信息科技投诉和事件报告制度.doc

《信息科技投诉和事件报告制度.doc》由会员分享，可在线阅读，更多相关《信息科技投诉和事件报告制度.doc（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、德信诚培训网信息科技风险计量和监测管理办法一. 说明根据公司信息科技风险管理策略，公司应对信息科技风险持续进行监测，确定监测范围、监测内容和频率。制定关键风险指标，并分配相关责任，定期分析指标并产生信息科技风险监测报告，监测信息科技风险发展趋势。在2012年度，公司信息科技风险计量和监测工作以收集各项指标的信息与数据为主，做好相关历史数据的积累，为下一个阶段确定各项关键指标的阈值、建立公司的信息科技风险管理指标体系打下基础。公司计量和监测方法分为日常监测、定期监测和项目监测，由信息科技风险管理员执行。二. 日常监测2.1 物理环境监测物理环境监测包括以下内容：监测项日常平均值日常峰值评价温度湿

2、度电力供应电磁辐射量2.2 网络监测网络监测包括以下内容：网络流量与负载监测项日常平均值日常峰值评价核心生产网络流量与负载渠道业务网络流量与负载业务支撑网络流量与负载外联网络流量与负载内联网络流量与负载办公网络流量与负载路由器监测指标监测项日常平均值日常峰值评价CPU负载内存占用率并发连接数CPU温度风扇转速交换机监测指标监测项日常平均值日常峰值评价CPU负载内存占用率背板吞吐量CPU温度风扇转速防火墙监测指标监测项日常平均值日常峰值评价CPU负载内存占用率并发连接数新建连接数CPU温度风扇转速2.3 系统监测系统监测包括内容如下：服务器监测指标（包括核心应用小机、数据库小机及其他重要服务器等

3、）监测项日常平均值日常峰值评价CPU负载内存占用率硬盘空间占用率CPU温度风扇转速三. 定期监测3.1 技术发展的风险监测信息科技风险管理员应定期监测信息科技发展给公司信息系统带来的风险，包括但不限于以下情况： 新漏洞的发布 新型攻击手段的发现 公司新投产的信息系统 公司已有信息系统增加新的功能或模块 已有信息系统的调整新漏洞和新型攻击手段的监测至少每月进行一次。信息科技风险管理员应统计本月发布的新漏洞与攻击手段，分析其对公司信息系统的影响，编写改进建议，并监督整改落实。在漏洞和攻击手段影响可能特别严重时，应立即进行分析评估和整改。对公司信息系统变化相关的风险监测，至少每半年进行一次。信息科技

4、风险管理员应对本阶段公司信息系统的变动进行分析与评估，发现其中可能存在的风险，编写改进建议，并监督整改落实。对重要信息系统的较大变化，应在变化实施前进行分析评估，控制可能存在的风险。3.2 操作风险和管理控制的检查信息科技风险属于操作风险的一部分，其管理工作应服从公司操作风险管理办法。对于操作风险中有关于信息科技风险的重大事项，应及时采取措施，并向董事会汇报。监测项日常平均值日常峰值评价3.3 信息科技风险问题整改处理3.4 服务水平协议定期审查信息科技风险监测工作中，应定期安排供应商和业务部门对服务水平协议（SLA）的完成情况进行审查。对服务水平协议中的主要内容进行回顾，并3.5 信息科技服

5、务投拆和事故处理监测项日常平均值日常峰值评价风险管理程序的有效性四. 项目监测4.1 信息科技项目评价信息科技项目评价，需要在项目实施前及实施后进行评价，以发现本项目和项目管理方法中可能存在的问题与风险，并持续改进。公司目前从项目的资源投入、项目的进度和项目完成质量等几方面来进行评价。信息科技项目实施前，信息科技风险管理员应参与到项目需求分析与设计的工作中，与项目经理讨论以下内容的合理性，填写表格，并且双方应签字确认：监测项监测子项实施前确认指标实施后实际指标评价项目进度开始日期正式验收日期项目阶段1结束日期项目阶段2结束日期项目阶段3结束日期项目阶段N结束日期项目资源本行人员应说明总人数，并

6、逐一列出人员姓名、项目中的主要工作、参与的时间段应说明实际参加总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段第三方人员应说明总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段应说明实际参加总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段项目预算与决算现有资源占用计划在项目中长期使用的硬件、设备、后勤物资等实际在项目中长期使用的硬件、设备、后勤物资等项目质量项目目标完成情况项目主要目标项目主要目标完成情况变更情况分析项目是否可能产生变更。如有，在哪些方面，产生何种变更，有何影响等应逐一列出项目变更事件文档交付逐一列出项目计划交付文档，及相关要求逐一列出项目验收时的文

7、档，并评价是否符合要求项目培训逐一列出计划培训内容，及相关要求、说明逐一列出项目验收时完成的培训，并评价是否符合要求4.2 外包项目的风险状况评价在项目进行中，应定期外包风险进行监测，应定期（每年一次）和不定期（根据项目执行情况）进行外包服务商风险状况的审核与监督，如人员变动情况、财务状况和其他方面运行状况等，及时发现外包方面的隐患。风险状况调查工作可以包括与外包商、内部相关部门会谈，及独立调研等方法，独立调研应包括对会谈结果的必要审核。监测项会谈结果调研结果评价外包人员投入情况外包服务质量情况外包人员操作合规情况外包工程中重要事件外包商经营声誉外包商财务稳健性信息科技风险计量和监测管理办法五

