德勤IT风险管理和合规性管理介绍.ppt

德勤IT风险管理和合规性管理介绍 - 以IT风险管理和合规管理驱动企业信息化建设,德勤华永会计师事务所有限公司,2011年4月,企业风险管理部,目录,2,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,3,企业IT管理的挑战,2010，德勤华永会计师事务所有限公司,IT面临的挑战,4,监管 要求,年度 审计,内部 管理,满足外部监管要求，年度内控合规审计，内部业务对IT的信息化建设及安全的要求，是当前IT面临的最大挑战！,2010，德勤华永会计师事务所有限公司,示例 央企IT面对的监管要求,5,中央企业全面风险管理指引 (国资发2006108号文件) 关于加强中央企业信息化工作的指导意见 (国资发20078号文件) 中央企业信息化水平评价暂行办法 (国资发2008113号文件) 第二次中央企业信息化工作会议讲话 (2008年10月16日) 关于进一步推进中央企业信息化工作的意见 (国资发2009102号文件) 萨班斯法案（上市企业）,IT治理 IT投资管理 信息化标准制订 管理信息化 IT运维管理 IT人才管理 IT绩效管理 应用集成,需要提升,2010，德勤华永会计师事务所有限公司,国资委中央企业全面风险管理指引和ITRM结合,信息科技风险是操作风险管理的重要内容，央企实现有效的信息科技风险管理，应在操作风险管理的框架下，对信息科技有关的风险评估、监测与分析机制进行细化与完善。,7,审计,业务持续管理,IT治理,风险管理体系,外包管理,IT服务管理,软件开发,信息安全,人员,流程,IT风险,外部,战略风险,操作风险,财务风险,市场风险,8,企业IT管理成熟度模型,2010，德勤华永会计师事务所有限公司,企业IT管理活动概览,9,IT规划,系统建设,运行维护,IT项目计划,上线/移交,项目组合 管理,监控 合规 改进,IT年度规划,IT项目群计划,综合管理(日常运营/设备管理),IT治理,项目管理,IT服务管理,需求管理,基础架构运维管理,应用运维管理,技术运维管理,信息安全管理,2010，德勤华永会计师事务所有限公司,企业IT成熟度模型,2010，德勤华永会计师事务所有限公司,10,如何管理IT？,11,IT的地位如何？,该做什么？,该怎么做？,有没有做到？,IT目标与业务目标相一致,IT战略规划,IT战术计划及项目建设,IT绩效管理及内部控制,IT 治 理,2010，德勤华永会计师事务所有限公司,目录,12,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,德勤相关调查报告介绍（一）,13,2009年IT与业务平衡情况调查,2010，德勤华永会计师事务所有限公司,演变和趋势 信息技术对业务的影响,2010，德勤华永会计师事务所有限公司,14,在信息技术的效率方面（自动化以及在更低成本下的更快速的运行）将仍然是体现信息技术价值的重要因素，但是它的普及性是个问题。 面对新的挑战，信息技术的代表认识到他们不断变化的角色将更有可能面向业务本身而非面向他们的业务伙伴。,IT 治理,2010，德勤华永会计师事务所有限公司,15,IT 仍然没有全部参与进去: 大约一半的受访者经常在董事会层面讨论IT问题；而另一半则很少或从来没有讨论过。 尽管IT问题会出现在董事会的议事日程中，但是IT管理层的参与仍然不够。 IT指导委员会可望在董事会层面来监督和促使IT问题的讨论，但是事实上在某些国家他们看起来不能总是得到其应有的重视。,IT和业务战略之间达到一致必须在预算之外IT和业务战略达到一致的过程可能仍然被过多地视为是一种与预算挂钩的一次性过程。 从全球来看， 各种组织必须将他们的注意力集中于IT目标与总体战略方向的兼容性上。