德勤IT风险管理和合规性管理介绍

德勤IT风险管理和合规性管理介绍

---以IT风险管理和合规管理驱动企业信息化建设德勤华永会计师事务所有限公司2011年4月企业风险管理部目录2背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤3企业IT管理的挑战©2010，德勤华永会计师事务所有限公司IT面临的挑战4监管要求年度审计内部管理满足外部监管要求，年度内控合规审计，内部业务对IT的信息化建设及安全的要求，是当前IT面临的最大挑战！示例－央企IT面对的监管要求5《中央企业全面风险管理指引》(国资发[2006]108号文件)《关于加强中央企业信息化工作的指导意见》(国资发[2007]8号文件)

《中央企业信息化水平评价暂行办法》(国资发[2008]113号文件)《第二次中央企业信息化工作会议》讲话(2008年10月16日)《关于进一步推进中央企业信息化工作的意见》(国资发[2009]102号文件)《萨班斯法案》（上市企业）

IT治理IT投资管理信息化标准制订管理信息化IT运维管理IT人才管理IT绩效管理应用集成需要提升国资委《中央企业全面风险管理指引》和ITRM结合战略风险方面的信息财务风险方面的信息市场风险方面的信息运营风险方面的信息法律风险方面的信息风险管理初始信息风险辨识风险分析风险评价风险解决具体目标所需的组织领导所涉及的管理及业务流程所需的条件、手段等资源风险事件发生前、中、后所采取的具体应对措施以及风险管理工具部门和业务单位自查和检验风险管理职能部门检查和检验内部审计部门监督评价中介机构评价风险管理流程风险评估风险管理解决方案风险管理的监督与改进风险承担风险规避风险转移风险转换风险对冲风险补偿风险控制风险管理策略董事会就全面风险管理工作的有效性对股东（大）会负责风险管理委员会对董事会负责总经理对全面风险管理工作的有效性向董事会负责设立专职部门或确定相关职能部门履行全面风险管理职责董事会下设立审计委员会，内审部门对审计委员会负责其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督指导和监督其全资、控股子企业风险管理组织体系信息技术应用于风险管理实践风险管理信息系统保障风险信息量化值的要求风险管理信息系统的功能要求风险管理信息系统应该实现跨部门的集成与共享风险管理信息系统应确保安全、稳定运行风险管理信息系统的建设与更新风险管理体系风险管理信息系统风险管理文化风险管理文化建设的目标和任务风险管理文化的内涵风险管理文化传播和培育的方法中央企业全面风险管理指引IT风险管理在央企风险管理体系的定位信息科技风险是操作风险管理的重要内容，央企实现有效的信息科技风险管理，应在操作风险管理的框架下，对信息科技有关的风险评估、监测与分析机制进行细化与完善。7审计业务持续管理IT治理风险管理体系外包管理IT服务管理软件开发信息安全人员流程IT风险外部战略风险操作风险财务风险市场风险……8企业IT管理成熟度模型©2010，德勤华永会计师事务所有限公司企业IT管理活动概览9组织及计划风险评估风险处理监控及改进IT规划系统建设运行维护IT项目计划上线/移交项目组合管理监控合规改进IT年度规划IT项目群计划综合管理(日常运营/设备管理)IT治理项目管理IT服务管理需求管理基础架构运维管理应用运维管理技术运维管理信息安全管理©2010，德勤华永会计师事务所有限公司企业IT成熟度模型桌面服务(文书、计算、存储服务)第一级PC在企业已经普及，文件处理、存储以及部分计算工作，由电脑完成。IT以桌面服务为主。第二级IT成为企业内部沟通的常用渠道，网络已经成为企业日常运营不可分割的部分。第三级IT开始为企业日常管理提供服务，表现在企业的日常运营开始依赖于IT系统。第四级IT作为支持业务的核心，大量的业务流程均基于业务系统进行第五级IT为企业提供基于信息的服务，成为业务的推动者网络服务(邮件、网站、远程会议等)业务应用建设(OA,财务,合同，库存)核心应用及应用整合信息服务信息集中信息挖掘决策支持知识管理10如何管理IT？11IT的地位如何？该做什么？该怎么做？有没有做到？IT目标与业务目标相一致IT战略规划IT战术计划及项目建设IT绩效管理及内部控制IT治理目录12背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤德勤相关调查报告介绍（一）132009年IT与业务平衡情况调查演变和趋势－信息技术对业务的影响

