1、药业有限责任公司IT 风险安全管理办法编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 新疆xx药业有限责任公司IT 风险安全管理办法1. 目的：为有效地加强IT 管理，保护本公司信息资产安全，保障公司业务持续、健康、稳定发展，根据COSO 企业风险管理框架、国际IT 治理标准COBIT、国务院国资委中央企业全面风险管理指引，结合公司IT 管理现状，特制定本管理办法。2. 范围：新疆xx药业有限责任公司本部及所属分、子公司3. 定义：1） COSO：根据COSO 报告中的定义，内部控制是受公司董事会、管理层和其他员工的共同作用，旨在2、为实现经营效果和效率、数据来源的可靠性以及对适用法律法规的遵循，而提供合理保证的一种过程,包括五个内部要素的控制：控制环境、风险评估、控制行为、信息和沟通、监控。关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假财务报告委员会的赞助组织委员会(Committee of Sponsoring Organization, “COSO”) 的内部控制框架得到最广泛的认可。2） CobIT: CobIT 是关于IT 的一个管理框架，并提供配套的支撑工具集，是由国际信息系统审计和控制协会（ISACA）提出的一个信息及相关技术控制目标的开放性标准。3）PMBOK: PMBOK(Projec3、t Management Body of Knowledge)是美国项目管理学会在70 年代末提出的项目管理体系。4 ）科学合理的IT 风险管理体系具有前瞻性的、全局性的控制机制，能融合防范与应对IT 信息安全、IT 治理、IT 管理、IT 服务、IT 应用、IT 项目、IT 基础设施、业务连续性、IT 外包等方面的风险，并能有效地指导公司控制IT 风险，使IT 战略与企业战略相融合，促进IT 为公司持续地创造价值，以实现有效益的信息化。4. 内容：4.1 IT 风险管理框架4.1.1 通过为IT 引入一定的结构、规则与标准（IT 风险管理框架），使IT 在“他律”（IT 治理）的基础上进行“4、自律”（IT 管理），使得IT 风险在一定的框架内上下左右浮动，而不超过企业计划中的风险范围。4.1.2 IT 风险管理框架的原则主要包括：(1)建立IT 治理机制，使IT 治理成为公司治理的一部分，在公司最高决策层上对信息化进行监管与制衡。(2)对IT 进行规划，确保IT 战略与业务战略的统一，在总体规划指导下进行IT 应用、IT 数据和IT 技术方面的架构设计，以获得标准化的技术规范与指南。(3)在技术与管理上保证和各种异构IT 资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。(4)采用国际上得到普遍认可的IT 控制标准（如COBIT、ITIL、ISO27001）及医药行业最佳5、实践，为公司信息化管理提供规范和标准；(5)识别公司中的重要IT 过程，确定IT 目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行IT 过程管理的思想。(6)持续地评估公司IT 绩效，可以从整体信息化绩效、IT 项目绩效及IT 人员绩效等多个方面进行评估，以了解当前IT 状况，为调整与改进提供依据。(7)通过计划、实施、调整、改进(PDCD)的循环，使公司信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，及时发现信息化存在的偏离，及时调整到信息化的最终目标上来。4.1.3 IT 风险管理框架涉及到如下环节：(1)完善IT 治理结构，确定IT 原则、IT 架构、基6、础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT 委员会的方式来建立良好IT 治理结构，通过对权力的监督与平衡，可把IT 战略风险与管理风险控制在一定范围内。