信息科技投诉和事件报告制度.docx
《信息科技投诉和事件报告制度.docx》由会员分享,可在线阅读,更多相关《信息科技投诉和事件报告制度.docx(13页珍藏版)》请在冰豆网上搜索。
信息科技投诉和事件报告制度
信息科技风险计量和监测管理办法
一.说明
根据公司《信息科技风险管理策略》,公司应对信息科技风险持续进行监测,确定监测范围、监测内容和频率。
制定关键风险指标,并分配相关责任,定期分析指标并产生信息科技风险监测报告,监测信息科技风险发展趋势。
在2012年度,公司信息科技风险计量和监测工作以收集各项指标的信息与数据为主,做好相关历史数据的积累,为下一个阶段确定各项关键指标的阈值、建立公司的信息科技风险管理指标体系打下基础。
公司计量和监测方法分为日常监测、定期监测和项目监测,由信息科技风险管理员执行。
二.日常监测
二.1物理环境监测
物理环境监测包括以下内容:
监测项
日常平均值
日常峰值
评价
温度
湿度
电力供应
电磁辐射量
二.2网络监测
网络监测包括以下内容:
网络流量与负载
监测项
日常平均值
日常峰值
评价
核心生产网络流量与负载
渠道业务网络流量与负载
业务支撑网络流量与负载
外联网络流量与负载
内联网络流量与负载
办公网络流量与负载
路由器监测指标
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
并发连接数
CPU温度
风扇转速
交换机监测指标
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
背板吞吐量
CPU温度
风扇转速
防火墙监测指标
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
并发连接数
新建连接数
CPU温度
风扇转速
二.3系统监测
系统监测包括内容如下:
服务器监测指标(包括核心应用小机、数据库小机及其他重要服务器等)
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
硬盘空间占用率
CPU温度
风扇转速
三.定期监测
三.1技术发展的风险监测
信息科技风险管理员应定期监测信息科技发展给公司信息系统带来的风险,包括但不限于以下情况:
Ø新漏洞的发布
Ø新型攻击手段的发现
Ø公司新投产的信息系统
Ø公司已有信息系统增加新的功能或模块
Ø已有信息系统的调整
新漏洞和新型攻击手段的监测至少每月进行一次。
信息科技风险管理员应统计本月发布的新漏洞与攻击手段,分析其对公司信息系统的影响,编写改进建议,并监督整改落实。
在漏洞和攻击手段影响可能特别严重时,应立即进行分析评估和整改。
对公司信息系统变化相关的风险监测,至少每半年进行一次。
信息科技风险管理员应对本阶段公司信息系统的变动进行分析与评估,发现其中可能存在的风险,编写改进建议,并监督整改落实。
对重要信息系统的较大变化,应在变化实施前进行分析评估,控制可能存在的风险。
三.2操作风险和管理控制的检查
信息科技风险属于操作风险的一部分,其管理工作应服从公司操作风险管理办法。
对于操作风险中有关于信息科技风险的重大事项,应及时采取措施,并向董事会汇报。
监测项
日常平均值
日常峰值
评价
三.3信息科技风险问题整改处理
三.4服务水平协议定期审查
信息科技风险监测工作中,应定期安排供应商和业务部门对服务水平协议(SLA)的完成情况进行审查。
对服务水平协议中的主要内容进行回顾,并
三.5信息科技服务投拆和事故处理
监测项
日常平均值
日常峰值
评价
风险管理程序的有效性
四.项目监测
四.1信息科技项目评价
信息科技项目评价,需要在项目实施前及实施后进行评价,以发现本项目和项目管理方法中可能存在的问题与风险,并持续改进。
公司目前从项目的资源投入、项目的进度和项目完成质量等几方面来进行评价。
信息科技项目实施前,信息科技风险管理员应参与到项目需求分析与设计的工作中,与项目经理讨论以下内容的合理性,填写表格,并且双方应签字确认:
监测项
监测子项
实施前确认指标
实施后实际指标
评价
项目进度
开始日期
正式验收日期
项目阶段1
结束日期
项目阶段2
结束日期
项目阶段3
结束日期
项目阶段N
结束日期
项目资源
本行人员
应说明总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
应说明实际参加总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
第三方人员
应说明总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
应说明实际参加总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
项目预算与决算
现有资源占用
计划在项目中长期使用的硬件、设备、后勤物资等
实际在项目中长期使用的硬件、设备、后勤物资等
项目质量
项目目标完成情况
项目主要目标
项目主要目标完成情况
变更情况
分析项目是否可能产生变更。
如有,在哪些方面,产生何种变更,有何影响等
应逐一列出项目变更事件
文档交付
逐一列出项目计划交付文档,及相关要求
逐一列出项目验收时的文档,并评价是否符合要求
项目培训
逐一列出计划培训内容,及相关要求、说明
逐一列出项目验收时完成的培训,并评价是否符合要求
四.2外包项目的风险状况评价
在项目进行中,应定期外包风险进行监测,应定期(每年一次)和不定期(根据项目执行情况)进行外包服务商风险状况的审核与监督,如人员变动情况、财务状况和其他方面运行状况等,及时发现外包方面的隐患。
风险状况调查工作可以包括与外包商、内部相关部门会谈,及独立调研等方法,独立调研应包括对会谈结果的必要审核。
监测项
会谈结果