14在信息技术的效率方面（自动化以及在更低成本下的更快速的运行）将仍然是体现信息技术价值的重要因素，但是它的普及性是个问题。面对新的挑战，信息技术的代表认识到他们不断变化的角色将更有可能面向业务本身而非面向他们的业务伙伴。IT治理15IT仍然没有全部参与进去:大约一半的受访者经常在董事会层面讨论IT问题；而另一半则很少或从来没有讨论过。尽管IT问题会出现在董事会的议事日程中，但是IT管理层的参与仍然不够。IT指导委员会可望在董事会层面来监督和促使IT问题的讨论，但是事实上在某些国家他们看起来不能总是得到其应有的重视。IT和业务战略之间达到一致必须在预算之外—IT和业务战略达到一致的过程可能仍然被过多地视为是一种与预算挂钩的一次性过程。从全球来看，

各种组织必须将他们的注意力集中于IT目标与总体战略方向的兼容性上。使高层聆听IT的声音让IT与业务战略相一致IT管理16IT为业务项目提供支持，但仍然没有在启动阶段就作为一种驱动力来表现。IT治理模型在IT全速管理中起到重要作用：IT在越高的治理层面被考虑，它就会在业务项目启动时作为一种驱动力发挥更多作用。“IT管理”应该不再等同于“IT部门”.随着业务的进行，信息技术交织与业务日益交织到一起，业务决策和IT决策的边界变得模糊。二者共同创造的价值需要越来越多超越传统界限的“责任共享”—但在达成共识方面仍有进步的空间。以信息技术为驱动力共享业务和IT之间的责任IT外包-使用不同的外包风格17内包和外包这两种类型仍然存在,总体上来讲,也是最为普遍的外包类型,但地区之间也存在着显著差异。主要的外包类型取决于需求人员外包任务外包流程外包项目总包完全内部的IT组织多外包协作目录18背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤IT风险管理体系与IT管理框架19参考模型ISO

20000ITIL3.0ISO27001业务要求管理框架过程改进PDCA监管要求业务要求IT风险评估IT风险规划IT控制目标选择IT管理领域软件开发管理(CMMI)IT运维管理(ISO20000/ITIL)信息安全管理(ISO27001)业务连续性管理(BS25999)组织及职责方针及政策战略规划绩效管理IT审计IT合规管理参考模型COBITIT风险评估及规划IT风险处理驱动业务目标监管要求(SOX)COSO公司治理BS25999ISO27001ISO20000/ITIL最佳实践业务连续性管理COBIT信息安全管理IT服务管理平衡计分卡IT管理与国际IT管控框架20IT控制目标管理体系IT治理模型21角色与职责IT治理模型业务单元公司IT内审其他IT需求来源PMO治理IT确保业务与IT战略的一致性批准IT投资领导IT治理

