《信息技術(shù)服務(wù) 治理 風(fēng)險治理》征求意見稿

ICS35.080

177

團體標(biāo)準(zhǔn)

T/CESAXXXX—2019

信息技術(shù)服務(wù)治理風(fēng)險治理

InformationTechnologyService-Governance-RiskGovernance

征求意見稿

（在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上）

2019--發(fā)布2019-XX-實施

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會發(fā)布

T/CESAXXXX-2019

前言

T/CESAXXXXX屬于GB/T34960《信息技術(shù)服務(wù)治理》總標(biāo)題下的一部分：

----第1部分（即GB/T34960.1-2017《信息技術(shù)服務(wù)治理第1部分：通用要求》）

----第2部分（即GB/T34960.2-2017《信息技術(shù)服務(wù)治理第2部分：實施指南》）

----第3部分（即GB/T34960.3-2017《信息技術(shù)服務(wù)治理第3部分：績效評價》）

----第4部分（即GB/T34960.4-2017《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》）

----第5部分（即GB/T34960.5-2018《信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范》）

----第6部分（即GB/T34960.6《信息技術(shù)服務(wù)治理第6部分：:風(fēng)險管理》）

----第7部分（即GB/T34960.7《信息技術(shù)服務(wù)治理第7部分：數(shù)據(jù)審計》）

----第8部分（即GB/T34960.8《信息技術(shù)服務(wù)治理第8部分：安全審計》）

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本部分由中國電子技術(shù)標(biāo)準(zhǔn)化研究院提出。

本標(biāo)準(zhǔn)起草單位：

本標(biāo)準(zhǔn)主要起草人：

IV

T/CESAXXXX-2019

信息技術(shù)服務(wù)治理風(fēng)險治理

1范圍

本標(biāo)準(zhǔn)給出了風(fēng)險管理總則、風(fēng)險治理框架、頂層設(shè)計、風(fēng)險治理環(huán)境、管理體系、風(fēng)險治理要素

及風(fēng)險治理過程等內(nèi)容。

a)本標(biāo)準(zhǔn)適用于組織治理主體實施IT頂層設(shè)計職能；

b)建立或完善組織的IT風(fēng)險管理體系；

c)明確組織IT風(fēng)險管理過程中的相關(guān)要求；

d)規(guī)范組織IT風(fēng)險管理業(yè)務(wù)的開展及相關(guān)平臺的建設(shè)；

e)第三方或其他相關(guān)機構(gòu)開展IT風(fēng)險管理咨詢業(yè)務(wù)的指導(dǎo)

各級各類信息化主管部門、監(jiān)管機構(gòu)等，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本標(biāo)準(zhǔn)對所管轄

各類組織的IT風(fēng)險管理提出要求，并進(jìn)行監(jiān)督....。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T34960.1信息技術(shù)服務(wù)治理第1部分：通用要求

3術(shù)語和定義

3.1

信息技術(shù)風(fēng)險治理riskgovernance

IT及其應(yīng)用過程中相關(guān)的全面風(fēng)險管控活動和績效的集合。

3.2

信息技術(shù)風(fēng)險管理riskmanagementofit

IT資源獲取、風(fēng)險管控、價值提升等活動的集合。

3.3

內(nèi)部控制體系Internalcontrolsystem

是為合理保證組織經(jīng)營活動的效益性、財務(wù)報告的可靠性和法律法規(guī)的遵循性，而自行檢查、制約

和調(diào)整內(nèi)部業(yè)務(wù)活動的自律系統(tǒng)。

3.4

信息技術(shù)內(nèi)部控制體系Internalcontrolsystemofit

5

T/CESAXXXX-2019

是為合理保證組織IT活動的效益性、信息系統(tǒng)的可靠性和法律法規(guī)的遵循性，而自行檢查、制約和

調(diào)整內(nèi)部IT活動的自律系統(tǒng)。

3.5

合規(guī)管理體系conformancesystem

是指由若干合規(guī)管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

3.6

信息技術(shù)合規(guī)管理體系conformancesystemofit

是指由若干IT合規(guī)管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

3.7

審計管理體系auditsystem

是指由若干審計管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

3.8

信息技術(shù)審計體系auditsystemofit

是指由若干IT審計管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

……

4風(fēng)險治理理總則

a)風(fēng)險治理與IT治理的關(guān)系

IT風(fēng)險治屬于IT治理的一部分。

依據(jù)GB/TXXXXX.1的規(guī)定：治理主體以組織章程、監(jiān)管職責(zé)、利益相關(guān)方期望、業(yè)務(wù)壓力和業(yè)務(wù)要