另一方面，为保护IT 与业务目标一致，有限利用IT资源，提高IT 绩效，降低风险与控制成本，需按照国际标准COBIT 框架，在IT 的计划与组织、获得与实施、交付与支持、监控四个领域建立IT 控制过程，有效地控制IT 建设的整个生命周期的风险。(2)实现IT 与业务的融合，建立一套具备一定适应能力且能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。为了对业务需求进行准确识别，IT 人员应了解公司业务流程，并站在7、业务管理者的角度思考企业发展的重大问题，这对IT 人员的提出了新的挑战。(3)信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化建设之前为组织建立可靠的业务模型，这样就能充分理解业务功能，较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。(4)在IT 建设之前应进行前期数据规划、数据标准化工作。数据标准化为提高公司信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。(5)通过IT 规划，明确IT 的投资方向，实现可控的IT 投资成本，在有效地管理信息化有关风险的基础8、上，获得可持续改进和提升的IT 能力。在总体IT 规划的指导下，进行公司的整体IT 框架设计，IT 架构为公司IT 标准化提供了基本依据和框架，兵有力地指导公司IT 标准化的工作。(6)从管理、技术、人员、过程等角度定义、建立、实施公司信息安全管理体系，确保公司业务持续稳定运营，维护企业的竞争优势。(7)通过对公司业务支撑系统实施IT 服务管理，对公司各种资源进行整合优化，形成全面、统一、集中的IT 管理构架及IT 服务管理流程，确保公司信息系统为企业发展提供可靠、经验、高效的信息服务。(8)对IT 项目进行高效率的计划、组织、指导和控制，以实现IT 项目全过程的动态管理和项目目标的综合协调与9、优化。在IT 项目管理中，应积极采用国际通行的项目管理知识架构（PMBOK）。(9)实施IT 项目监理，稳妥地规划和控制IT 项目的投资、进度和质量三大目标，在IT 监理过程中重，实现目标规划、动态控制、组织协调和合同管理；IT 监理工作贯穿于IT 规划、IT 设计、IT实施和IT 验收以及IT 后评估的全生命周期过程。(10)应当制定和执行IT 应急计划，通过预防性和恢复性措施相结合，把IT 灾难或者IT 安全事故所导致的破坏减少到一个可以接受范围内。IT 应急计划适合于广泛的紧急事件准备环境，包括业务处理连续性及IT 恢复计划。为了对影响组织IT 系统、业务处理和IT 设施的外部威胁做出快10、速反应，并恢复和保持业务连续性的活动，在IT 应急计划启动之前应进行准备工作。4.1.4 在建立与完善IT 风险管理框架时，应通过如下三个阶段进行实施：第一阶段：IT 资源普查、建立初步控制；第二阶段：资源协同、全面控制；第三阶段：业务创新、完善控制。4.2 IT 风险管理4.2.1 对于IT 人员，应加强IT 风险意识培训，对于IT 风险中所涉及到因素以及现象进行识别、归纳，积极主动地规避IT 风险。4.2.2 重要岗位IT 人员应建立交叉培训机制，并建立IT 人员备份。4.2.3 所有IT 人员应签订保密协议，对于IT 文档、程序源代码、公司重要信息等提供重要保护条款。保密期限不得低于5 11、年。4.2.4 对于IT 人员逐步实施IT 能力考核机制，除了对其技术、管理方面考核外，还要对其人品、道德、忠诚度等方面的考察。4.2.5 IT 人员应积极主要了解业务，通过IT 技术、IT 管理带动、支持业务发展，并在IT 项目实施过程中逐步成为既懂业务又懂IT 技术的复合型人才。4.2.6 IT 项目文档（包括电子、纸质）应按照ISO9000 流程及时归档，并由专人做好归档记录。4.2.7 各级分子公司IT 项目必须按照有关集团总公司、国药控股信息化项目管理规定及时上报审批。实施建设时应PMBOK 等项目管理程序进行全生命周期管理。重大IT 项目应设立项目领导小组、工作小组，并定期召开项目12、进度例会、问题协调沟通会，做好会议备案、会议纪要或者会议记录。