评估及批准项目方案评估业务与战略是否一致监控项目组合及项目管理活动确保项目的成功实施IT战略、规划及预算制订推动IT决定治理企业IT架构监控及管理IT采购IT合规监察需求项目组合管理办公室(PMO)协调项目的开发进行项目组合及项目管理推动跨项目沟通结合IT战略、规划及预算协同管理IT投资组合架构战略质量开发IT治理实体IT治理委员会IT指导委员会IT内控体系22IT内控要求计划与组织获取与实施监控与优化交付与支持IT内部控制为实现IT战略，需要识别、开发、采购及实现IT解决方案；对现有系统的变更及维护管理。交付业务所需的IT服务；对安全、可用性、连续性及服务级别进行管理；对数据的管理；IT日常运营操作。对IT服务的能力进行监控，对绩效进行评估；对IT内部控制的监控；对IT合规的控制；进行IT治理。包括IT的战略规划及战术计划，以及IT如何最佳地支持和实现业务目标；IT的目标及方向应当被计划、沟通及管理；应当建立IT的组织结构及技术架构。IT风险管理体系架构内部审计持续改进业务导向的风险评估方法论风险评估过程风险处理过程风险处理计划实际残留风险信息资产业务流程信息系统组织结构方针政策意识文化流程控制物理设施、硬件网络环境系统及工具软件软投入基础设施人员管理日常运营威胁弱点现有控制措施风险要素评估对象控制措施知识库威胁库弱点库风险事件知识库风险知识库风险指标库风险分级指南风险管理策略管理机制知识库技术措施知识库风险库业务目标业务需求风险管理目标监管及法规要求相关标准要求客户要求风险管理要求及目标风险基线预计残留风险23目录24背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤我们的服务范围25IT规划系统建设运行维护IT治理及投资组合优化IT风险管理体系项目组合管理IT服务管理体系(ITIL/ISO20000)信息安全管理：安全评估/安全体系规划/ISMS建设/数据及隐私保护(ISO27001)业务连续性管理(BS25999)IT审计IT和信息安全合规管理IT绩效管理/KPI体系建设IT外包管理26IT风险管理及治理服务介绍©2010，德勤华永会计师事务所有限公司德勤的IT风险管理体系建设方法论实现全面的信息科技风险管理体系建设，应参考业界最佳实践和监管要求，首先了解IT风险管理现状，在现有的操作风险管理框架下制订IT风险管理体系评估、监控、分析等各个模块的管理要点，继尔梳理或修订相对应的制度/流程，在此基础上对其运作情况进行持续监控。27©2010，德勤华永会计师事务所有限公司IT治理28IT决策业务一致价值交付风险管理投资组合组织职责绩效管理业务一致IT的战略、服务的提供应当与业务发展方向保持一致；价值交付IT服务应当按照业务预期的方式交付；IT服务的流程应当具有效率和效能；风险管理IT对于监管要求的满足、IT业务过程中风险的评估及处理；投资组合IT的投资应当具备成本-效益，应对项目组合进行优先排序；组织职责应当建立符合治理结构和风险管理的组织结构和职责；绩效管理应当建立基于价值和风险的绩效指标，并对IT绩效进行管理。IT治理概要29业务目标业务需求IT规划IT项目建设部门职责及目标IT目标战术计划绩效管理财务愿景内部流程客户学习与成长人才培养信息安全管理业务连续性内部审计投资组合管理应用开发系统集成体系建设日常运营岗位职责及技能要求战略内部流程客户学习与成长方针政策意识文化业务流程物理设施、硬件网络环境系统及工具软件软投入基础设施IT基础架构业绩:业务目标合规性：SOX公司治理IT治理BS25999ISO27001ISO20000/ITIL最佳实践业务连续性管理流程及程序驱动COBITCOSO信息安全管理IT服务管理平衡计分卡我们的方法论与COBIT、国际标准和最佳实践的关系30目录31背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤32IT风险/信息安全合规管理及整合服务介绍©2010，德勤华永会计师事务所有限公司合规管理

-33

-合规管理合规库知识库合规管理的目标

符合国家法律法规、行业规范和企业制度要求，借鉴国际上先进的标准和最佳实践，形成合规指标，指导行业和企业认识自我提升治理水平。合规管理-34

-合规管理的方法梳理现有组织现有情况；进行合规指标表填报。合规库应用将各类信息分类存入知识库以备使用；根据组织需求，制定培训计划调用数据作为案例，知识应用。知识库应用合规库的内容从信息安全管理、内控、最佳实践、安全审计、风险管理、成熟度等方面对ISO27001、ISO38500、ISO20000、COBIT、萨班斯、等级保护等标准进行深入分析，结合国航实际建设运行情况进行梳理，形成整合后的合规指标。本次IT风险和安全合规整合是以信息安全为主线，根据国航现有情况，本着提升信息安全的目标，有针对性的从六个标准中不同的方向、内容、角度，全面研究制定IT风险和安全合规整合。合规库知识库合规管理合规库的内容COBIT成熟模型IT审计ISO27001风险评估风险处置ISO200005大流程13个子流程SOXIT内控ISO38500治理测评等级保护测评方法标准名称标准内容治理比例COBITcobit4.1版有34个域14个流程210个控制点其中与行业标准相关并且可用于IT审计的流程有26个ISO27001ISO27001有11域39个目标133个控制点全部参照ISO20000ISO20000有5大流程13子流程全部参照SOXSOX共十一个章节1107个小节取其公司IT内控部分共12个目标ISO38500ISO38500共分为4大类根据治理测评取其16个目标等级保护国家分为5级，分为管理和技术部分按照行业情况取1-4级技术部分合规库知识库合规管理从六个标准中不同的方向、内容、角度对适合项梳理ISO27001ISO20000ISO38500COBIT萨班斯等级保护合规库建立过程合规库分类合规库的内容合规库知识库合规管理

