系統風險管理工作計劃范文

前言：我們精心挑選了數篇優質系統風險管理工作計劃文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

提高辦公自動化的整體應用水平，為配合風險管理計劃的執行更好地發揮計算機在公司經營管理中的作用。加強對計算機軟硬件、網絡及公司信息的平安管理，特制定了計算機及網絡管理方法。

二、年度風險管理工作計劃

根據計算機及網絡管理辦法加強對信息安全和信息系統的風險管理.

（一）信息安全風險管理：

計算機數據和信息包括公司計算機和移動存儲設備里內存儲的銷售數據、活動方案、財務報表、員工資料、客戶資料、生產技術、各種合同和檔案資料等。

一、各種數據及信息嚴格控制在公司內部，任何人不得泄露公司的數據及信息；

二、涉及機密的資料處理按公司的保密規定執行。嚴禁將存有涉及公司經營管理、銷售合同等信息的移動存儲設備帶離公司，

三、公司計算機里的保密資料文件夾不提供共享。

四、對個人使用的公司計算機中的重要數據文件，員工定期備份到移動存儲設備；電腦管理員負責將服務器上的oa數據庫及其他數據庫每月底備份一次，每半年一次將備份數據刻錄成光盤，并做好記錄。

五、加強對系統服務器的安全管理，及時升級更新各系統。

（二）信息系統風險管理：

從信息處理的過程來看，一個信息系統模型大致包括幾個要素：信息數據、輸入、數據處理/信息處理、輸出、過程控制和結果反饋。管理信息系統是特定的信息系統，是信息系統在管理中的應用。管理信息系統中包括管理數據處理系統，決策支持系統。it在信息系統風險管理策略與解決方案主要表現在軟、硬件兩個方面。

一、計算機在使用中發生故障或困難，使用者作簡易處理仍不能解決的，由電腦管理員負責維護、維修；

二、計算機維修維護過程中，首先確保對公司資料和個人資料進行拷貝并且妥善保管，防止丟失或者失效。

三、計算機操作人員必須經過培訓或具有一定操作經驗，未經培訓或無操作經驗者一律不準使用公司計算機。

四、計算機的使用要嚴格按照有關操作要求進行，要做到人走停機斷電.

五、嚴禁在計算機旁存放易燃品、易爆品、腐蝕品和強磁性物品，嚴禁在計算機鍵盤附近放置水杯、食物.

六、定期對使用中的軟件進行軟件更新檢查，及時升級，保持其可用性；

七、定期對系統垃圾、磁盤碎片等進行清理、整理和維護工作。

八、嚴禁隨意復制他人軟件及使用來歷不明的光盤、閃存和其他移動存儲設備，以防感染病Du；。

九、嚴禁安裝各種盜版軟件，防止盜版軟件留下軟件后門造成的信息泄露。

十、嚴禁擅自修改系統軟件和應用軟件的設置（如ip地址、瀏覽器的相關配置、oa的參數設置、殺Du軟件的設置、操作系統的參數設置等)。

十一、如工作需要，需對計算機的軟件設置進行改動的，應按程序申請同意后，由計算機管理員實施加強以上管理不斷完善和改進。

第2篇

關鍵詞：風險管理;電力企業;信息系統;運維風險

中圖分類號：F426 文獻標識碼：A 文章編號：1006-8937（2016）26-0020-02

伴隨著我國電力企業系統的逐步完善，它漸漸進入了建設為輔、應用為主的信息化發展趨勢。我國如今的電力企業信息化主要特征是開發業務系統、外包商承擔運維等。對于電力企業的信息系統運維方面而言，特別是外包商所承擔的相關應用系統處理不當時，將嚴重阻礙業務的正常實施。因此，必須對科學合理的信息系統運維管理體制高度重視。

1 信息系統的運維風險管理體制

1.1 運維風險管理體制內容

構建信息系統運維風險管理體制時，必須結合其管理原則，先進行需求設計，這樣可以逐步建立起一系列關于信息系統風險量化測評理念;然后依據風險管理人員的有關職責，進一步進行“信息系統風險量化測評開展”;最后還必須定期對目前的信息系統風險管理體制的實際實施過程與結論進行“考量”，由于信息系統管理的有關環境一直在不斷變化，所以必須逐漸改善信息系統風險管理體制，使其能夠長期維持管理體制的可操作性。

在信息系統運維風險管理體制當中，相關風險分析與測評以及應對風險和進行資源分配是該體系中的核心部分，它覆蓋了賬號密碼、數據管理、系統升級、運用咨詢、權限管理、分配管理等日常生活中的運維工作，既要保證對各種事故進行預先控制，使其順利實施，又要盡最大可能性使其根除不安全行為，對所存在的風險點與風險源進行管控，并且能夠積極應對風險、合理分配資源、科學規劃工作計劃。