4.2.8 所有IT 项目必须在国药控股公司一体化运营信息化规划统一指导下进行建设，且在得到正式批复后方可实施。4.2.9 各级分子公司应在国药控股信息化规划下，根据公司自身实际，编制相应的信息化规划。为了指导信息化规划，应设立相应的IT 委员会。4.2.10 IT 项目外包应按有关规定执行招标评标制度选择外包商。对于外包商的选择时，除了外包商的资质、规模实力等外，对于IT 项目实施人员经验、技术等应进行严格考核，并与他们签订保密协议。4.2.11 对于自行开发的IT 系统，应严格按照IT 项目需求管理流程，以ISO9000 为基础13、进行业务需求设计、开发、版本管理以及实施部署，并进行运行跟踪等。4.2.12 所有IT 项目中涉及到密码、权限等，需要加强管理，制定修改、更改、使用策略。在实施完成后，应及时清理不再使用的密码以及权限，密码位数应超过7 位以上，应定期（通常两个月）进行更换。4.2.13 所有员工应按公司规定安装必备软件，因安装非必备软件而导致公司信息泄露，或者黑客攻击公司网络、电脑等安全事故，应追究法律责任，并在保密协议有关条款中进行限制。4.2.14 为了加强大型或者复杂IT 项目管理，提高实施成功率，超过100 万元以上IT 项目应选择IT 监理。4.2.15 在IT 项目实施、交付、支持过程中，应对IT14、 项目特性进行评估、总结，并探讨项目模板的实施可能性，提高未来IT 项目实施成功率，降低投资成本。4.2.16 在IT 项目实施过程中，应充分发挥使用部门在项目管理、实施中的积极性、主动性，并注重加强使用部门的项目培训。4.2.17 应加强对IT 应用的管理。根据国家安全等级制度对重要IT 应用进行等级评估，确定等级水平，提出安全保护办法；同时，为了确保IT 应用持续有效运行，还要制定IT 应急预案，并根据情况需要进行演练，对于IT 应急恢复应有详细可操作措施。4.2.18 采用集中管理、远程访问管理的IT 应用，必须实现双机热备机制，在此基础上逐步探讨双击备份的负载均衡模式，提高服务器利用率15、，增强IT 应用的高可靠性。重要IT 应用有条件也应采用以上备份机制。应加强对备份机制程序进行培训，做好培训、操作文档管理。4.2.19 采用SaaS 模式的外包IT 应用，必须加强安全保护管理，特别是IT 应用的密码、权限管理，对于数据库应有监控记录以及自动备份机制。4.2.20 所有IT 应用应制定使用1 年后的后评估制度，以考察IT 应用绩效以及IT 投资利用水平。4.2.21 对于公司机房内网络设备、电源设备、服务器，应定期进行巡查，发现可疑现象，应立即排除，并设立日志管理制度。进出机房人员应进行登记。应机房交接人员管理，有交接详细记录。4.2.22 IT 应用系统应根据业务需求，设立16、灵活但成熟的系统架构，并逐步采用B/S、SOA 等先进系统架构。4.2.23 信息部门应加强国药控股广域网、VPN 网络的监控管理，杜绝非法用户进入公司网络。同时还要加强公司无线局域网的使用管理，除了设立密码权限外，为了确保公司网络安全，可以设立无线网络不在周边地区进行传播功能。5 检查与考核5.1 按照IT 风险治理结构，对于IT 人员风险、IT 规划和架构的风险、IT 项目管理风险、IT 服务风险、信息资产管理风险、IT 服务供应商风险、IT 应用风险、IT 基础设施风险、IT 绩效风险，应给出相应的责任规定。5.2 对于以下情形而引起IT 风险管理不当，将给有关责任人或公司给予通报批评，17、并提出整改措施。(1)IT 人员泄露公司信息；(2)未按IT 项目要求制定IT 规划和架构；(3)未按照IT 项目管理程序对项目进行立项、实施。(4)未按照IT 服务管理程序管理IT 设备、IT 资源；(5)未妥善地管理公司信息资产；(6)未按照招标程序选择IT 服务供应商，或者选择服务商标准不当(7)在IT 应用过程中，因密码、权限管理混乱而导致了IT 风险；(8)未按照有关规定或者程序对IT 基础设施进行管理。6 附则6.1 本管理办法基于国际、国内有关标准进行制定，在实际过程中将不断充实、完善、调整。6.2 本管理办法由国药控股总经理办公室、信息技术部负责解释。6.3 本管理办法自颁布之日起施行。