-38-CoBit（26目标）ISO27001（39目标）ISO20000（17目标）ISO38500（16目标）SOX（17目标）等级保护（56目标）安全审计、成熟度模型信息安全IT运行流程治理测评内控安全测评定义信息体系结构确定技术方向传达管理目标和方向人力资源管理需求管理风险评估项目管理获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变更管理定义并管理服务水平管理第三方的服务管理性能与容量确保系统安全确定并分配成本配置管理处理问题和突发事件数据管理设施管理运营管理过程监控评价内部控制的适应性获取独立保证提供独立的审计内部组织外部各方对资产负责信息分类任用之前任用中任用的终止或变化安全区域设备安全操作规程和职责第三方服务交付管理系统规划和验收防范恶意和移动代码备份网络安全管理介质处置信息的交换电子商务服务监视访问控制的业务要求用户访问管理用户职责网络访问控制操作系统访问控制应用和信息访问控制移动计算和远程工作信息系统的安全要求应用中的正确处理密码控制系统文件的安全开发和支持过程中的安全技术脆弱性管理报告信息安全事态和弱点信息安全事件和改进的管理业务连续性管理的信息安全方面符合法律要求符合安全策略和标准以及技术符合性信息系统审计考虑管理合规性声明IT服务方针和框架服务管理的实施与交付实施服务管理目标和计划监视、测量并评审服务管理目标和计划的完成情况改进服务交付和管理的效率和有效性管理并交付新服务或服务的变更服务等级管理服务报告实现向顾客承诺的服务连续性和可用性制定预算并解释服务提供成本确保容量以满足当前和未来的业务需求在所有服务活动中有效管理信息安全确保服务提供商提供高质量的无缝服务业务服务响应服务要求服务抱怨顾客满意度调查合同争议管理对分配职责进行评价确保能够胜任所分配的职责监控所分配职责的实施考虑机遇使IT更好的服务于业务发展分配其当下的活动指导计划的实施与发展以弥补差距基于适当的和持续的分析清晰可见的决策具有合理的理由确定IT的采购（获取）适用于组织的目的满足将来业务要求符合强制法律要求每个人与小组都必须要理解及接受他们自身的职责不论是使用IT还是供应IT，必须要有相关的授权IT的能力必须要满足企业内现在及未来的业务战略方向IT的获得都是经过长期的分析合理的治理结构、内部机构设置与权责分配建立良好的企业文化建立良好人力资源政策长效的内部审计机制建立风险评估制度设定目标识别风险风险分析风险策略紧抓企业内控核心建立高效的信息搜集渠道健全企业内部及外部信息联系与沟通提高监督检查工作的针对性和时效性通过实施监督检查不断提高信息与沟通的质量和效率评价证明内控是否有效的进行审计真实有效的反应客观事实专门的审计部门（小组）承担该责任信息安全规划与设计安全组织和机构等级保护定级人员配备授权和审批沟通和合作审核和检查第三方管理人员信息安全制度管理系统开发的安全信息安全工程实施等保定级合规性测试安全服务商的选择安全事件管理安全运行维护安全监控检查及持续改进信息系统的终止及销毁

。。。国航信息安全合规性审计要点（合并共计82个目标）是否有IT服务方针和建立健全IT框架是否有IT安全组织及安全人员支持是否对重要信息资产进行有效管控是否对内外部IT相关人员进行有效管控是否定期进行信息安全风险评估管理第三方的服务管理性能与容量确保系统安全是否针对风险评估结果进行有效的风险控制10.是否针对风险评估结果进行有效的风险控制11.是否进行有效的内部检查和监控12.是否持续有效的改进IT业务流程13.是否对第三方服务和支持人员进行管理和监控是否建立有安全事件管理流程，并形成应急预案是否定期进行内部人员的安全培训和教育是否对到期信息系统进行合理终止和有效销毁17.是否定期进行内部或者外部审核是否IT的能力必须要满足企业内现在及未来的业务战略方向是否信息安全工程实施是否等保定级合规性测试是否做到安全监控检查及持续改进是否做到信息系统的终止及销毁是否监视、测量并评审服务管理目标和计划的完成情况改进服务交付和管理的效率和有效性合规指标合规管理合规库分为关系表和实施表。合规库关系表合规执行层实施表ISO27001、ISO20000、ISO38500、SOX、COBIT、等级保护等域目标目标描述控制点控制点描述控制方法合规库的建立合规库知识库合规管理

安全合规知识库，涉及国家法律法规、国家标准、行业规范、企业制度、各类事件管理数据，为相关工作提供信息检索和知识获取，为员工培训实现充足的数据支撑。知识库的定义合规库知识库合规管理