8、. 说明根据公司信息科技风险管理策略，公司应对信息科技风险持续进行监测，确定监测范围、监测内容和频率。制定关键风险指标，并分配相关责任，定期分析指标并产生信息科技风险监测报告，监测信息科技风险发展趋势。在2011年度，公司信息科技风险计量和监测工作以收集各项指标的信息与数据为主，做好相关历史数据的积累，为下一个阶段确定各项关键指标的阈值、建立公司的信息科技风险管理指标体系打下基础。公司计量和监测方法分为日常监测、定期监测和项目监测，由信息科技风险管理员执行。六. 日常监测6.1 物理环境监测物理环境监测包括以下内容：监测项日常平均值日常峰值评价温度湿度电力供应电磁辐射量6.2 网络监测网络监测

9、包括以下内容：网络流量与负载监测项日常平均值日常峰值评价核心生产网络流量与负载渠道业务网络流量与负载业务支撑网络流量与负载外联网络流量与负载内联网络流量与负载办公网络流量与负载路由器监测指标监测项日常平均值日常峰值评价CPU负载内存占用率并发连接数CPU温度风扇转速交换机监测指标监测项日常平均值日常峰值评价CPU负载内存占用率背板吞吐量CPU温度风扇转速防火墙监测指标监测项日常平均值日常峰值评价CPU负载内存占用率并发连接数新建连接数CPU温度风扇转速6.3 系统监测系统监测包括内容如下：服务器监测指标（包括核心应用小机、数据库小机及其他重要服务器等）监测项日常平均值日常峰值评价CPU负载内存

10、占用率硬盘空间占用率CPU温度风扇转速七. 定期监测7.1 技术发展的风险监测信息科技风险管理员应定期监测信息科技发展给公司信息系统带来的风险，包括但不限于以下情况： 新漏洞的发布 新型攻击手段的发现 公司新投产的信息系统 公司已有信息系统增加新的功能或模块 已有信息系统的调整新漏洞和新型攻击手段的监测至少每月进行一次。信息科技风险管理员应统计本月发布的新漏洞与攻击手段，分析其对公司信息系统的影响，编写改进建议，并监督整改落实。在漏洞和攻击手段影响可能特别严重时，应立即进行分析评估和整改。对公司信息系统变化相关的风险监测，至少每半年进行一次。信息科技风险管理员应对本阶段公司信息系统的变动进行分

11、析与评估，发现其中可能存在的风险，编写改进建议，并监督整改落实。对重要信息系统的较大变化，应在变化实施前进行分析评估，控制可能存在的风险。7.2 操作风险和管理控制的检查信息科技风险属于操作风险的一部分，其管理工作应服从公司操作风险管理办法。对于操作风险中有关于信息科技风险的重大事项，应及时采取措施，并向董事会汇报。监测项日常平均值日常峰值评价7.3 信息科技风险问题整改处理7.4 服务水平协议定期审查信息科技风险监测工作中，应定期安排供应商和业务部门对服务水平协议（SLA）的完成情况进行审查。对服务水平协议中的主要内容进行回顾，并7.5 信息科技服务投拆和事故处理监测项日常平均值日常峰值评价

12、风险管理程序的有效性八. 项目监测8.1 信息科技项目评价信息科技项目评价，需要在项目实施前及实施后进行评价，以发现本项目和项目管理方法中可能存在的问题与风险，并持续改进。公司目前从项目的资源投入、项目的进度和项目完成质量等几方面来进行评价。信息科技项目实施前，信息科技风险管理员应参与到项目需求分析与设计的工作中，与项目经理讨论以下内容的合理性，填写表格，并且双方应签字确认：监测项监测子项实施前确认指标实施后实际指标评价项目进度开始日期正式验收日期项目阶段1结束日期项目阶段2结束日期项目阶段3结束日期项目阶段N结束日期项目资源本行人员应说明总人数，并逐一列出人员姓名、项目中的主要工作、参与的时

13、间段应说明实际参加总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段第三方人员应说明总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段应说明实际参加总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段项目预算与决算现有资源占用计划在项目中长期使用的硬件、设备、后勤物资等实际在项目中长期使用的硬件、设备、后勤物资等项目质量项目目标完成情况项目主要目标项目主要目标完成情况变更情况分析项目是否可能产生变更。如有，在哪些方面，产生何种变更，有何影响等应逐一列出项目变更事件文档交付逐一列出项目计划交付文档，及相关要求逐一列出项目验收时的文档，并评价是否符合要求项目培训逐一列出计划培训内容，及相关要求、说明逐一列出项目验收时完成的培训，并评价是否符合要求8.2 外包项目的风险状况评价在项目进行中，应定期外包风险进行监测，应定期（每年一次）和不定期（根据项目执行情况）进行外包服务商风险状况的审核与监督，如人员变动情况、财务状况和其他方面运行状况等，及时发现外包方面的隐患。风险状况调查工作可以包括与外包商、内部相关部门会谈，及独立调研等方法，独立调研应包括对会谈结果的必要审核。监测项会谈结果调研结果评价外包人员投入情况外包服务质量情况外包人员操作合规情况外包工程中重要事件外包商经营声誉外包商财务稳健性更多免费资料下载请进：好好学习社区