,使高层聆听IT的声音,让IT与业务战略相一致,IT 管理,2010，德勤华永会计师事务所有限公司,16,IT为业务项目提供支持，但仍然没有在启动阶段就作为一种驱动力来表现。 IT治理模型在IT全速管理中起到重要作用：IT在越高的治理层面被考虑，它就会在业务项目启动时作为一种驱动力发挥更多作用。,“IT 管理” 应该不再等同于“IT部门”. 随着业务的进行，信息技术交织与业务日益交织到一起，业务决策和IT决策的边界变得模糊。二者共同创造的价值需要越来越多超越传统界限的“责任共享”但在达成共识方面仍有进步的空间。,以信息技术为驱动力,共享业务和IT之间的责任,IT 外包 - 使用不同的外包风格,17,2010，德勤华永会计师事务所有限公司,内包和外包这两种类型仍然存在, 总体上来讲,也是最为普遍的外包类型, 但地区之间也存在着显著差异。,目录,18,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,IT风险管理体系与IT管理框架,19,2010，德勤华永会计师事务所有限公司,业务要求,管理框架,监管要求,业务要求,IT风险评估,IT风险规划,IT 控制目标选择,IT管理领域,IT风险评估及规划,IT风险处理,驱动,业务目标,监管要求(SOX),COSO,公司治理,BS 25999,ISO 27001,ISO 20000/ ITIL,最佳实践,业务连续性 管理,COBIT,信息安全管理,IT服务管理,平衡计分卡,IT管理与国际IT管控框架,20,IT控制目标,管理体系,IT治理模型,21,2010，德勤华永会计师事务所有限公司,角色与职责,IT治理模型,业务单元,公司,IT,内审,其他,IT需求来源,PMO,治理IT 确保业务与IT战略的一致性 批准IT投资,领导IT治理 评估及批准项目方案 评估业务与战略是否一致 监控项目组合及项目管理活动 确保项目的成功实施,IT战略、规划及预算制订 推动IT决定 治理企业IT架构 监控及管理IT采购 IT合规监察,需求,项目组合管理办公室 (PMO) 协调项目的开发 进行项目组合及项目管理 推动跨项目沟通 结合IT战略、规划及预算协同管理IT投资组合,架构,战略,质量,开发,IT治理实体,IT 治理委员会,IT指导委员会,IT内控体系,22,2010，德勤华永会计师事务所有限公司,IT内控要求,为实现IT战略，需要识别、开发、采购及实现IT解决方案； 对现有系统的变更及维护管理。,交付业务所需的IT服务； 对安全、可用性、连续性及服务级别进行管理； 对数据的管理； IT日常运营操作。,对IT服务的能力进行监控，对绩效进行评估； 对IT内部控制的监控； 对IT合规的控制； 进行IT治理。,包括IT的战略规划及战术计划，以及IT如何最佳地支持和实现业务目标； IT的目标及方向应当被计划、沟通及管理； 应当建立IT的组织结构及技术架构。,IT风险管理体系架构,内部审计 持续改进,业务导向的风险评估方法论,风险评估 过程,风险处理 过程,风险处理 计划,实际残留风险,风险要素,评估对象,风险基线,预计残留风险,23,2010，德勤华永会计师事务所有限公司,目录,24,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,我们的服务范围,25,2010，德勤华永会计师事务所有限公司,IT规划,系统建设,运行维护,IT治理及 投资组合优化,IT风险管理体系,项目组合管理,IT服务管理体系 (ITIL/ISO 20000),信息安全管理：安全评估/安全体系规划/ISMS建设/数据及隐私保护 (ISO 27001),业务连续性管理(BS 25999),IT审计,IT和信息安全合规管理,IT绩效管理/KPI体系建设,IT外包管理,26,IT风险管理及治理 服务介绍,2010，德勤华永会计师事务所有限公司,德勤的IT风险管理体系建设方法论,实现全面的信息科技风险管理体系建设，应参考业界最佳实践和监管要求，首先了解IT风险管理现状，在现有的操作风险管理框架下制订IT风险管理体系评估、监控、分析等各个模块的管理要点，继尔梳理或修订相对应的制度/流程，在此基础上对其运作情况进行持续监控。