目录41背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤42信息安全风险管理及敏感信息保护服务介绍©2010，德勤华永会计师事务所有限公司信息安全管理体系架构监管及法规要求相关标准最佳实践相关指南信息安全管理体系在满足国际/国内监管要求的同时，依据ISO27001标准要求，建设符合国际安全标准的信息安全管理体系。识别监管机构和相关法律法规要求，以确保满足合规要求；基于相关国际、国内标准要求(例如ISO27001)建设信息安全管理体系，使体系建设的过程和结果符合标准要求。使客户可以更为顺利地申请认证；参考风险管理的相关指南，包括信息安全风险评估指南(ISO27005)，国标《信息安全风险评估指南》、CORAS及SP800-30等指南，使风险评估的结果能够在多层面多角度展示企业信息安全风险；信息安全风险处理过程结合德勤行业风险知识库(RACK)，基于行业特点和客户业务特性部署安全控制措施。43信息安全建设路线图44安全矩阵对单个安全过程,测量效率,效果,价值和持续的性能提升发展发起股东安全项目股东支持项目并承担责任安全策略与标准策略与标准定义责任,行为和标准保证存在审计,监控和报告过程和控制以确保它们符合标准并且有效功能和物理的安全架构建立标准和技术以支持与股东的互动安全组织架构授予个人和组织权力,责任,以支持架构信息安全战略与原则

从业务战略出发定义清晰的,与技术无关的原则符合性和认证建立符合性测量和报告系统

信息安全控制定义安全控制建立管理风险的一致基础安全成熟度概念上的安全架构存在架构原则和策略以定义核心的安全职能安全管理授权,运作,事件,问题,变更,配置,监控示例敏感信息保护－信息资产管理45识别业务相关的信息资产，明确具体管理对象；应用安全体系的信息资产分级标准，基于资产价值对业务相关信息资产进行分级；结合财务管理，对资产的分布、利用率、容量进行资产管理；基于资产级别细化访问控制和信息传输方针；明确和细化信息资产的管理职责，并指派到岗到人。角色包括：资产所有者资产保管者资产使用者监管者审计者围绕信息资产的生命周期，基于风险管理信息安全。信息处理信息存储信息使用信息传输信息输出信息输入信息销毁信息资产生命周期信息资产识别及分级，能够使管理者明确管理对象，并基于价值进行风险管理。信息资产生命周期的不同环节，伴随有不同的风险。需要结合各环节的具体流程对风险进行评估及处理，通过优化流程保障信息资产安全。敏感信息保护－业务风险评估鉴别个人权责与信息所有权分析业务活动数据热点与关键环境12对应管控部署与绩效指标3确认信息保护基准SystemsHardeningGuidelines446敏感信息保护－防数据泄漏选择合适工具部署与监控5留存保护活动记录与轨迹6数位鉴识与犯罪/舞弊侦防7定期RCSA发现新热点与弱点847应用开发安全管理48开发过程安全访问控制物理安全设备安全网络安全信息交换开发文档安全人员安全安全需求分析安全架构设计安全编码安全测试渗透性测试发布安全应用软件安全应用系统开发项目启动系统上线系统维护系统处置系统开发信息安全应贯穿于软件开发生命周期整个环节，并且渗透入软件自身的安全。而软件开发安全也应当于整体风险管理体系相结合，例如外包风险。德勤信息安全知识库49业务目标业务需求信息资产安全控制措施知识库威胁库安全目标业务流程安全行业风险知识库财务愿景内部流程客户学习与成长内部审计持续改进弱点库方针政策意识文化流程控制物理设施、硬件网络环境系统及工具软件软投入基础设施信息安全落实机制信息系统安全行业安全事件知识库管理机制知识库技术措施知识库业务导向的信息安全体系信息安全控制库行业风险库业务导向的安全体系建设方法论行业风险库安全控制库体系落实指南德勤风险知识库绩效指标目录50背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤51IT服务管理体系建设服务介绍©2010，德勤华永会计师事务所有限公司德勤ISO20000IT服务管理体系导入方法论4.服务运营维护IT服务的运作计算信息服务成本快速的服务事件处理和反应能力3.服务

转移建立转移IT服务避免服务移转过程对企业造成冲击降低对服务运作环境造成影响2.服务设计规划设计IT服务依据企业需求拟定服务计划以服务角度设计财务与服务框架5.持续改善IT服务持续改善设计流程服务报告建立绩效指标建立PDCA持续改善机制52德勤深知如何妥善配置资源

