公司信息科技投诉和事件报告制度模版.doc

1、信息科技风险计量和监测管理办法 一. 说明 根据公司《信息科技风险管理策略》,公司应对信息科技风险持续进行监测,确定监测范围、监测内容和频率。制定关键风险指标，并分配相关责任，定期分析指标并产生信息科技风险监测报告,监测信息科技风险发展趋势。 在20１2年度,公司信息科技风险计量和监测工作以收集各项指标的信息与数据为主，做好相关历史数据的积累，为下一个阶段确定各项关键指标的阈值、建立公司的信息科技风险管理指标体系打下基础。 公司计量和监测方法分为日常监测、定期监测和项目监测，由信息科技风险管理员执行。 二. 日常监测 2.1 物理环境监测 物理环境监测包括以下内容： 监测

2、项 日常平均值 日常峰值 评价 温度 湿度 电力供应 电磁辐射量 2.2 网络监测 网络监测包括以下内容： 网络流量与负载 监测项 日常平均值 日常峰值 评价 核心生产网络流量与负载 渠道业务网络流量与负载 业务支撑网络流量与负载 外联网络流量与负载 内联网络流量与负载 办公网络流量与负载 路由器监测指标 监测项 日常平均值 日常峰值 评价 CPU负载 内存占用率 并发连接数

3、 CPU温度 风扇转速 交换机监测指标 监测项 日常平均值 日常峰值 评价 CPU负载 内存占用率 背板吞吐量 ＣPU温度 风扇转速 防火墙监测指标 监测项 日常平均值 日常峰值 评价 CＰU负载 内存占用率 并发连接数 新建连接数 ＣPＵ温度 风扇转速 2.3 系统监测 系统监测包括内容如下： 服务器监测指标（包括核心应用小机、数据库小机及其他重要服务器等） 监测项 日常平

4、均值 日常峰值 评价 CPU负载 内存占用率 硬盘空间占用率 CPU温度 风扇转速 三. 定期监测 3.1 技术发展的风险监测 信息科技风险管理员应定期监测信息科技发展给公司信息系统带来的风险，包括但不限于以下情况: Ø 新漏洞的发布 Ø 新型攻击手段的发现 Ø 公司新投产的信息系统 Ø 公司已有信息系统增加新的功能或模块 Ø 已有信息系统的调整 新漏洞和新型攻击手段的监测至少每月进行一次。信息科技风险管理员应统计本月发布的新漏洞与攻击手段，分析其对公司信息系统的影响,编写改进建议，并监督整改落实。

5、在漏洞和攻击手段影响可能特别严重时,应立即进行分析评估和整改。 对公司信息系统变化相关的风险监测,至少每半年进行一次。信息科技风险管理员应对本阶段公司信息系统的变动进行分析与评估,发现其中可能存在的风险,编写改进建议，并监督整改落实。对重要信息系统的较大变化,应在变化实施前进行分析评估，控制可能存在的风险。 3.2 操作风险和管理控制的检查 信息科技风险属于操作风险的一部分，其管理工作应服从公司操作风险管理办法。对于操作风险中有关于信息科技风险的重大事项,应及时采取措施,并向董事会汇报。 监测项 日常平均值 日常峰值 评价

6、3.3 信息科技风险问题整改处理 3.4 服务水平协议定期审查 信息科技风险监测工作中,应定期安排供应商和业务部门对服务水平协议(SＬA）的完成情况进行审查。对服务水平协议中的主要内容进行回顾，并 3.5 信息科技服务投拆和事故处理 监测项 日常平均值 日常峰值 评价 风险管理程序的有效性 四. 项目监测 4.1 信息科技项目评价 信息科技项目评价,需要在项目实施前及实施后进行评价，以发现本项目和项目管理方法中可能存在的问题与风险，并持续改进。公司目前从项目的资源投入、项目的进度和项目完成质量等几方面来进行评价。 信

7、息科技项目实施前,信息科技风险管理员应参与到项目需求分析与设计的工作中,与项目经理讨论以下内容的合理性,填写表格,并且双方应签字确认： 监测项 监测子项 实施前确认指标 实施后实际指标 评价 项目进度 开始日期 正式验收日期 项目阶段１ 结束日期 项目阶段2 结束日期 项目阶段3 结束日期 项目阶段N 结束日期 项目资源 本行人员 应说明总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段 应说明实际参加总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段 第三方人

8、员 应说明总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段 应说明实际参加总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段 项目预算与决算 现有资源占用 计划在项目中长期使用的硬件、设备、后勤物资等 实际在项目中长期使用的硬件、设备、后勤物资等 项目质量 项目目标完成情况 项目主要目标 项目主要目标完成情况 变更情况 分析项目是否可能产生变更。如有,在哪些方面，产生何种变更，有何影响等 应逐一列出项目变更事件 文档交付 逐一列出项目计划交付文档,及相关要求 逐一列出项目验收时的文档，并评价是否符合要求 项目培

9、训 逐一列出计划培训内容,及相关要求、说明 逐一列出项目验收时完成的培训,并评价是否符合要求 4.2 外包项目的风险状况评价 在项目进行中，应定期外包风险进行监测，应定期（每年一次)和不定期(根据项目执行情况)进行外包服务商风险状况的审核与监督，如人员变动情况、财务状况和其他方面运行状况等,及时发现外包方面的隐患。 风险状况调查工作可以包括与外包商、内部相关部门会谈，及独立调研等方法，独立调研应包括对会谈结果的必要审核。 监测项 会谈结果 调研结果 评价 外包人员投入情况 外包服务质量情况 外包人员操作合规情况 外包工程中