,27,2010，德勤华永会计师事务所有限公司,IT治理,28,2010，德勤华永会计师事务所有限公司,业务一致 IT的战略、服务的提供应当与业务发展方向保持一致； 价值交付 IT服务应当按照业务预期的方式交付； IT服务的流程应当具有效率和效能； 风险管理 IT对于监管要求的满足、IT业务过程中风险的评估及处理； 投资组合 IT的投资应当具备成本-效益，应对项目组合进行优先排序； 组织职责 应当建立符合治理结构和风险管理的组织结构和职责； 绩效管理 应当建立基于价值和风险的绩效指标，并对IT绩效进行管理。,IT治理概要,29,2010，德勤华永会计师事务所有限公司,业务目标,业务需求,IT规划,IT项目建设,部门职责及目标,IT目标,战术计划,绩效管理,人才培养,信息安全管理 业务连续性 内部审计,投资组合管理,应用开发 系统集成 体系建设,日常运营,岗位职责及技能要求,业绩: 业务目标,合规性： SOX,公司治理,IT 治理,BS 25999,ISO 27001,ISO 20000/ ITIL,最佳实践,业务连续性管理,流程及程序,驱动,COBIT,COSO,信息安全管理,IT服务管理,平衡计分卡,我们的方法论与COBIT、国际标准和最佳实践的关系,30,2010，德勤华永会计师事务所有限公司,目录,31,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,32,IT风险/信息安全合规管理及整合 服务介绍,2010，德勤华永会计师事务所有限公司,合规管理,- 33 -,合规管理,合规库,知识库,合规管理的目标,符合国家法律法规、行业规范和企业制度要求，借鉴国际上先进的标准和最佳实践，形成合规指标，指导行业和企业认识自我提升治理水平。,合规管理,- 34 -,合规管理的方法,梳理现有组织现有情况； 进行合规指标表填报。,合规库应用,将各类信息分类存入知识库以备使用； 根据组织需求，制定培训计划调用数据作为案例，知识应用。,知识库应用,合规库的内容,从信息安全管理、内控、最佳实践、安全审计、风险管理、成熟度等方面对ISO27001、ISO38500、ISO20000、COBIT、萨班斯、等级保护等标准进行深入分析，结合国航实际建设运行情况进行梳理，形成整合后的合规指标。,本次IT风险和安全合规整合是以信息安全为主线，根据国航现有情况，本着提升信息安全的目标，有针对性的从六个标准中不同的方向、内容、角度，全面研究制定IT风险和安全合规整合。,合规管理,合规库的内容,合规管理,从六个标准中不同的方向、内容、角度对适合项梳理,ISO27001 ISO20000 ISO38500 COBIT 萨班斯 等级保护,合规库建立过程,合规库,分类,合规库的内容,合规管理,- 38 -,合规指标,合规管理,合规库分为关系表和实施表。,合 规 库,关系表,合规执行层,实施表,ISO27001、ISO20000、ISO38500、SOX、COBIT、等级保护等,域,目标,目标描述,控制点,控制点描述,控制方法,合规库的建立,合规管理,安全合规知识库，涉及国家法律法规、国家标准、行业规范、企业制度、各类事件管理数据，为相关工作提供信息检索和知识获取，为员工培训实现充足的数据支撑。,知识库的定义,合规管理,目录,41,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,42,信息安全风险管理及敏感信息保护 服务介绍,2010，德勤华永会计师事务所有限公司,信息安全管理体系架构,在满足国际/国内监管要求的同时，依据ISO 27001标准要求，建设符合国际安全标准的信息安全管理体系。