求為驅(qū)動力，建立評估、指導(dǎo)、監(jiān)督的治理過程并明確任務(wù)。治理主體應(yīng)通過IT戰(zhàn)略和方針，指導(dǎo)管理

者對IT及其應(yīng)用的管理體系進(jìn)行完善，并對IT相關(guān)的方案和規(guī)劃進(jìn)行評估、對IT應(yīng)用的績效和符合性進(jìn)

行監(jiān)督。組織的IT風(fēng)險治理應(yīng)在IT治理框架下進(jìn)行，并與IT治理保持一致。

b)風(fēng)險治理理原則

IT風(fēng)險管理原則包括：

a)決策層的最終責(zé)任；

b)成本與收益的平衡；

c)風(fēng)險管理文化；

d)全面性；

e)系統(tǒng)性；

f)動態(tài)性；

g)有效的溝通渠道。

c)風(fēng)險治理策略

6

T/CESAXXXX-2019

組織應(yīng)根據(jù)自身條件和外部環(huán)境，圍繞組織IT發(fā)展戰(zhàn)略，確定IT風(fēng)險偏好、IT風(fēng)險承受度、IT風(fēng)險

管理有效性標(biāo)準(zhǔn)，選擇風(fēng)險承擔(dān)、風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)移、風(fēng)險轉(zhuǎn)換、風(fēng)險對沖、風(fēng)險補償、風(fēng)險控制等

適合的風(fēng)險管理工具總體策略，并確定IT風(fēng)險管理所需人力和財力資源的配置原則。

d)風(fēng)險治理依據(jù)

IT風(fēng)險治理依據(jù)包括但不限于：

a)國家IT風(fēng)險相關(guān)法律、法規(guī)及標(biāo)準(zhǔn)；

b)行業(yè)IT風(fēng)險相關(guān)規(guī)范及標(biāo)準(zhǔn)；

c)地方IT風(fēng)險相關(guān)規(guī)范及標(biāo)準(zhǔn)；

d)組織內(nèi)部IT風(fēng)險相關(guān)規(guī)范及標(biāo)準(zhǔn)；

e)國際IT風(fēng)險相關(guān)標(biāo)準(zhǔn)；

f)國內(nèi)外IT風(fēng)險最佳實踐。

e)風(fēng)險管理技術(shù)

IT風(fēng)險管理技術(shù)包括但不限于：

a)風(fēng)險評估技術(shù)；

b)計算機輔助管理技術(shù)；

c)大數(shù)據(jù)技術(shù)；

……

f)風(fēng)險管理三道防線

IT風(fēng)險管理三道防線包括：

a)與應(yīng)用系統(tǒng)使用相關(guān)的職能部門、業(yè)務(wù)單位及IT部門為第一道防線業(yè)務(wù)部門；

b)風(fēng)險管理職能部門和決策機構(gòu)下設(shè)的風(fēng)險管理委員會為第二道防線

c)內(nèi)部審計部門和決策機構(gòu)下設(shè)的審計委員會為第三道防線

5風(fēng)險治理框架

風(fēng)險治理框架包含頂層設(shè)計、風(fēng)險治理環(huán)境、管理體系的治理、資源和基礎(chǔ)工作的治理和風(fēng)險治

理過程五大部分，見圖1.

7

T/CESAXXXX-2019

頂層設(shè)計

戰(zhàn)略組織架構(gòu)

規(guī)劃構(gòu)建設(shè)計

管理體系風(fēng)險治理要素

IITT研發(fā)

IITT應(yīng)用IITT支撐

風(fēng)險治理與運營

風(fēng)險管風(fēng)險管

風(fēng)險管

環(huán)境理理

理風(fēng)風(fēng)風(fēng)風(fēng)風(fēng)

險險險險險

管管管管數(shù)

理

IITT風(fēng)險IITT內(nèi)部IITT合規(guī)理理理理據(jù)