10、重要事件 外包商经营声誉 外包商财务稳健性 信息科技风险计量和监测管理办法 五. 说明 根据公司《信息科技风险管理策略》,公司应对信息科技风险持续进行监测,确定监测范围、监测内容和频率。制定关键风险指标，并分配相关责任,定期分析指标并产生信息科技风险监测报告,监测信息科技风险发展趋势。 在2011年度,公司信息科技风险计量和监测工作以收集各项指标的信息与数据为主,做好相关历史数据的积累,为下一个阶段确定各项关键指标的阈值、建立公司的信息科技风险管理指标体系打下基础。 公司计量和监测方法分为日常监测、定期监测和项目监测，由信息科技风险管理员

11、执行。 六. 日常监测 6.1 物理环境监测 物理环境监测包括以下内容: 监测项 日常平均值 日常峰值 评价 温度 湿度 电力供应 电磁辐射量 6.2 网络监测 网络监测包括以下内容: 网络流量与负载 监测项 日常平均值 日常峰值 评价 核心生产网络流量与负载 渠道业务网络流量与负载 业务支撑网络流量与负载 外联网络流量与负载 内联网络流量与负载 办公网络流量与负载 路由器监测指标 监测项 日常平均值 日常

12、峰值 评价 ＣPU负载 内存占用率 并发连接数 CＰU温度 风扇转速 交换机监测指标 监测项 日常平均值 日常峰值 评价 CPU负载 内存占用率 背板吞吐量 ＣPU温度 风扇转速 防火墙监测指标 监测项 日常平均值 日常峰值 评价 CPU负载 内存占用率 并发连接数 新建连接数 CPU温度 风扇转速 6.3 系统监测 系统监测包括内容如下

13、 服务器监测指标(包括核心应用小机、数据库小机及其他重要服务器等） 监测项 日常平均值 日常峰值 评价 CPU负载 内存占用率 硬盘空间占用率 ＣPＵ温度 风扇转速 七. 定期监测 7.1 技术发展的风险监测 信息科技风险管理员应定期监测信息科技发展给公司信息系统带来的风险,包括但不限于以下情况: Ø 新漏洞的发布 Ø 新型攻击手段的发现 Ø 公司新投产的信息系统 Ø 公司已有信息系统增加新的功能或模块 Ø 已有信息系统的调整 新漏洞和新型攻击手段的监测至少每月进行一次。信息科技风险管理员应

14、统计本月发布的新漏洞与攻击手段，分析其对公司信息系统的影响,编写改进建议，并监督整改落实。在漏洞和攻击手段影响可能特别严重时，应立即进行分析评估和整改。 对公司信息系统变化相关的风险监测，至少每半年进行一次。信息科技风险管理员应对本阶段公司信息系统的变动进行分析与评估,发现其中可能存在的风险，编写改进建议,并监督整改落实。对重要信息系统的较大变化，应在变化实施前进行分析评估，控制可能存在的风险。 7.2 操作风险和管理控制的检查 信息科技风险属于操作风险的一部分，其管理工作应服从公司操作风险管理办法。对于操作风险中有关于信息科技风险的重大事项，应及时采取措施,并向董事会汇报。 监测项

15、 日常平均值 日常峰值 评价 7.3 信息科技风险问题整改处理 7.4 服务水平协议定期审查 信息科技风险监测工作中,应定期安排供应商和业务部门对服务水平协议（SLA)的完成情况进行审查。对服务水平协议中的主要内容进行回顾，并 7.5 信息科技服务投拆和事故处理 监测项 日常平均值 日常峰值 评价 风险管理程序的有效性 八. 项目监测 8.1 信息科技项目评价 信息科技项目评价，需要在项目实施前及实施后进行评价,以发现本项目和项目管理方法中可能存在的问

16、题与风险,并持续改进。公司目前从项目的资源投入、项目的进度和项目完成质量等几方面来进行评价。 信息科技项目实施前，信息科技风险管理员应参与到项目需求分析与设计的工作中,与项目经理讨论以下内容的合理性，填写表格,并且双方应签字确认: 监测项 监测子项 实施前确认指标 实施后实际指标 评价 项目进度 开始日期 正式验收日期 项目阶段1 结束日期 项目阶段2 结束日期 项目阶段3 结束日期 项目阶段N 结束日期 项目资源 本行人员 应说明总人数，并逐一列出人员姓名、项目中的主要工作、参与的

17、时间段 应说明实际参加总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段 第三方人员 应说明总人数,并逐一列出人员姓名、项目中的主要工作、参与的时间段 应说明实际参加总人数，并逐一列出人员姓名、项目中的主要工作、参与的时间段 项目预算与决算 现有资源占用 计划在项目中长期使用的硬件、设备、后勤物资等 实际在项目中长期使用的硬件、设备、后勤物资等 项目质量 项目目标完成情况 项目主要目标 项目主要目标完成情况 变更情况 分析项目是否可能产生变更。如有，在哪些方面，产生何种变更,有何影响等 应逐一列出项目变更事件 文档交付

18、逐一列出项目计划交付文档,及相关要求 逐一列出项目验收时的文档,并评价是否符合要求 项目培训 逐一列出计划培训内容，及相关要求、说明 逐一列出项目验收时完成的培训,并评价是否符合要求 8.2 外包项目的风险状况评价 在项目进行中，应定期外包风险进行监测，应定期(每年一次)和不定期（根据项目执行情况)进行外包服务商风险状况的审核与监督，如人员变动情况、财务状况和其他方面运行状况等,及时发现外包方面的隐患。 风险状况调查工作可以包括与外包商、内部相关部门会谈,及独立调研等方法，独立调研应包括对会谈结果的必要审核。 监测项 会谈结果 调研结果 评价 外包人员投入情况 外包服务质量情况 外包人员操作合规情况 外包工程中重要事件 外包商经营声誉 外包商财务稳健性