,识别监管机构和相关法律法规要求，以确保满足合规要求； 基于相关国际、国内标准要求(例如ISO 27001)建设信息安全管理体系，使体系建设的过程和结果符合标准要求。使客户可以更为顺利地申请认证； 参考风险管理的相关指南，包括信息安全风险评估指南(ISO 27005)，国标信息安全风险评估指南、CORAS及SP 800-30等指南，使风险评估的结果能够在多层面多角度展示企业信息安全风险； 信息安全风险处理过程结合德勤行业风险知识库(RACK)，基于行业特点和客户业务特性部署安全控制措施。,43,2010，德勤华永会计师事务所有限公司,信息安全建设路线图,44,2010，德勤华永会计师事务所有限公司,安全矩阵 对单个安全过程, 测量效率, 效果, 价值和持续的性能提升,发展,发起股东安全项目 股东支持项目并承担责任,安全策略与标准 策略与标准定义责任, 行为和标准,保证 存在审计, 监控和报告过程和控制以确保它们符合标准并且有效,功能和物理的安全架构 建立标准和技术以支持与股东的互动,安全组织架构 授予个人和组织权力, 责任, 以支持架构,信息安全战略与原则 从业务战略出发定义清晰的, 与技术无关的原则,符合性和认证 建立符合性测量和报告系统,信息安全控制 定义安全控制建立管理风险的一致基础,安全成熟度,概念上的安全架构 存在架构原则和策略以定义核心的安全职能,安全管理 授权, 运作, 事件, 问题, 变更, 配置, 监控,示 例,敏感信息保护 信息资产管理,45,识别业务相关的信息资产，明确具体管理对象； 应用安全体系的信息资产分级标准，基于资产价值对业务相关信息资产进行分级； 结合财务管理，对资产的分布、利用率、容量进行资产管理； 基于资产级别细化访问控制和信息传输方针； 明确和细化信息资产的管理职责，并指派到岗到人。角色包括： 资产所有者 资产保管者 资产使用者 监管者 审计者 围绕信息资产的生命周期，基于风险管理信息安全。,信息资产识别及分级，能够使管理者明确管理对象，并基于价值进行风险管理。,信息资产生命周期的不同环节，伴随有不同的风险。需要结合各环节的具体流程对风险进行评估及处理，通过优化流程保障信息资产安全。,2010，德勤华永会计师事务所有限公司,敏感信息保护 业务风险评估,鉴别个人权责与信息所有权,分析业务活动数据热点与关键环境,1,2,3,Systems Hardening Guidelines,4,46,2010，德勤华永会计师事务所有限公司,敏感信息保护 防数据泄漏,5,6,7,8,47,2010，德勤华永会计师事务所有限公司,应用开发安全管理,48,2010，德勤华永会计师事务所有限公司,开发过程安全,访问控制 物理安全 设备安全 网络安全 信息交换 开发文档安全 人员安全,安全需求分析 安全架构设计 安全编码 安全测试 渗透性测试 发布安全,应用软件安全,信息安全应贯穿于软件开发生命周期整个环节，并且渗透入软件自身的安全。 而软件开发安全也应当于整体风险管理体系相结合，例如外包风险。,德勤信息安全知识库,49,2010，德勤华永会计师事务所有限公司,业务目标,业务需求,信息资产 安全,控制措施知识库,威胁库,安全目标,业务流程 安全,行业风险知识库,内部审计 持续改进,安全组织,弱点库,方针政策 意识文化 流程控制,物理设施、硬件 网络环境 系统及工具软件,软投入,基础 设施,信息安全落实机制,信息系统 安全,行业安全事件知识库,管理机制知识库,技术措施知识库,人员管理,日常运营,业务导向的信息安全体系,信息安全 控制库,行业风险库,业务导向的安全体系建设方法论 行业风险库 安全控制库 体系落实指南,德勤风险知识库,绩效指标,目录,50,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,51,IT服务管理体系建设 服务介绍,2010，德勤华永会计师事务所有限公司,德勤ISO20000IT服务管理体系导入方法论,52,2010，德勤华永会计师事务所有限公司,德勤深知如何妥善配置资源,1.