對

管理控制管理人流對平管

象

員程象臺理

內(nèi)外部

環(huán)境

IITT審計管理

風(fēng)險治理過程

促成

統(tǒng)籌和規(guī)劃

因素統(tǒng)籌和規(guī)劃

改進(jìn)和優(yōu)化構(gòu)建和運行

監(jiān)控和評價

圖1風(fēng)險治理框架

頂層設(shè)計包含與風(fēng)險治理相關(guān)的戰(zhàn)略規(guī)劃、組織構(gòu)建和架構(gòu)設(shè)計，是風(fēng)險治理實施的基礎(chǔ)。

風(fēng)險治理環(huán)境包含外部環(huán)境、內(nèi)部環(huán)境及促成因素，是風(fēng)險治理實施的基礎(chǔ)。

管理體系的治理包含應(yīng)用風(fēng)險管理體系、支撐風(fēng)險管理體系、研發(fā)與運營風(fēng)險管理體系、IT風(fēng)險管

理體系、IT內(nèi)部控制體系、IT合規(guī)管理體系和IT審計管理體系，是風(fēng)險治理實施的基礎(chǔ)。

資源與基礎(chǔ)工作的治理包含風(fēng)險管理人員、風(fēng)險管理對象、風(fēng)險管理流程、風(fēng)險管理平臺和風(fēng)險數(shù)

據(jù)管理，是風(fēng)險治理實施的基礎(chǔ)。

風(fēng)險治理實施過程包含統(tǒng)籌和規(guī)劃、構(gòu)建和運行、監(jiān)控和評價以及改進(jìn)和優(yōu)化，是風(fēng)險治理實施的

方法。

6頂層設(shè)計

a)戰(zhàn)略規(guī)劃

組織應(yīng)制定獨立的IT風(fēng)險管控中長期規(guī)劃。IT風(fēng)險管控戰(zhàn)略規(guī)劃應(yīng)保持與業(yè)務(wù)規(guī)劃、信息技術(shù)規(guī)劃

一致，并明確戰(zhàn)略規(guī)劃實施的策略，包括但不限于：

a)理解業(yè)務(wù)規(guī)劃和信息技術(shù)規(guī)劃，調(diào)研需求并評估IT風(fēng)險現(xiàn)狀、技術(shù)現(xiàn)狀、應(yīng)用現(xiàn)狀和環(huán)境；

b)制定IT風(fēng)險管控戰(zhàn)略規(guī)劃，包含但不限于目標(biāo)、原則、依據(jù)、任務(wù)、內(nèi)容、邊界、環(huán)境和藍(lán)

圖等；

c)指導(dǎo)IT風(fēng)險治理方案的建立，包含但不限于實施主體、責(zé)權(quán)利、技術(shù)方案、管控方案、實施

策略和實施路線等，并明確IT風(fēng)險管理體系和IT風(fēng)險資源與基礎(chǔ)工作；

d)明確風(fēng)險偏好、風(fēng)險容忍程度、符合性、績效和審計等要求，監(jiān)控和評價IT風(fēng)險治理的實施

并持續(xù)改進(jìn)。

……

b)組織構(gòu)建

8

T/CESAXXXX-2019

組織構(gòu)建應(yīng)聚焦IT風(fēng)險治理責(zé)任主體及責(zé)權(quán)利，通過完善組織機制，獲得利益相關(guān)方的理解和支持，

制定IT風(fēng)險管理的流程和制度，以支撐IT風(fēng)險治理的實施，包括但不限于：

a)建立支撐IT風(fēng)險戰(zhàn)略的組織機構(gòu)和組織機制，明確相關(guān)的實施原則和策略；

b)明確決策和實施機構(gòu)，設(shè)立崗位并明確角色，確保責(zé)權(quán)利一致；

c)建立相關(guān)的授權(quán)、決策和溝通機制，保證利益相關(guān)方理解、接受相應(yīng)的職責(zé)和權(quán)利；

d)實現(xiàn)決策、執(zhí)行、控制和監(jiān)督等職能，評估運行績效并持續(xù)改進(jìn)和優(yōu)化。

c)架構(gòu)設(shè)計

架構(gòu)設(shè)計應(yīng)關(guān)注技術(shù)架構(gòu)、應(yīng)用架構(gòu)和架構(gòu)管理體系，通過持續(xù)的評估、改進(jìn)和優(yōu)化，以支撐IT

