐宝及其控股或有管辖权的单位和部门。三、IT风险定义IT风险是指由于IT建设所处环境和条件的不确定性,导致最终结果与我们的期望产生背离,并给企业和相关人员带来损失的可能性。详细内容如下：1.系统合规风险，指所建设或使用的信息系统未知足国家相关政策、法规要求的风险。2.技术应用风险，是指所选型系统未充分考虑已有或将来信息系统标准，技术标准不兼容、架构不支撑大数据处理等方面的风险

2、。3.采购成本风险，是指采购价格远高于市场正常水平、因需求变更造成的费用增加或出现未估算的成本造成采购成本失控的风险。4.系统适用风险，是指系统安全性、稳定性和易用性方面未到达要求的风险。5.建设进度风险，是指项目建设未能按预定的工期完工影响企业或相关部门正常运营的风险。6.信息安全风险，是指所选信息系统未知足行业安全标准或相关信息安全标准的风险。7.人员异动风险，是指在项目施行经过中乙方双方关键介入人员出现变动影响项目推进构成的风险。四、职责与分工四、IT风险识别IT风险识别,是指承建单位在采集资料和调查研究的基础上，运用各种方法对尚未发生的潜在风险以及客观存在的各种风险进行系统归类和全面识

3、别。IT风险识别不是一次能够完成的，它在整个信息化建设运作经过中定期而有计划地进行。4.1IT风险识别主要根据下面几个原则：4.1.1由粗及细，由细及粗信息技术部负责主要风险的管控，业务部门负责日常风险的识别和管控。4.1.2多种识别方法的选择与综合运用对于重要的IT风险应采用两种以上方法进行识别和分析。4.1.3慎重排除可能的风险不轻易否认或排除某些风险，要通过认真的分析进行确认或排除。必要时进行实验论证，对于不能排除但又不能肯定予以确认的风险按确认考虑。4.1.4全员介入原则由于IT风险识别的广泛性，要求风险管理人员应尽量向有关人员广泛征求意见并进行归纳整理，以求对IT风险的全面了解。4.

4、1.5动态识别原则风险识别的全生命周期性表明随着项目生命期的发展，项目不同阶段会有不同的风险。为了识别随时可能出现的新风险，必须预先制定一个连续的风险识别计划，知足风险动态识别的需要。4.1.6经济原则经济原则是指根据项目风险影响的大小来确定投入风险识别的资源和精神。4.1.7资料积累原则资料的不断积累是开展风险管理的重要基础，风险识别经过中产生的记录是主要的也是重要的风险资料之一，风险识别工作开展前应准备好将要用到的记录表格，当风险识别工作完成后，将所获取的相关资料整理保存。4.2IT风险识别的方法(1)文件审核。就是从风险整体和详尽范围两个方面对计划与假设、文件及其他资料进行构造性的审核，

5、进而对潜在的风险进行识别。(2)SWOT分析。SWOT分析用于IT风险识别时，就是对其本身的优劣势和外部环境的时机与威胁进行综合分析，对风险作出系统的评价，最终到达识别IT风险的目的。(3)德尔菲法。德尔菲法是专家们就某一主题达成一致意见的方法。对风险识别而言，就是风险管理专员对项目风险进行识别，并达成一致性意见。这种方法有助于减少数据方面的偏见，并避免因个人因素对结果产生不良影响。(4)现场考察法。在风险识别阶段，风险管理专员对现场进行勘察非常重要。十分是较大的IT项目，风险管理专员应通过直接观察现场的系统操作，以便能够更多、更细致地识别项目的潜在损失。五、IT风险预警IT风险根据其影响的严

6、重程度和区间划分为3个等级：主要为低度风险、中度风险和高度风险；分别对应的预警期间为：黄色预警低度风险，橙色预警中度风险和红色预警高度风险,划分根据和标准如下:5.1有下列情形之一的,进行黄色预警:中标招标或比价厂商报价高于平均二次报价，超过10%，但不超过20%的；开发类项目合同付款：预付超过30%，开发未完成付款超过50%的5.2有下列情形之一的,进行橙色预警:中标招标或比价厂商报价高于平均二次报价，超过20%，但不超过40%的；5.3有下列情形之一的,进行红色预警:中标招标或比价厂商报价高于平均二次报价，超过40%及以上的；信息技术部根据已识别的IT风险及其严重程度、影响范围评定其风险等

7、级和预警等级；并向涉及部门下发（IT风险预警通知单）附件1，接受部门在收到（IT风险预警通知单）后根据风险等级按下面原则进行：1.一级至二级风险接受部门负责人需组织人员对风险进行分析，并向信息技术部反应整改措施和整改效果。2.三级至四级风险由信息技术部指派专人会同接受部门相关组成风险管控小组对风险进行全面分析并制定改良计划，由信息技术部批准并派人督导改良，结果上报财务中心总经理和接受部门事业部/中心总经理。3.五级风险为重大风险，由信息技术部经理上报财务中心总经理同意后下发（IT项目风险预警通知单），并由信息技术部经理主导由接受部门和涉及部门组成项目风险管控小组，对已识别风险的严重程度和影响范围进行评估，并编制评估报告、改善计划上报财务中心总经理、接受部门及涉及部门中心/事业部批准后，进行风险控制和改善，改善进度和结果向改善计划上报财务中心总经理、接受部门及涉及部门中心/事业部汇报。六、考核办法收到（IT项目风险预警通知单），未按规定时间给出反应和整改措施的，给予该项目经办人200元罚款，给予该项目负责人500元罚款。七、附则本制度自下发之日起开场执行，由信息技术部负责解释。八、附件