1.强化组织客户服务报告，融入端到端的IT服务管理架构，以确保SLA与客户需求的符合程度。

2.整理事件分类与处理优先级，并加强处理经验积累，杜绝潜在问题发生

3.部署配置管理工具，开发配置管理数据库，并有效整合其他流程的管理绩效指标及服务报告(KPI

&ServiceReport)。

4.建立IT服务/系统资源规划的程序，依目前资源可达到的服务级别，结合历史数据分析，拟定短中长期能力计划

5.建立以IT服务为中心的预算编列、监控及报告的成本管理机制；计算出各服务每期所产生的总服务成本

6.配合服务级别目标导向的管理机制，利用服务报告追踪落实度，并针对银行不同管理阶层，分别开发合适的服务报告内容。

53以层次式架构，整合组织内外部管理要求质量

管理政策IT服务

管理政策测量改善管理办法上线

管理办法变更

管理办法………变更上线

标准作业程序事件异常排除

标准作业程序需求管理

标准作业程序系统变更

申请单系统测试报告模板变更上线系统操作指南以层次式架构区分信息流程执行重点一阶政策二阶办法三阶程序四阶表格通过政策制定，表现信息组织对治理制度的策略及管理目标整合ISO9000/ISO20000的文管机制、组织资源、查核机制、控管要求对于详细标准作业方式，设计整合管理流程，避免重复工作及多余活动对于员工实际作业使用的活动申请单，以单一格式达到多方管控要求54利用DeloitteGlobalKPI数据库，协助银行进行绩效衡量指标的设计参考DeloitteITKPI数据库决定KPI优先级厘清流程目标决定各ITKPI的重要程度与优先级设计适合的KPI依据业务特性与策略目标选定适合的ITKPI生成符合管理层需要的服务报告55目录56背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤57业务连续性及IT外包管理服务介绍©2010，德勤华永会计师事务所有限公司德勤对BCM目标的理解58一个全盘的BCM框架(请参考右边的图示)为制定BCM程序提供了强大的基础；当面临影响业务正常运作的事件时，建立在完善的业务影响评价制度之上的并符合实践的计划将持续发挥重要的作用；业务持续性管理安排将根据银行业务活动的改变而进行随时调整；在组织内部明确了“了解-接受-拥有”的阶梯方法。了解及建立培训维护测试业务持续项目（Program）管理业务持续性管理BCM策略BCM治理框架关键业务活动的DRP组织危机管理计划关键业务活动的BCPIT外包管理咨询59.....更新的外包战略改进的能力和绩效成本控制及降低改善现金流及节约资产投资聚焦于核心竞争能力成功的战略供应商合作伙伴关系关键输出外包流程德勤基于长期在IT外包市场的研究以及协助客户解决问题的经验，开发出IT外包管理策略以及指南，协助企业解决外包战略、服务商选择与变更以及外包关系管理等方面遇到的挑战。开发IT外包战略识别外包现状确认外包的业务驱动开发/精化外包准则识别及选择外包策略差距评估准备外包业务案例开发移交策略建立外包绩效指标准备方案邀请书评估供应商能力选择供应商就合同条款及价格进行谈判管理IT供应商采购流程服务移交合同转移选择供应商及移交管理供应商关系度量供应商绩效指标进行价值审计跟踪及管理合同执行管理外包风险开发/提升现有服务产品目录60背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理/信息安全相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤案例1-信息科技风险管理61项目背景及工作内容：在银监会发布《商业银行信息科技风险管理指引》（简称“指引”）后，银行为落实指引要求，从10多家公司中选择德勤，为其提供信息科技风险评估、体系规划和实施等服务。我们的团队通过分析指引要求，并结合国际标准（ISO27001）、最佳实务(COSOERM、ITIL、COBIT等)、法规要求（如监管机构相关要求）,以德勤在全球和中国金融行业服务中形成的知识库为基础，对银行的信息科技风险情况进行了总体评估。我们在评估的基础上帮客户制订了信息科技风险管理策略、建立了相关的治理模型、识别和分析了客户相关的信息科技风险库，实现对银行信息科技风险的识别、计量、监测和控制，并针对识别的重要IT风险提供了应对建议和关键风险管理指标体系。同时，项目组还对银行的现有信息科技风险管理制度进行梳理和差距分析，并在此基础上形了一套完善的制度体系框架。