IT风险防范制度

新疆新特药民族药业有限责任公司

IT 风险安全管理办法

1. 目的：为有效地加强IT 管理，保护本公司信息资产安全，保障公司业务持续、健康、稳定发展，根据COSO 企业风险管理框架、国际IT 治理标准COBIT、国务院国资委《中央企业全面风险管理指引》，结合公司IT 管理现状，特制定本管理办法。

2. 范围：新疆新特药民族药业有限责任公司本部及所属分、子公司

3. 定义：

1） COSO：根据COSO 报告中的定义，内部控制是受公司董事会、管理层和其他员工的共同作用，旨在为实现经营效果和效率、数据来源的可靠性以及对适用法律法规的遵循，而提供合理保证的一种过程,包括五个内部要素的控制：控制环境、风险评估、控制行为、信息和沟通、监控。关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假财务报告委员会的赞助组织委员会(Committee of Sponsoring Organization, “COSO”) 的内部控制框架得到最广泛的认可。

2） CobIT: CobIT 是关于IT 的一个管理框架，并提供配套的支撑工具集，是由国际信息系统审计和控制协会（ISACA）提出的一个信息及相关技术控制目标的开放性标准。

3）PMBOK: PMBOK(Project Management Body of Knowledge)是美国项目管理学会在70 年代末提出的项目管理体系。

4 ）科学合理的IT 风险管理体系具有前瞻性的、全局性的控制机制，

能融合防范与应对IT 信息安全、IT 治理、IT 管理、IT 服务、IT 应用、IT 项目、IT 基础设施、业务连续性、IT 外包等方面的风险，并能有效地指导公司控制IT 风险，使IT 战略与企业战略相融合，促进IT 为公司持续地创造价值，以实现有效益的信息化。

4. 内容：

4.1 IT 风险管理框架

4.1.1 通过为IT 引入一定的结构、规则与标准（IT 风险管理框架），使IT 在“他律”（IT 治理）的基础上进行“自律”（IT 管理），使得IT 风险在一定的框架内上下左右浮动，而不超过企业计划中的风险范围。

4.1.2 IT 风险管理框架的原则主要包括：

(1)建立IT 治理机制，使IT 治理成为公司治理的一部分，在公司最高决策层上对信息化进行监管与制衡。

(2)对IT 进行规划，确保IT 战略与业务战略的统一，在总体规划指导下进行IT 应用、IT 数据和IT 技术方面的架构设计，以获得标准化的技术规范与指南。

(3)在技术与管理上保证和各种异构IT 资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。

(4)采用国际上得到普遍认可的IT 控制标准（如COBIT、ITIL、

ISO27001）及医药行业最佳实践，为公司信息化管理提供规范和标准；

(5)识别公司中的重要IT 过程，确定IT 目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行IT 过程管理

的思想。

(6)持续地评估公司IT 绩效，可以从整体信息化绩效、IT 项目绩效及IT 人员绩效等多个方面进行评估，以了解当前IT 状况，为调整与改进提供依据。

(7)通过计划、实施、调整、改进(PDCD)的循环，使公司信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，及时发现信息化存在的偏离，及时调整到信息化的最终目标上来。

4.1.3 IT 风险管理框架涉及到如下环节：

(1)完善IT 治理结构，确定IT 原则、IT 架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT 委员会的方式来建立良好IT 治理结构，通过对权力的监督与平衡，可把IT 战略风险与管理风险控制在一定范围内。另一方面，为保护IT 与业务目标一致，有限利用IT资源，提高IT 绩效，降低风险与控制成本，需按照国际标准COBIT 框架，在IT 的计划与组织、获得与实施、交付与支持、监控四个领域建立IT 控制过程，有效地控制IT 建设的整个生命周期的风险。

(2)实现IT 与业务的融合，建立一套具备一定适应能力且能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。为了对业务需求进行准确识别，IT 人员应了解公司业务流程，并站在业务管理者的角度思考企业发展的重大问题，这对IT 人员的提出了新的挑战。

(3)信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化建设之前为组织建立可

靠的业务模型，这样就能充分理解业务功能，较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。

(4)在IT 建设之前应进行前期数据规划、数据标准化工作。数据标准化为提高公司信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。

(5)通过IT 规划，明确IT 的投资方向，实现可控的IT 投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT 能力。在总体IT 规划的指导下，进行公司的整体IT 框架设计，IT 架构为公司IT 标准化提供了基本依据和框架，兵有力地指导公司IT 标准化的工作。

(6)从管理、技术、人员、过程等角度定义、建立、实施公司信息安全管理体系，确保公司业务持续稳定运营，维护企业的竞争优势。(7)通过对公司业务支撑系统实施IT 服务管理，对公司各种资源进行整合优化，形成全面、统一、集中的IT 管理构架及IT 服务管理流程，确保公司信息系统为企业发展提供可靠、经验、高效的信息服务。(8)对IT 项目进行高效率的计划、组织、指导和控制，以实现IT 项目全过程的动态管理和项目目标的综合协调与优化。在IT 项目管理中，应积极采用国际通行的项目管理知识架构（PMBOK）。

(9)实施IT 项目监理，稳妥地规划和控制IT 项目的投资、进度和质量三大目标，在IT 监理过程中重，实现目标规划、动态控制、组织协调和合同管理；IT 监理工作贯穿于IT 规划、IT 设计、IT实施和