風(fēng)險的管控，包括但不限于：

a)建立與戰(zhàn)略一致的IT風(fēng)險治理平臺架構(gòu)，明確技術(shù)方向、管理策略和支撐體系，以滿足IT總

體風(fēng)險與IT專項風(fēng)險的管控；

b)評價IT風(fēng)險治理平臺架構(gòu)設(shè)計的合理性和先進(jìn)性，監(jiān)督IT風(fēng)險治理平臺架構(gòu)的管理和應(yīng)用；

c)評估IT風(fēng)險治理平臺架構(gòu)的管理機制和有效性，并持續(xù)改進(jìn)和優(yōu)化。

7風(fēng)險治理環(huán)境

a)外部環(huán)境

組織應(yīng)分析國家、行業(yè)等的相關(guān)要求，規(guī)范IT風(fēng)險治理的實施，包括但不限于：

a)遵循法律法規(guī)、行業(yè)監(jiān)管要求，滿足IT及其應(yīng)用風(fēng)險管控的符合性要求；

b)識別并評估市場發(fā)展、競爭地位和技術(shù)變革等變化。

b)內(nèi)部環(huán)境

組織應(yīng)為IT風(fēng)險治理開展創(chuàng)造必要的環(huán)境，包括但不限于：

c)治理主體應(yīng)培養(yǎng)信息化下的風(fēng)險管理理念，轉(zhuǎn)變風(fēng)險管理思路；

d)規(guī)劃并滿足IT風(fēng)險治理對各類資源的需求，包括人員、經(jīng)費和基礎(chǔ)設(shè)施等；

e)建立IT風(fēng)險治理文化

f)明確治理主體、三道防線相關(guān)部門和機構(gòu)的IT風(fēng)險管理職責(zé)；

g)審查批準(zhǔn)IT風(fēng)險管理戰(zhàn)略，確保其與組織發(fā)展戰(zhàn)略、業(yè)務(wù)戰(zhàn)略相適應(yīng)；

h)建立與組織信息化規(guī)模相適應(yīng)的IT風(fēng)險管理機構(gòu)，予以授權(quán)并明確由其向治理主體報告；

i)指派具有專業(yè)勝任能力的人員擔(dān)任IT風(fēng)險管理機構(gòu)負(fù)責(zé)人；

……

c)促成因素

組織應(yīng)識別IT風(fēng)險治理的促成因素，保障風(fēng)險治理的實施，包括但不限于：

a)獲得決策機構(gòu)的授權(quán)和支持；

b)明確人員的專業(yè)技能及職業(yè)發(fā)展路徑，開展培訓(xùn)和能力提升；

c)關(guān)注技術(shù)發(fā)展趨勢和技術(shù)體系建設(shè)，開展技術(shù)研發(fā)和創(chuàng)新；

d)制定IT風(fēng)險治理制度和流程，并持續(xù)改進(jìn)和優(yōu)化；

e)營造IT風(fēng)險治理的創(chuàng)新文化，構(gòu)建IT全面風(fēng)險管理體系，并提供資源和基礎(chǔ)工作保障；

f)評估組織IT治理與管理的能力，并持續(xù)改進(jìn)。

9

T/CESAXXXX-2019

8管理體系

a)IT應(yīng)用風(fēng)險管理

組織應(yīng)對IT應(yīng)用進(jìn)行風(fēng)險管理，包括但不限于：

a)IT應(yīng)用風(fēng)險管理目標(biāo)和策略；

b)IT應(yīng)用風(fēng)險管理組織的建立；

c)IT應(yīng)用風(fēng)險管理制度；

d)IT應(yīng)用風(fēng)險管理計劃；

e)IT應(yīng)用風(fēng)險評估流程；

f)IT應(yīng)用風(fēng)險管理對象

g)IT應(yīng)用風(fēng)險培訓(xùn)與教育制度；

……

b)IT支撐風(fēng)險管理

組織應(yīng)根據(jù)財務(wù)、供應(yīng)、質(zhì)量和人力資源管理等職能管理部門在信息化中的作用，對IT支撐進(jìn)行風(fēng)