1.2 運維風險管理體制特征

第一，重視風險控制，突出操作前的風險分析與控制;第二，重視工作的科學性、合理性、有效性以及計劃性，強調閉環管理的原則;第三，要求管理工作必須做到具有系統性，管理過程必須規范化;第四，要求能夠進行長期的改善，不斷提升系統運維的績效;第五，強調風險管理體制的專業化，對管理進行不斷創新。

2 合理規劃與實施供電局信息中心的運維風險管理 體制

2.1 運維風險管理體制概述

隨著近年來信息化建設的高速發展，供電局逐步建立起了能夠覆蓋資金流、物流、信息流等業務系統，它為公司進行科學領導以及生產經營管理模式的優化，提供了堅實的基礎，進而保證了系統能夠安全可靠、持續高效的進行信息化工作。供電局信息中心長期以來一直承擔著對業務系統進行日常運行與維護的重任。它的正式員工人數通常少于20人，但是因為管理機制的相關原因，使得日常維護時，必須擁有大量的外包商，而供電局的正式人員，通常擔任項目的管理經理。伴隨著我國信息系統運行與維護以外包形式進行的逐步深入，在運維管理和日常工作方面，很多系統性問題時常發生。

例如：第一，業務部門沒有對信息化的日常需求進行整體構思與科學規劃，使其容易發生大量突發變更的情況，進而使業務需求與配置資源變的非常艱難。第二，外包時相關實施人員時常變動，這對于知識積累產生了很大障礙，很難確保運維服務的質量。第三，對運維工作沒有進行科學合理、切實有效的管理，使其很難對運維資源進行合理有效的評估與配置。第四，運行與維護時常變更所帶來的一系列操作分析，沒有能夠及時進行量化測評。

總體而言，供電局已經實施的運維風險管理體制運維項目，可以達到以下目標：第一，對業務部門信息系統的業務需求必須進行長期管理與引領;第二，必須對業務需求進行風險評估，這樣可以構建一個具有完整性的生態環境;第三，對于資源需求進行預測并加以強化，這樣可以有效提高信息系統的運維服務水平;第四，逐步建立與業務需求的常態化體制。

2.2 風險管理的相關原則

2.2.1 風險管理的嚴謹性

為了能夠使風險管理體制持續穩定的運行，必須利用科學系統的方法管理分析，一旦健全了信息系統管理體制時，必須堅決的使用定量與定性、理論與實踐、歷史與未來等相互結合的方式，進而找出具體的模型與方法，保證有效的實施風險管控，同時能對高層的決策提供理論基礎和一定程度的幫助。

2.2.2 風險管理的兼容性

企業要想生存與發展必須具有一定程度的管控習慣與管控模式，但是風險管控必須要求企業具有戰略方向和經營目標。在日常管理過程當中必須將風險管控自身融入到企業當中，將它當作企業管理的重要組成成分，因而在信息系統的風險體制當中，必須取其精華、彌補缺陷，利用最小的控制進行重大風險的管控。

2.2.3 風險管理的一致性

作為企業管理的重要組成部分，風險管理必須制度化、流程化使它能夠徹底的落實到企業業務與管理流程中的每一個階段，同時還必須保持信息系統運維方面開展時，長期保持精確、完整、一致，這樣可以更加方便的找出企業在信息系統運維風險管控方面的缺陷，從而進行進一步完善。

2.2.4 風險管理的可操作性

俗話說“實踐才是檢驗真理的唯一標準”，信息系統風險管理體制除了具有一套標準的管理條款以及使用手冊之外，還必須要求對這些管理活動進行具體的操作實踐，使其切實有效。所以，信息系統風險管理體制當中，要求依據運維人員的基本能力進行設計，從而達到事前預防，這樣可以使得風險能夠得到實時監控，并盡可能的減小風險所帶來的損失。

2.3 信息系統風險量化測評方式

根據目前我國供電局信息系統運維管理方面的具體特征和習慣，在風險的分析與評估進程當中，可以使用效果分析法或者失效模式來進行相關研究，FMEI通常被用來明確潛在的風險并對其原因進行分析的一種方法，這樣可以保證在風險管控實施變更之前找出進程當中的缺陷，提前對其作出預防。因而風險的分析與測評，通常包含技術性風險與管理性風險兩個層次，其中將發生的可能性、嚴重性、影響、可防范性作為四大維度，此外還有11項具體的指標，這樣可以為開展工作提供方便。見表1。

