1、新疆新特药民族药业有限责任公司IT 风险安全管理办法1. 目的:为有效地加强IT 管理,保护本公司信息资产安全,保障公司业务持续、健康、稳定发展,根据COSO 企业风险管理框架、国际IT 治理标准COBIT、国务院国资委中央企业全面风险管理指引,结合公司IT 管理现状,特制定本管理办法。2. 范围:新疆新特药民族药业有限责任公司本部及所属分、子公司3. 定义:1) COSO:根据COSO 报告中的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营效果和效率、数据来源的可靠性以及对适用法律法规的遵循,而提供合理保证的一种过程,包括五个内部要素的控制:控制环境、风险评估、控制
2、行为、信息和沟通、监控。关于内部控制的框架,不同机构都对其有不同的理解,其中以美国反对虚假财务报告委员会的赞助组织委员会(Committee of Sponsoring Organization, “COSO”) 的内部控制框架得到最广泛的认可。2) CobIT: CobIT 是关于IT 的一个管理框架,并提供配套的支撑工具集,是由国际信息系统审计和控制协会(ISACA)提出的一个信息及相关技术控制目标的开放性标准。3)PMBOK: PMBOK(Project Management Body of Knowledge)是美国项目管理学会在70 年代末提出的项目管理体系。4 )科学合理的IT 风
3、险管理体系具有前瞻性的、全局性的控制机制,能融合防范与应对IT 信息安全、IT 治理、IT 管理、IT 服务、IT 应用、IT 项目、IT 基础设施、业务连续性、IT 外包等方面的风险,并能有效地指导公司控制IT 风险,使IT 战略与企业战略相融合,促进IT 为公司持续地创造价值,以实现有效益的信息化。4. 内容:4.1 IT 风险管理框架4.1.1 通过为IT 引入一定的结构、规则与标准(IT 风险管理框架),使IT 在“他律”(IT 治理)的基础上进行“自律”(IT 管理),使得IT 风险在一定的框架内上下左右浮动,而不超过企业计划中的风险范围。4.1.2 IT 风险管理框架的原则主要包括
4、:(1)建立IT 治理机制,使IT 治理成为公司治理的一部分,在公司最高决策层上对信息化进行监管与制衡。(2)对IT 进行规划,确保IT 战略与业务战略的统一,在总体规划指导下进行IT 应用、IT 数据和IT 技术方面的架构设计,以获得标准化的技术规范与指南。(3)在技术与管理上保证和各种异构IT 资源能在统一的架构环境下,实现协同工作、无缝地进行数据交换。(4)采用国际上得到普遍认可的IT 控制标准(如COBIT、ITIL、ISO27001)及医药行业最佳实践,为公司信息化管理提供规范和标准;(5)识别公司中的重要IT 过程,确定IT 目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客
5、户服务过程,推行IT 过程管理的思想。(6)持续地评估公司IT 绩效,可以从整体信息化绩效、IT 项目绩效及IT 人员绩效等多个方面进行评估,以了解当前IT 状况,为调整与改进提供依据。(7)通过计划、实施、调整、改进(PDCD)的循环,使公司信息化保持在可持续发展的轨道上,阶段性地进行信息系统审计,及时发现信息化存在的偏离,及时调整到信息化的最终目标上来。4.1.3 IT 风险管理框架涉及到如下环节:(1)完善IT 治理结构,确定IT 原则、IT 架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT 委员会的方式来建立良好IT 治理结构,通过对权力的监督与平衡,可把IT