險管理，包括但不限于：

h)IT支撐風(fēng)險管理目標(biāo)和策略；

i)IT支撐風(fēng)險管理組織的建立；

j)IT支撐風(fēng)險管理制度；

k)IT支撐風(fēng)險管理計劃；

l)IT支撐風(fēng)險評估流程；

m)IT支撐風(fēng)險管理對象；

n)IT支撐風(fēng)險培訓(xùn)與教育制度；

……

c)IT研發(fā)與運營風(fēng)險管理

組織應(yīng)對IT研發(fā)與運營進(jìn)行風(fēng)險管理，包括但不限于：

o)IT研發(fā)與運營風(fēng)險管理目標(biāo)和策略；

p)IT研發(fā)與運營風(fēng)險管理組織的建立；

q)IT研發(fā)與運營風(fēng)險管理制度；

r)IT研發(fā)與運營風(fēng)險管理計劃；

s)IT研發(fā)與運營風(fēng)險評估流程；

t)IT研發(fā)與運營風(fēng)險管理對象

u)IT研發(fā)與運營風(fēng)險培訓(xùn)與教育制度；

……

d)IT風(fēng)險管理

組織應(yīng)將IT風(fēng)險管理納入總體風(fēng)險管理體系中，包括但不限于：

a）IT風(fēng)險偏好及風(fēng)險容忍程度；

b）IT風(fēng)險管理目標(biāo)和策略；

c）IT風(fēng)險管理原則；

d）IT風(fēng)險管理組織，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；

10

T/CESAXXXX-2019

e）IT風(fēng)險管理制度；

f）IT風(fēng)險管理流程；

……

e)IT內(nèi)部控制管理

組織應(yīng)將IT內(nèi)部控制納入總體內(nèi)部控制體系中，包括但不限于：

a)IT內(nèi)部控制目標(biāo)；

b)IT內(nèi)控崗位授權(quán)制度；

c)IT內(nèi)控批準(zhǔn)制度；

d)IT內(nèi)控責(zé)任制度；

e)IT內(nèi)控報告制度；

f)IT內(nèi)控審計檢查制度；

g)……

f)IT合規(guī)管理

組織應(yīng)將IT合規(guī)管理納入總體合規(guī)管理體系中，包括但不限于：

v)IT合規(guī)管理目標(biāo)和策略；

w)IT合規(guī)管理組織的建立；

x)IT合規(guī)管理政策；

y)IT合規(guī)風(fēng)險管理計劃；

z)IT合規(guī)風(fēng)險識別和管理流程；

aa)IT合規(guī)管理對象

bb)IT合規(guī)培訓(xùn)與教育制度；

……

g)IT審計管理

組織應(yīng)參考GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》將IT審計管理納入總體審計

管理體系中，包括但不限于：

a)IT審計環(huán)境；

b)IT審計戰(zhàn)略；

c)IT審計機構(gòu)；

d)IT審計規(guī)章制度；

e)IT審計人員；

f)IT審計流程；

g)IT審計業(yè)務(wù)；

h)IT審計報告等

9風(fēng)險治理要素

a)人員

組織的IT審計人員要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》，組織的IT風(fēng)

險治理與IT管理人員要求包括但不限于：

11

T/CESAXXXX-2019

a)職業(yè)道德，包括誠實、守信、正確履行職責(zé)及保守保密等。

b)知識、技能、資質(zhì)和經(jīng)驗，包括掌握與IT風(fēng)險治理、風(fēng)險管理相關(guān)的專業(yè)知識和技能、擁有

與所處管理或業(yè)務(wù)崗位相適應(yīng)的IT風(fēng)險治理或風(fēng)險管理職業(yè)資格及經(jīng)驗等；

c)專業(yè)勝任能力，包括具備相應(yīng)的IT風(fēng)險治理或風(fēng)險管理專業(yè)勝任能力、擁有與所處管理或業(yè)

務(wù)崗位相適應(yīng)的IT風(fēng)險治理或風(fēng)險管理職業(yè)資格、定期參加持續(xù)的職業(yè)教育和培訓(xùn)等；

a)利用外部專家服務(wù),包括對其專業(yè)資格、專業(yè)經(jīng)驗、獨立性、客觀性與專業(yè)勝任能力進(jìn)行評價，

對其服務(wù)結(jié)果進(jìn)行評價與利用，并與外部專家簽訂書面協(xié)議等。

b)對象

9.2.1總則

IT風(fēng)險管理對象包括IT總體風(fēng)險管理與IT專項風(fēng)險管理。IT總體風(fēng)險管理包括IT頂層設(shè)計風(fēng)險管

理、IT管理體系風(fēng)險管理、IT資源風(fēng)險管理及對組織內(nèi)部傳統(tǒng)風(fēng)險的影響。IT專項風(fēng)險管理包括敏態(tài)環(huán)