调研结果
评价
外包人员投入情况
外包服务质量情况
外包人员操作合规情况
外包工程中重要事件
外包商经营声誉
外包商财务稳健性
信息科技风险计量和监测管理办法
五.说明
根据公司《信息科技风险管理策略》,公司应对信息科技风险持续进行监测,确定监测范围、监测内容和频率。
制定关键风险指标,并分配相关责任,定期分析指标并产生信息科技风险监测报告,监测信息科技风险发展趋势。
在2011年度,公司信息科技风险计量和监测工作以收集各项指标的信息与数据为主,做好相关历史数据的积累,为下一个阶段确定各项关键指标的阈值、建立公司的信息科技风险管理指标体系打下基础。
公司计量和监测方法分为日常监测、定期监测和项目监测,由信息科技风险管理员执行。
六.日常监测
六.1物理环境监测
物理环境监测包括以下内容:
监测项
日常平均值
日常峰值
评价
温度
湿度
电力供应
电磁辐射量
六.2网络监测
网络监测包括以下内容:
网络流量与负载
监测项
日常平均值
日常峰值
评价
核心生产网络流量与负载
渠道业务网络流量与负载
业务支撑网络流量与负载
外联网络流量与负载
内联网络流量与负载
办公网络流量与负载
路由器监测指标
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
并发连接数
CPU温度
风扇转速
交换机监测指标
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
背板吞吐量
CPU温度
风扇转速
防火墙监测指标
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
并发连接数
新建连接数
CPU温度
风扇转速
六.3系统监测
系统监测包括内容如下:
服务器监测指标(包括核心应用小机、数据库小机及其他重要服务器等)
监测项
日常平均值
日常峰值
评价
CPU负载
内存占用率
硬盘空间占用率
CPU温度
风扇转速
七.定期监测
七.1技术发展的风险监测
信息科技风险管理员应定期监测信息科技发展给公司信息系统带来的风险,包括但不限于以下情况:
Ø新漏洞的发布
Ø新型攻击手段的发现
Ø公司新投产的信息系统
Ø公司已有信息系统增加新的功能或模块
Ø已有信息系统的调整
新漏洞和新型攻击手段的监测至少每月进行一次。
信息科技风险管理员应统计本月发布的新漏洞与攻击手段,分析其对公司信息系统的影响,编写改进建议,并监督整改落实。
在漏洞和攻击手段影响可能特别严重时,应立即进行分析评估和整改。
对公司信息系统变化相关的风险监测,至少每半年进行一次。
信息科技风险管理员应对本阶段公司信息系统的变动进行分析与评估,发现其中可能存在的风险,编写改进建议,并监督整改落实。
对重要信息系统的较大变化,应在变化实施前进行分析评估,控制可能存在的风险。
七.2操作风险和管理控制的检查
信息科技风险属于操作风险的一部分,其管理工作应服从公司操作风险管理办法。
对于操作风险中有关于信息科技风险的重大事项,应及时采取措施,并向董事会汇报。
监测项
日常平均值
日常峰值
评价
七.3信息科技风险问题整改处理
七.4服务水平协议定期审查
信息科技风险监测工作中,应定期安排供应商和业务部门对服务水平协议(SLA)的完成情况进行审查。
对服务水平协议中的主要内容进行回顾,并
七.5信息科技服务投拆和事故处理
监测项
日常平均值
日常峰值
评价
风险管理程序的有效性
八.项目监测
八.1信息科技项目评价
信息科技项目评价,需要在项目实施前及实施后进行评价,以发现本项目和项目管理方法中可能存在的问题与风险,并持续改进。
公司目前从项目的资源投入、项目的进度和项目完成质量等几方面来进行评价。
信息科技项目实施前,信息科技风险管理员应参与到项目需求分析与设计的工作中,与项目经理讨论以下内容的合理性,填写表格,并且双方应签字确认:
监测项
监测子项
实施前确认指标
实施后实际指标
评价
项目进度
开始日期
正式验收日期
项目阶段1
结束日期
项目阶段2
结束日期
项目阶段3
结束日期
项目阶段N
结束日期
项目资源
本行人员
应说明总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
应说明实际参加总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
第三方人员
应说明总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
应说明实际参加总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段
项目预算与决算
现有资源占用
计划在项目中长期使用的硬件、设备、后勤物资等
实际在项目中长期使用的硬件、设备、后勤物资等
项目质量
项目目标完成情况
项目主要目标
项目主要目标完成情况
变更情况
分析项目是否可能产生变更。
如有,在哪些方面,产生何种变更,有何影响等
应逐一列出项目变更事件
文档交付
逐一列出项目计划交付文档,及相关要求
逐一列出项目验收时的文档,并评价是否符合要求
项目培训
逐一列出计划培训内容,及相关要求、说明
逐一列出项目验收时完成的培训,并评价是否符合要求
八.2外包项目的风险状况评价
在项目进行中,应定期外包风险进行监测,应定期(每年一次)和不定期(根据项目执行情况)进行外包服务商风险状况的审核与监督,如人员变动情况、财务状况和其他方面运行状况等,及时发现外包方面的隐患。
风险状况调查工作可以包括与外包商、内部相关部门会谈,及独立调研等方法,独立调研应包括对会谈结果的必要审核。
监测项
会谈结果
调研结果
评价
外包人员投入情况
外包服务质量情况
外包人员操作合规情况
外包工程中重要事件
外包商经营声誉
外包商财务稳健性
升级会员 