6、 战略风险与管理风险控制在一定范围内。另一方面,为保护IT 与业务目标一致,有限利用IT资源,提高IT 绩效,降低风险与控制成本,需按照国际标准COBIT 框架,在IT 的计划与组织、获得与实施、交付与支持、监控四个领域建立IT 控制过程,有效地控制IT 建设的整个生命周期的风险。(2)实现IT 与业务的融合,建立一套具备一定适应能力且能够识别不断变化的业务需求,并能够快速有效地作为响应的机制。为了对业务需求进行准确识别,IT 人员应了解公司业务流程,并站在业务管理者的角度思考企业发展的重大问题,这对IT 人员的提出了新的挑战。(3)信息化项目无论是网络建设、安全建设,还是应用开发,都需要了解
7、组织特征,确定业务流程,应当在信息化建设之前为组织建立可靠的业务模型,这样就能充分理解业务功能,较容易地完善业务流程,较容易地发现、识别新的业务机会(即业务的完善或革新),并为网络建设、安全建设及应用开发提供准确的需求定义。(4)在IT 建设之前应进行前期数据规划、数据标准化工作。数据标准化为提高公司信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。(5)通过IT 规划,明确IT 的投资方向,实现可控的IT 投资成本,在有效地管理信息化有关风险的基础上,获得可持续改进和提升的IT 能力。在总体IT 规划的指导下,进行公司的整体IT 框架设计,IT 架构为公司IT 标准化提供了基本依据和
8、框架,兵有力地指导公司IT 标准化的工作。(6)从管理、技术、人员、过程等角度定义、建立、实施公司信息安全管理体系,确保公司业务持续稳定运营,维护企业的竞争优势。(7)通过对公司业务支撑系统实施IT 服务管理,对公司各种资源进行整合优化,形成全面、统一、集中的IT 管理构架及IT 服务管理流程,确保公司信息系统为企业发展提供可靠、经验、高效的信息服务。(8)对IT 项目进行高效率的计划、组织、指导和控制,以实现IT 项目全过程的动态管理和项目目标的综合协调与优化。在IT 项目管理中,应积极采用国际通行的项目管理知识架构(PMBOK)。(9)实施IT 项目监理,稳妥地规划和控制IT 项目的投资、
9、进度和质量三大目标,在IT 监理过程中重,实现目标规划、动态控制、组织协调和合同管理;IT 监理工作贯穿于IT 规划、IT 设计、IT实施和IT 验收以及IT 后评估的全生命周期过程。(10)应当制定和执行IT 应急计划,通过预防性和恢复性措施相结合,把IT 灾难或者IT 安全事故所导致的破坏减少到一个可以接受范围内。IT 应急计划适合于广泛的紧急事件准备环境,包括业务处理连续性及IT 恢复计划。为了对影响组织IT 系统、业务处理和IT 设施的外部威胁做出快速反应,并恢复和保持业务连续性的活动,在IT 应急计划启动之前应进行准备工作。4.1.4 在建立与完善IT 风险管理框架时,应通过如下三个
10、阶段进行实施:第一阶段:IT 资源普查、建立初步控制;第二阶段:资源协同、全面控制;第三阶段:业务创新、完善控制。4.2 IT 风险管理4.2.1 对于IT 人员,应加强IT 风险意识培训,对于IT 风险中所涉及到因素以及现象进行识别、归纳,积极主动地规避IT 风险。4.2.2 重要岗位IT 人员应建立交叉培训机制,并建立IT 人员备份。4.2.3 所有IT 人员应签订保密协议,对于IT 文档、程序源代码、公司重要信息等提供重要保护条款。保密期限不得低于5 年。4.2.4 对于IT 人员逐步实施IT 能力考核机制,除了对其技术、管理方面考核外,还要对其人品、道德、忠诚度等方面的考察。4.2.5
11、 IT 人员应积极主要了解业务,通过IT 技术、IT 管理带动、支持业务发展,并在IT 项目实施过程中逐步成为既懂业务又懂IT 技术的复合型人才。4.2.6 IT 项目文档(包括电子、纸质)应按照ISO9000 流程及时归档,并由专人做好归档记录。4.2.7 各级分子公司IT 项目必须按照有关集团总公司、国药控股信息化项目管理规定及时上报审批。实施建设时应PMBOK 等项目管理程序进行全生命周期管理。重大IT 项目应设立项目领导小组、工作小组,并定期召开项目进度例会、问题协调沟通会,做好会议备案、会议纪要或者会议记录。4.2.8 所有IT 项目必须在国药控股公司一体化运营信息化规划统一指导下进