强化组织客户服务报告，融入端到端的IT服务管理架构，以确保SLA与客户需求的符合程度。,2.整理事件分类与处理优先级，并加强处理经验积累，杜绝潜在问题发生,3.部署配置管理工具，开发配置管理数据库，并有效整合其他流程的管理绩效指标及服务报告(KPI & Service Report)。,4.建立IT服务/系统资源规划的程序，依目前资源可达到的服务级别，结合历史数据分析，拟定短中长期能力计划,5.建立以IT服务为中心的预算编列、监控及报告的成本管理机制；计算出各服务每期所产生的总服务成本,6.配合服务级别目标导向的管理机制，利用服务报告追踪落实度，并针对银行不同管理阶层，分别开发合适的服务报告内容。,53,2010，德勤华永会计师事务所有限公司,以层次式架构，整合组织内外部管理要求,质量 管理政策,IT服务 管理政策,测量改善 管理办法,上线 管理办法,变更 管理办法,变更上线 标准作业程序,事件异常排除 标准作业程序,需求管理 标准作业程序,系统变更 申请单,系统测试 报告模板,变更上线 系统操作指南,以层次式架构区分信息流程执行重点,一阶政策,二阶办法,三阶程序,四阶表格,通过政策制定，表现信息组织对治理制度的策略及管理目标,整合ISO9000/ISO20000的文管机制、组织资源、查核机制、控管要求,对于详细标准作业方式，设计整合管理流程，避免重复工作及多余活动,对于员工实际作业使用的活动申请单，以单一格式达到多方管控要求,54,2010，德勤华永会计师事务所有限公司,利用Deloitte Global KPI数据库，协助银行进行绩效衡量指标的设计,参考Deloitte IT KPI数据库,决定KPI优先级 厘清流程目标 决定各IT KPI的重要程度与优先级,设计适合的KPI 依据业务特性与策略目标选定适合的IT KPI,生成符合管理层需要的服务报告,55,2010，德勤华永会计师事务所有限公司,目录,56,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,57,业务连续性及IT外包管理 服务介绍,2010，德勤华永会计师事务所有限公司,德勤对BCM目标的理解,58,2010，德勤华永会计师事务所有限公司,一个全盘的BCM框架(请参考右边的图示) 为制定BCM程序提供了强大的基础； 当面临影响业务正常运作的事件时，建立在完善的业务影响评价制度之上的并符合实践的计划将持续发挥重要的作用； 业务持续性管理安排将根据银行业务活动的改变而进行随时调整； 在组织内部明确了“了解-接受-拥有 ”的阶梯方法。,了解及建立,培训,维护,测试,业务持续项目（Program）管理,业务持续性管理,BCM策略,BCM治理框架,关键业务活动的DRP,组织危机管理计划,关键业务活动的BCP,IT外包管理咨询,59,.,更新的外包战略 改进的能力和绩效 成本控制及降低 改善现金流及节约资产投资 聚焦于核心竞争能力 成功的战略供应商合作伙伴关系,关键输出,外包流程,德勤基于长期在IT外包市场的研究以及协助客户解决问题的经验，开发出IT外包管理策略以及指南，协助企业解决外包战略、服务商选择与变更以及外包关系管理等方面遇到的挑战。