境下的風(fēng)險管理、穩(wěn)態(tài)環(huán)境下的風(fēng)險管理、新技術(shù)應(yīng)用風(fēng)險管理、網(wǎng)絡(luò)安全風(fēng)險管理、數(shù)字化風(fēng)險管理、

網(wǎng)絡(luò)化風(fēng)險管理及智能化風(fēng)險管理等。

9.2.2總體風(fēng)險管理

IT總體風(fēng)險管理是對組織IT控制目標(biāo)實現(xiàn)過程進(jìn)行的管控，是組織的常規(guī)風(fēng)險管理。組織應(yīng)圍繞

IT頂層設(shè)計、IT管理體系和IT資源等，開展總體風(fēng)險管理，至少應(yīng)：

a）評估IT總體風(fēng)險管理的現(xiàn)狀和能力，分析和評估IT總體風(fēng)險管理的成熟度；

b）指導(dǎo)IT總體風(fēng)險管理體系方案的實施，滿足IT總體風(fēng)險戰(zhàn)略和管理要求；

c）監(jiān)督IT總體風(fēng)險管理的績效和符合性，并持續(xù)改進(jìn)和優(yōu)化。

9.2.3專項風(fēng)險管理

除IT總體風(fēng)險管理外，組織應(yīng)根據(jù)外部要求及內(nèi)部特殊需要，設(shè)計IT專項風(fēng)險管理以滿足風(fēng)險管

理戰(zhàn)略要求。至少應(yīng)：

a）評估專項風(fēng)險管理的現(xiàn)狀和能力，分析和評估專項風(fēng)險管理的成熟度；

b）指導(dǎo)專項風(fēng)險管理體系方案的實施，滿足專項風(fēng)險戰(zhàn)略和管理要求；

c）監(jiān)督專項風(fēng)險管理的績效和符合性，并持續(xù)改進(jìn)和優(yōu)化。

c)流程

IT風(fēng)險管理流程是風(fēng)險管理人員開展風(fēng)險管理活動所采取的系列行動和步驟，包括：

a)風(fēng)險識別；

b)風(fēng)險分析；

c)風(fēng)險評價；

d)風(fēng)險應(yīng)對；

e)監(jiān)督和檢查；

f)記錄和報告。

d)平臺

風(fēng)險管理平臺是在風(fēng)險管理過程中，IT風(fēng)險三道防線相關(guān)部門或機構(gòu)充分利用信息技術(shù)管理和

支持完成相關(guān)風(fēng)險管理工作的信息系統(tǒng)，包括風(fēng)險管理平臺規(guī)劃、風(fēng)險管理平臺建設(shè)、風(fēng)險管理平臺運

行及IT風(fēng)險三道防線之間的系統(tǒng)聯(lián)動等：

12

T/CESAXXXX-2019

a)風(fēng)險管理平臺規(guī)劃，包括明確風(fēng)險管理平臺建設(shè)目標(biāo)、確保與組織業(yè)務(wù)戰(zhàn)略、信息化戰(zhàn)略保持

一致等；

b)風(fēng)險管理平臺建設(shè)，包括建設(shè)方式、立項、需求、設(shè)計、開發(fā)、測試、驗收及上線等管理；

c)風(fēng)險管理平臺應(yīng)用，包括組織架構(gòu)、制度與流程、模型管理及網(wǎng)絡(luò)安全管理等

d)風(fēng)險管理平臺運行，包括組織架構(gòu)、制度與流程及安全管理等。

e)數(shù)據(jù)

組織應(yīng)對風(fēng)險治理過程中的相關(guān)數(shù)據(jù)進(jìn)行管理，包括但不限于：

a)數(shù)據(jù)的獲取

b)數(shù)據(jù)的移交

c)數(shù)據(jù)的恢復(fù)

d)數(shù)據(jù)的存儲

e)數(shù)據(jù)的運用

f)數(shù)據(jù)的維護

g)數(shù)據(jù)的交易

h)數(shù)據(jù)的傳輸

i)數(shù)據(jù)的銷毀

……

10風(fēng)險治理過程

a)統(tǒng)籌和規(guī)劃

明確IT風(fēng)險治理目標(biāo)和任務(wù)，營造必要的IT風(fēng)險治理環(huán)境，做好IT風(fēng)險治理實施的準(zhǔn)備，包括：

a)評估IT風(fēng)險治理的資源、環(huán)境和人員能力等現(xiàn)狀，分析與法律法規(guī)、行業(yè)監(jiān)管、業(yè)務(wù)發(fā)展以