2.4 信息系統風險量化測評實施階段

對信息系統風險量化測評實施過程而言，整體上大致分為風險測評的開始階段、關鍵階段和落實階段，開始階段主要包含提出業務需求和業務需求管理兩個方面，它能夠給信息系統風險量化測評做前期準備，關鍵階段主要是指對風險進行分析與評估;落實階段主要是配置資源和應對風險，這樣有對于對風險進行一定程度的防范，其具體內容如下：第一，提出業務需求時，要求有關部門能夠從自身的實際需求出發，提出服務請求，然后再由運維部門的相關人員依據服務的請求類型進行處理。第二，業務需求管理時，需要由業務人員對相關服務請求進行進一步分析確認，然后在依據現有的信息資源進行整理總結，使之達到認可業務需求的目標。第三，在風險分析與測評時，必須有運維人員依據已經確定的業務需求，綜合各種渠道，使之可以給變更質量管控或者是變更實施進程中所出現的有關風險進行一定程度的分析與測評。以技術或者管理的層面評估業務需求所提及的風險重要性，一旦獲得關于風險評估或者分析的相關數據之后，需要對風險進行一定程度的估算，確定優先級，最后在依照風險RPN的有關得分狀況，繪制出低、中、高的風險矩陣類型。第四，在配置資源和應對風險時，要根據已經明確的風險等級，由運維人員根據實際的需求情況，進行一定程度的防范，這樣可以避免不必要的損失，同時還必須確定變更處理的流程和資源的配置情況。

2.5 信息系統風險管理體制的不斷改善

對于風險管理體制的不斷改善進程而言，它是跨越供電局日常的生產經營與管理活動中一個尤為重要的部分，它可以有效的確保信息系統風險管控舉措，能夠真正的貫徹并加以落實。對信息系統風險管理體制不斷改善的具體實施步驟有以下幾個步驟：第一，體制建設當中有關人員，應及時發現信息系統風險管控體制當中的缺陷，并在信息管控中心與相關部門的一致幫助之下，確定科學有效的改善措施;第二，體制建設中的有關人員必須依據已經批準的改善方案，積極貫徹改善策略，以保證所改善的目標能夠順利完成;第三，變更實施小組應依照改善策略的有關要求，對運維過程中存在缺陷的相關管理人員進行教育，使其及時糾正;第四，信息中心的有關人員應及時改善方案的實施進程，并對實施效果進行反饋，這樣可以使方案更好的進行;第五，信息中心還應該不斷的對改進狀況進行分析總結，并對風險分析得結果進行及時更新，這樣可以使更多的人了解風險重要程度，并及時地加以預防。

3 結 語

現如今，對于大部分企業的信息系統風險管理而言，依舊處于初步階段，特別是在應用運維方面具有復雜性、專業化程度高、不確定性等外部因素所帶來的影響，阻礙了信息系統的正常運行。因此，信息系統運維風險是企業的核心業務能否持續穩定實施的必不可少的要素，并須加以管控。

參考文獻：

第3篇

內部審計在企業中獨特地位的需要。首先內部審計不從事具體業務活動，獨立于業務管理部門，這使得它可以從全局出發、從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。其次由于內部審計處于企業的董事會、總經理和各職能部門之間的協調位置，內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節，內部審計人員可以參與企業的風險管理。最后內部審計部門獨立于管理部門，其風險評估的意見可以直接報送董事會，這會加大管理當局對內部審計部門意見的重視程度。

企業風險管理內部審計如何應用：

1.建立全員參與風險管理的模式。目前風險管理涉及到企業生產經營的各個環節和各個方面，風險管理質量的好壞直接影響企業戰略目標的實現，因此需要全體的、綜合的、全員層次的參與配合。在大中型企業中一般應建立三級的風險管理組織，即由企業高級管理層組成的風險控制委員會作為公司風險管理的最高決策機構;公司風險控制委員會領導下的內部審計及專職風險監管部門是中間環節；各業務部門和管理部門承擔一線的風險控制職能，部門負責人直接負責風險監控。內部審計部門通過常規審計及專項審計評估公司風險，對公司風險管理制度的設計及各業務部門執行風險控制制度的有效性進行定期的檢查，及時揭示和報告潛在風險，并提出防范風險措施的建議。

2.創新風險管理審計技術和方法，提高審計水平。風險管理審計是對傳統審計方式的突破和創新,是融風險管理、審計為一體的新興審計模式,是以對整個企業的風險進行評估與改善為最終目的的一種審計理念。因此風險管理的審計方法不能局限于財務審計的全部方法，要注重審計軟件的運用。風險管理審計方法中分析性程序占據非常重要的地位，審計軟件的使用在其中發揮著重要的作用。它可以直接對數據庫進行加工分析，依據軟件模式自行處理數據。采用審計軟件也能使統計抽樣的樣本更具代表性，審計抽樣風險可控，從而實現審計效果與效率的統一，全面提高內部審計質量。

3.加強學習，提高內部審計人員的綜合素質。風險管理作為內部審計一個新的涉及領域，風險管理工作的復雜性要求內部審計人員不僅要懂得財務會計及相關法律法規，熟練運用內部審計標準、程序和技術，還必須具備相應的風險管理素質和技能。內部審計人員素質的高低直接決定了風險管理工作的好壞。