,开发IT外包战略,识别外包现状 确认外包的业务驱动 开发/精化外包准则 识别及选择外包策略 差距评估 准备外包业务案例 开发移交策略,建立外包绩效指标 准备方案邀请书 评估供应商能力 选择供应商 就合同条款及价格进行谈判 管理IT供应商采购流程 服务移交 合同转移,选择供应商及移交,管理供应商关系,度量供应商绩效指标 进行价值审计 跟踪及管理合同执行 管理外包风险 开发/提升现有服务产品,2010，德勤华永会计师事务所有限公司,目录,60,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理/信息安全相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤,2010，德勤华永会计师事务所有限公司,案例1 - 信息科技风险管理,61,项目背景及工作内容： 在银监会发布 商业银行信息科技风险管理指引（简称“指引”）后，银行为落实指引要求，从10多家公司中选择德勤，为其提供信息科技风险评估、体系规划和实施等服务。 我们的团队通过分析指引要求，并结合国际标准（ISO27001）、最佳实务(COSO ERM、ITIL、COBIT等)、法规要求（如监管机构相关要求）,以德勤在全球和中国金融行业服务中形成的知识库为基础，对银行的信息科技风险情况进行了总体评估。我们在评估的基础上帮客户制订了信息科技风险管理策略、建立了相关的治理模型、识别和分析了客户相关的信息科技风险库，实现对银行信息科技风险的识别、计量、监测和控制，并针对识别的重要IT风险提供了应对建议和关键风险管理指标体系。同时，项目组还对银行的现有信息科技风险管理制度进行梳理和差距分析，并在此基础上形了一套完善的制度体系框架。,客户: 一家全国性的股份制商业银行（上市公司） 项目: 信息科技风险管理体系的咨询与实施,2010，德勤华永会计师事务所有限公司,案例1 - 信息科技风险管理（续）,项目收益： 完成全行的整体信息科技风险评估，了解全行的信息科技风险管理情况； 形成了先进的信息科技风险管理策略，以及配套的信息科技风险治理模型； 一套完善的信息科技风险库和对应的应对策略； 建成了信息科技风险的关键风险指标体系和报告机制； 通过交流、培训、视频课件等形式，提升了全行不同层面的风险意识和信息安全意识； 具有可操作性的后续实施路线图； 通过项目知识转移，加强了全行信息科技、风险管理、审计等不同条线在信息科技风险管理方面的技术和能力； 。,客户: 一家全国性的股份制商业银行（上市公司） 项目: 信息科技风险管理体系的咨询与实施,62,2010，德勤华永会计师事务所有限公司,案例2 - 信息科技治理,项目背景及工作内容： 银行希望按照业务发展目标和信息科技现状，结合外部监管要求，为银行制定IT治理体系，包括信息科技治理架构、IT建设蓝图及实施计划。 基于德勤IT治理方法论及德勤特有的风险/价值分析工具，对银行的现状进行评估；对需求进行分析；对远景进行规划；并制定详细的实施计划，为银行全行搭建IT治理的整体框架，协助其编制未来3至5年间IT治理体系的实施路线。 项目收益： 掌握信息科技治理现状，以及与领先实践的差距； 明确了信息科技发展的战略目标、实施蓝图和相应的治理架构； 明确了信息科技发展的实施路线图和方案。,客户: 某地区性商业银行 项目: 信息科技治理及实施规划,63,2010，德勤华永会计师事务所有限公司,64,依据规划和实施情况，为年度计划和预算的制定提供支持 根据定期评估的结果，更新规划内容和年度计划 负责实施过程中整体IT架构的管理，确保实施与总体架构相符，对于可能影响架构的情况进行掌控，并根据需要对架构进行更新,Strategy,Programme,Delivery,Business,Strategy,Strategic,Programme,Management,Strategy,Business,Strategy,Strategic,Programme,Management,Programme Delivery,Strategy,Programme,Delivery,Business,Strategy,Strategic,Programme,Management,Strategy,IT规划,规划与架构管理,项目实施管理,总体实施管理,从全局角度掌握规划和计划的执行情况，从各实施项目组获取和汇总所需的各种信息； 