客户:一家全国性的股份制商业银行（上市公司）项目:信息科技风险管理体系的咨询与实施案例1-信息科技风险管理（续）项目收益：完成全行的整体信息科技风险评估，了解全行的信息科技风险管理情况；形成了先进的信息科技风险管理策略，以及配套的信息科技风险治理模型；一套完善的信息科技风险库和对应的应对策略；建成了信息科技风险的关键风险指标体系和报告机制；通过交流、培训、视频课件等形式，提升了全行不同层面的风险意识和信息安全意识；具有可操作性的后续实施路线图；通过项目知识转移，加强了全行信息科技、风险管理、审计等不同条线在信息科技风险管理方面的技术和能力；。。。客户:一家全国性的股份制商业银行（上市公司）项目:信息科技风险管理体系的咨询与实施62案例2-信息科技治理项目背景及工作内容：银行希望按照业务发展目标和信息科技现状，结合外部监管要求，为银行制定IT治理体系，包括信息科技治理架构、IT建设蓝图及实施计划。基于德勤IT治理方法论及德勤特有的风险/价值分析工具，对银行的现状进行评估；对需求进行分析；对远景进行规划；并制定详细的实施计划，为银行全行搭建IT治理的整体框架，协助其编制未来3至5年间IT治理体系的实施路线。项目收益：掌握信息科技治理现状，以及与领先实践的差距；明确了信息科技发展的战略目标、实施蓝图和相应的治理架构；明确了信息科技发展的实施路线图和方案。客户:某地区性商业银行项目:信息科技治理及实施规划6364依据规划和实施情况，为年度计划和预算的制定提供支持根据定期评估的结果，更新规划内容和年度计划负责实施过程中整体IT架构的管理，确保实施与总体架构相符，对于可能影响架构的情况进行掌控，并根据需要对架构进行更新StrategyProgrammeDeliveryBusinessStrategyStrategicProgrammeManagementStrategyBusinessStrategyStrategicProgrammeManagementProgrammeDeliveryStrategyProgrammeDeliveryBusinessStrategyStrategicProgrammeManagementStrategyIT规划规划与架构管理项目实施管理总体实施管理从全局角度掌握规划和计划的执行情况，从各实施项目组获取和汇总所需的各种信息；协调不同项目之间的资源、交流和沟通；有效控制信息化实施的风险、质量和成本；直接参与战略型关键项目的管理，确保项目按时、保质、在预算内完成为项目的实施提供专家服务(包括业务方案设计、系统架构设计、产品选型、概念验证、验收测试等），确保规划的理念能在实施过程中落实项目1项目2项目＃在信息化规划的框架内，客户PIO着眼于规划与架构、总体实施和项目实施三个自顶向下分解的层次，关注各个层次面临的管理挑战，通过合理的组织和高效的管理执行，确保规划的落实，实现IT投资和收益的目标。案例3-信息科技战略规划与实施客户:某领先国有政策性银行项目:信息科技战略的咨询与实施案例4-信息安全管理体系咨询65项目背景及工作内容：我们的团队通过分析并结合国际标准（如ISO17799/27001）、最佳实务（如COBIT）、监管要求,以及德勤在全球和中国的经验，帮助客户制定了信息安全战略规划。客户通过结合自身的业务战略、信息技术战略与信息安全战略，对其安全路标有了清晰的认识。我们还协助银行完善和明确跨部门的信息安全小组的职责和工作机制，并协助客户设计部分速赢项目，如某些重要的政策/程序以及几个议定项目的可行性研究。项目收益：建立与业务战略方向一致的信息安全规划，完善信息安全治理架构；建立信息安全项目群和建设路线图；明确信息安全管理流程，制订制度体系，并协助完成部分制度的编写工作；。。。客户:一家全国性的股份制商业银行项目:信息安全管理体系的战略规划与初步实施案例5–ISO27001认证咨询服务66项目背景及工作内容：某基金管理公司为提升其信息安全管理水平，聘请德勤提供ISO27001方面的咨询。德勤通过了两个阶段五个步骤，找出该公司与标准要求方面的差距，并指导其进行相应的完善工作，帮助客户顺利通过认证。同时，德勤还针对客户需求提供了相关的培训服务。项目收益：优化的公司信息安全战略，实现对业务战略的更好的支持；建立了明确的信息安全政策和流程，推动了企业安全文化建设，提高企业信息安全水平；为通过ISO27001的认证做好了准备。客户:某华东地区金融业基金管理公司项目:ISMS体系相关的咨询、培训服务案例6-IT服务管理(ITSM)咨询67项目背景及工作内容：为保证行内信息化管理的战略目标，该银行希望能改善IT服务管理和信息化项目开发管理的整体管理水平。