12、行建设,且在得到正式批复后方可实施。4.2.9 各级分子公司应在国药控股信息化规划下,根据公司自身实际,编制相应的信息化规划。为了指导信息化规划,应设立相应的IT 委员会。4.2.10 IT 项目外包应按有关规定执行招标评标制度选择外包商。对于外包商的选择时,除了外包商的资质、规模实力等外,对于IT 项目实施人员经验、技术等应进行严格考核,并与他们签订保密协议。4.2.11 对于自行开发的IT 系统,应严格按照IT 项目需求管理流程,以ISO9000 为基础进行业务需求设计、开发、版本管理以及实施部署,并进行运行跟踪等。4.2.12 所有IT 项目中涉及到密码、权限等,需要加强管理,制定修改、
13、更改、使用策略。在实施完成后,应及时清理不再使用的密码以及权限,密码位数应超过7 位以上,应定期(通常两个月)进行更换。4.2.13 所有员工应按公司规定安装必备软件,因安装非必备软件而导致公司信息泄露,或者黑客攻击公司网络、电脑等安全事故,应追究法律责任,并在保密协议有关条款中进行限制。4.2.14 为了加强大型或者复杂IT 项目管理,提高实施成功率,超过100 万元以上IT 项目应选择IT 监理。4.2.15 在IT 项目实施、交付、支持过程中,应对IT 项目特性进行评估、总结,并探讨项目模板的实施可能性,提高未来IT 项目实施成功率,降低投资成本。4.2.16 在IT 项目实施过程中,应
14、充分发挥使用部门在项目管理、实施中的积极性、主动性,并注重加强使用部门的项目培训。4.2.17 应加强对IT 应用的管理。根据国家安全等级制度对重要IT 应用进行等级评估,确定等级水平,提出安全保护办法;同时,为了确保IT 应用持续有效运行,还要制定IT 应急预案,并根据情况需要进行演练,对于IT 应急恢复应有详细可操作措施。4.2.18 采用集中管理、远程访问管理的IT 应用,必须实现双机热备机制,在此基础上逐步探讨双击备份的负载均衡模式,提高服务器利用率,增强IT 应用的高可靠性。重要IT 应用有条件也应采用以上备份机制。应加强对备份机制程序进行培训,做好培训、操作文档管理。4.2.19
15、采用SaaS 模式的外包IT 应用,必须加强安全保护管理,特别是IT 应用的密码、权限管理,对于数据库应有监控记录以及自动备份机制。4.2.20 所有IT 应用应制定使用1 年后的后评估制度,以考察IT 应用绩效以及IT 投资利用水平。4.2.21 对于公司机房内网络设备、电源设备、服务器,应定期进行巡查,发现可疑现象,应立即排除,并设立日志管理制度。进出机房人员应进行登记。应机房交接人员管理,有交接详细记录。4.2.22 IT 应用系统应根据业务需求,设立灵活但成熟的系统架构,并逐步采用B/S、SOA 等先进系统架构。4.2.23 信息部门应加强国药控股广域网、VPN 网络的监控管理,杜绝非
16、法用户进入公司网络。同时还要加强公司无线局域网的使用管理,除了设立密码权限外,为了确保公司网络安全,可以设立无线网络不在周边地区进行传播功能。5 检查与考核5.1 按照IT 风险治理结构,对于IT 人员风险、IT 规划和架构的风险、IT 项目管理风险、IT 服务风险、信息资产管理风险、IT 服务供应商风险、IT 应用风险、IT 基础设施风险、IT 绩效风险,应给出相应的责任规定。5.2 对于以下情形而引起IT 风险管理不当,将给有关责任人或公司给予通报批评,并提出整改措施。(1)IT 人员泄露公司信息;(2)未按IT 项目要求制定IT 规划和架构;(3)未按照IT 项目管理程序对项目进行立项、实施。(4)未按照IT 服务管理程序管理IT 设备、IT 资源;(5)未妥善地管理公司信息资产;(6)未按照招标程序选择IT 服务供应商,或者选择服务商标准不当(7)在IT 应用过程中,因密码、权限管理混乱而导致了IT 风险;(8)未按照有关规定或者程序对IT 基础设施进行管理。6 附则6.1 本管理办法基于国际、国内有关标准进行制定,在实际过程中将不断充实、完善、调整。6.2 本管理办法由国药控股总经理办公室、信息技术部负责解释。6.3 本管理办法自颁布之日起施行。