协调不同项目之间的资源、交流和沟通； 有效控制信息化实施的风险、质量和成本；,直接参与战略型关键项目的管理，确保项目按时、保质、在预算内完成 为项目的实施提供专家服务(包括业务方案设计、系统架构设计、产品选型、概念验证、验收测试等），确保规划的理念能在实施过程中落实,项目1,项目2,项目,在信息化规划的框架内，客户PIO着眼于规划与架构、总体实施和项目实施三个自顶向下分解的层次，关注各个层次面临的管理挑战，通过合理的组织和高效的管理执行，确保规划的落实，实现IT投资和收益的目标。,案例3 - 信息科技战略规划与实施,客户: 某领先国有政策性银行 项目: 信息科技战略的咨询与实施,2010，德勤华永会计师事务所有限公司,案例4 - 信息安全管理体系咨询,65,项目背景及工作内容： 我们的团队通过分析并结合国际标准（如ISO17799/27001）、最佳实务（如COBIT）、监管要求,以及德勤在全球和中国的经验，帮助客户制定了信息安全战略规划。 客户通过结合自身的业务战略、信息技术战略与信息安全战略，对其安全路标有了清晰的认识。我们还协助银行完善和明确跨部门的信息安全小组的职责和工作机制，并协助客户设计部分速赢项目，如某些重要的政策/程序以及几个议定项目的可行性研究。 项目收益： 建立与业务战略方向一致的信息安全规划，完善信息安全治理架构； 建立信息安全项目群和建设路线图； 明确信息安全管理流程，制订制度体系，并协助完成部分制度的编写工作； 。,客户: 一家全国性的股份制商业银行 项目: 信息安全管理体系的战略规划与初步实施,2010，德勤华永会计师事务所有限公司,案例5 ISO27001认证咨询服务,66,项目背景及工作内容： 某基金管理公司为提升其信息安全管理水平，聘请德勤提供ISO27001方面的咨询。德勤通过了两个阶段五个步骤，找出该公司与标准要求方面的差距，并指导其进行相应的完善工作，帮助客户顺利通过认证。同时，德勤还针对客户需求提供了相关的培训服务。 项目收益： 优化的公司信息安全战略，实现对业务战略的更好的支持； 建立了明确的信息安全政策和流程，推动了企业安全文化建设，提高企业信息安全水平； 为通过ISO27001的认证做好了准备。,客户:某华东地区金融业基金管理公司 项目: ISMS体系相关的咨询、培训服务,2010，德勤华永会计师事务所有限公司,案例6 - IT服务管理(ITSM) 咨询,67,项目背景及工作内容： 为保证行内信息化管理的战略目标，该银行希望能改善IT服务管理和信息化项目开发管理的整体管理水平。 德勤基于ISO20000国际标准与德勤全球领先相关行业经验协助客户制订了信息化项目开发管理及IT服务管理的制度与流程。 项目收益： 通过该项目，该银行很快基于德勤设计的制度和流程实施了IT服务管理流程。,客户:某国有政策性银行 项目: IT服务管理(ITSM)咨询,打印中心,2010，德勤华永会计师事务所有限公司,案例7 业务持续性管理,68,项目背景及工作内容： 为了提升市场竞争力，该银行邀请德勤，基于银行对于风险控制的战略要求，以风险战略、银行运营核心价值为出发点，结合其全面风险管理规划，对银行的业务连续性管理（BCM）工作进行整体规划，以建立稳定可靠的业务运行环境，满足监会的商业银行操作风险管理指引和巴塞尔新资本协议当中的高级业务连续性经营原则的要求。 我们在项目中在现状分析的基础上，协助客户完善了相关治理架构及职能，并提出了相应的BCM管理办法。随后通过对主要业务、技术、环境与管理的影响性分析和风险评估，考虑组织的业务发展情况、信息化建设等情况，系统地规划危机管理的有效组织与报告，业务连续性计划的业务优先级划分与紧急恢复步骤，以及灾难恢复计划中关于重要系统、资源及场所的恢复策略及措施。