德勤基于ISO20000国际标准与德勤全球领先相关行业经验协助客户制订了信息化项目开发管理及IT服务管理的制度与流程。项目收益：通过该项目，该银行很快基于德勤设计的制度和流程实施了IT服务管理流程。客户:某国有政策性银行项目:

IT服务管理(ITSM)咨询打印中心案例7–业务持续性管理68项目背景及工作内容：为了提升市场竞争力，该银行邀请德勤，基于银行对于风险控制的战略要求，以风险战略、银行运营核心价值为出发点，结合其全面风险管理规划，对银行的业务连续性管理（BCM）工作进行整体规划，以建立稳定可靠的业务运行环境，满足监会的《商业银行操作风险管理指引》和巴塞尔新资本协议当中的高级业务连续性经营原则的要求。我们在项目中在现状分析的基础上，协助客户完善了相关治理架构及职能，并提出了相应的BCM管理办法。随后通过对主要业务、技术、环境与管理的影响性分析和风险评估，考虑组织的业务发展情况、信息化建设等情况，系统地规划危机管理的有效组织与报告，业务连续性计划的业务优先级划分与紧急恢复步骤，以及灾难恢复计划中关于重要系统、资源及场所的恢复策略及措施。客户:五大国有商业银行之一项目:业务持续性管理案例7–业务持续性管理（续）69项目收益：满足监管部门对于业务持续性管理的要求；通过建立和实施完备的业务连续性管理架构，银行将确保可能的运营中断损失被控制在银行可承受的范围之内；银行的核心运营流程将不会因重大的操作风险事件（如天灾、罢工、重大疫情、系统宕机等）而遭受严重的人员、财产与收益损失。客户:五大国有商业银行之一项目:业务持续性管理案例8-信息科技外包风险管理70项目背景及工作内容：该项目是国内金融行业第一个关于IT外包风险管理方面的专项咨询项目。德勤在项目中协助银行建立了满足银监会《商业银行信息科技风险管理指引》中IT外包有关要求、符合国内外包领域发展趋势和银行现状的IT外包管理框架，完善IT外包管理制度、细化工作流程和操作办法，以指导银行现有和未来的IT外包管理活动，从而控制银行IT外包风险，提升IT外包管理能力和水平。项目收益：统一了IT外包管理策略和工作开展思路；实现了组织级的IT外包供应商管理、人员管理；明确了IT外包风险评估要点。客户:某全国性商业银行项目:信息科技外包风险管理咨询案例9–信息科技风险评估71项目背景及工作内容：银行根据监管机构要求，聘请德勤对其信息科技风险进行评价审计，内容包括：信息科技治理和组织结构信息安全管理信息科技项目开发和变更管理信息系统运行和操作管理业务持续性规划项目收益：外部评价审计报告；根据德勤经验和领先实践提供的增值建议。客户:某全国性商业银行项目:信息科技风险评估目录72背景介绍德勤相关调查报告介绍风险驱动的IT内控体系建设IT风险管理相关服务体系总体介绍IT风险/信息安全合规管理及整合服务介绍信息安全风险管理及敏感信息保护服务介绍IT服务管理体系建设服务介绍业务连续性及IT外包管理服务介绍部分典型案例介绍关于德勤问题与讨论德勤全球73我们是全球四大会计师事务所之一，有一百多年的历史，16万9千余名员工，遍布在全球140多个国家，2010财年的营业额为280亿美元。我们向全球客户提供审计、税务、企业财务顾问、管理咨询服务等多元化服务；我们为80％的世界500强企业提供服务;我们服务逾700家年销售额或总资产超过10亿美元的公司;超过25%的世界知名上市公司是德勤的客户。©2010，德勤华永会计师事务所有限公司德勤中国的业务分布74距离德勤在中国的第一个办事处已经接近一百年；今天，德勤中国已经拥有逾8,000名员工，分布在全国14个办事处：北京、重庆、大连、广州、杭州、香港、澳门、南京、上海、深圳、苏州、天津、厦门和武汉；我们是中国大陆及港澳地区居领导地位的专业服务机构之一；我们以全球网络为支持，为国内企业、跨国公司以及高成长的企业提供全面的审计、税务、企业财务顾问、管理咨询服务。北京天津大连南京上海广州香港深圳澳门苏州德勤分所杭州重庆德勤中国的不同之处75四大会计师事务所中，唯一一家以企业管理咨询服务作为其核心竞争力之一的事