,客户: 五大国有商业银行之一 项目: 业务持续性管理,2010，德勤华永会计师事务所有限公司,案例7 业务持续性管理（续）,69,项目收益： 满足监管部门对于业务持续性管理的要求； 通过建立和实施完备的业务连续性管理架构，银行将确保可能的运营中断损失被控制在银行可承受的范围之内；银行的核心运营流程将不会因重大的操作风险事件（如天灾、罢工、重大疫情、系统宕机等）而遭受严重的人员、财产与收益损失。,客户: 五大国有商业银行之一 项目: 业务持续性管理,2010，德勤华永会计师事务所有限公司,案例8 - 信息科技外包风险管理,70,项目背景及工作内容： 该项目是国内金融行业第一个关于IT外包风险管理方面的专项咨询项目。德勤在项目中协助银行建立了满足银监会商业银行信息科技风险管理指引中IT外包有关要求、符合国内外包领域发展趋势和银行现状的IT外包管理框架，完善IT外包管理制度、细化工作流程和操作办法，以指导银行现有和未来的IT外包管理活动，从而控制银行IT外包风险，提升IT外包管理能力和水平。 项目收益： 统一了IT外包管理策略和工作开展思路； 实现了组织级的IT外包供应商管理、人员管理； 明确了IT外包风险评估要点。,客户: 某全国性商业银行 项目: 信息科技外包风险管理咨询,2010，德勤华永会计师事务所有限公司,案例9 信息科技风险评估,71,项目背景及工作内容： 银行根据监管机构要求，聘请德勤对其信息科技风险进行评价审计，内容包括： 信息科技治理和组织结构 信息安全管理 信息科技项目开发和变更管理 信息系统运行和操作管理 业务持续性规划 项目收益： 外部评价审计报告； 根据德勤经验和领先实践提供的增值建议。,客户: 某全国性商业银行 项目: 信息科技风险评估,2010，德勤华永会计师事务所有限公司,目录,72,背景介绍 德勤相关调查报告介绍 风险驱动的IT内控体系建设 IT风险管理相关服务体系总体介绍 IT风险/信息安全合规管理及整合服务介绍 信息安全风险管理及敏感信息保护服务介绍 IT服务管理体系建设服务介绍 业务连续性及IT外包管理服务介绍 部分典型案例介绍 关于德勤 问题与讨论,2010，德勤华永会计师事务所有限公司,德勤全球,73,我们是全球四大会计师事务所之一， 有一百多年的历史， 16万9千余名员工，遍布在全球140多个国家， 2010财年的营业额为280亿美元。 我们向全球客户提供审计、税务、企业财务顾问、管理咨询服务等多元化服务； 我们为80的世界500强企业提供服务; 我们服务逾700家年销售额或总资产超过10亿美元的公司 ;超过25%的世界知名上市公司是德勤的客户。,2010，德勤华永会计师事务所有限公司,德勤中国的业务分布,74,距离德勤在中国的第一个办事处已经接近一百年； 今天，德勤中国已经拥有逾8,000名员工，分布在全国14个办事处：北京、重庆、大连、广州、杭州、香港、澳门、南京、上海、深圳、苏州、天津、厦门和武汉； 我们是中国大陆及港澳地区居领导地位的专业服务机构之一； 我们以全球网络为支持，为国内企业、跨国公司以及高成长的企业提供全面的审计、税务、企业财务顾问、管理咨询服务。,北京,天津,大连,南京,上海,广州,香港,深圳,澳门,苏州,德勤分所,杭州,重庆,2010，德勤华永会计师事务所有限公司,德勤中国的不同之处,75,四大会计师事务所中，唯一一家以企业管理咨询服务作为其核心竞争力之一的事务所 为超过80的财富500强的中国企业提供服务 为近50的中国100强企业提供服务 为大约1/3的在香港联合交易所上市的公司提供服务 为800多家跨国企业及他们在中国的分支机构提供服务 是协助中国企业赴海外上市方面的市场领先者，在2007年和2008年，为超过一半的在纽交所和纳斯达克上市的中国企业提供服务,2010，德勤华永会计师事务所有限公司,德勤企业风险管理服务（ERS）,在IT风险咨询和安全咨询服务方面处于IT咨询服务业和世界四大会计事务所的领先地位，在2009年1季度Forrest（权威调查