及利益相關(guān)方需求等方面的差距，為IT風(fēng)險治理方案的制定提供依據(jù)；

b)指導(dǎo)IT風(fēng)險治理方案的確定，包括組織機構(gòu)和責(zé)權(quán)利的規(guī)劃、治理范圍和任務(wù)的明確以及實

施策略和流程的設(shè)計；

c)監(jiān)督IT風(fēng)險治理的統(tǒng)籌和規(guī)劃過程，保證現(xiàn)狀評估的客觀，組織機構(gòu)設(shè)計的合理以及IT風(fēng)險

治理方案的可行。

b)構(gòu)建和運行

構(gòu)建IT風(fēng)險治理實施的機制和路徑，確保IT風(fēng)險治理實施的有序運行，包括：

a)評估IT風(fēng)險治理方案與現(xiàn)有資源、環(huán)境和能力的匹配程度，為IT風(fēng)險治理的實施提供指導(dǎo)；

b)制定IT風(fēng)險治理實施的方案，包括組織機構(gòu)和團隊的構(gòu)建、責(zé)權(quán)利的劃分、實施路線圖的制

定、實施方法的選擇以及管理制度的建立和運行等；

c)監(jiān)督IT風(fēng)險治理的構(gòu)建和運行過程，保證IT風(fēng)險治理實施過程與方案的符合、治理資源的可

用和治理活動的可持續(xù)。

c)監(jiān)控和評價

監(jiān)控IT風(fēng)險治理的過程，評價IT風(fēng)險治理的績效、風(fēng)險與合規(guī)，保障IT風(fēng)險治理目標(biāo)的實現(xiàn)，包括：

a)構(gòu)建必要的績效評估體系、內(nèi)控體系或?qū)徲嬻w系，制定評價機制、制度和流程；

b)評估IT風(fēng)險治理成效與目標(biāo)的符合性，必要時可聘請外部機構(gòu)進(jìn)行評估，為IT風(fēng)險治理方案

13

T/CESAXXXX-2019

的改進(jìn)和優(yōu)化提供參考；

c)定期評價IT風(fēng)險治理實施的有效性、合規(guī)性，確保IT及其應(yīng)用符合法律法規(guī)和行業(yè)監(jiān)督要求。

d)改進(jìn)和優(yōu)化

改進(jìn)IT風(fēng)險治理方案，優(yōu)化IT風(fēng)險治理實施策略、方法和流程，促進(jìn)IT風(fēng)險治理體系的完善，包括：

a)持續(xù)評估IT風(fēng)險治理相關(guān)的資源、環(huán)境、能力、實施和績效等，支撐IT風(fēng)險治理體系的建設(shè)；

b)指導(dǎo)IT風(fēng)險治理方案的改進(jìn)，優(yōu)化IT風(fēng)險治理的實施策略、方法、制度和流程，促進(jìn)IT風(fēng)

險管理體系、資源和基礎(chǔ)工作的完善；

c)監(jiān)督IT風(fēng)險治理的改進(jìn)和優(yōu)化過程，為IT及其應(yīng)用風(fēng)險管控和價值的實現(xiàn)提供保障。

附錄A（規(guī)范性附錄）總體風(fēng)險管理

附錄B（規(guī)范性附錄）專項風(fēng)險管理

參考文獻(xiàn)

14

T/CESAXXXX-2019

附錄A

（規(guī)范性附錄）

總體風(fēng)險管理

A.1IT頂層設(shè)計的風(fēng)險管理

組織應(yīng)明確IT頂層設(shè)計的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，至少應(yīng)：

a)明確IT戰(zhàn)略風(fēng)險管理的內(nèi)涵和范圍，制定IT戰(zhàn)略風(fēng)險管理規(guī)范；

b)明確IT組織風(fēng)險管理的內(nèi)涵和范圍，制定IT組織風(fēng)險管理規(guī)范；

c)明確IT架構(gòu)風(fēng)險管理的內(nèi)涵和范圍，制定IT架構(gòu)風(fēng)險管理規(guī)范。

A.2IT管理體系的風(fēng)險管理

組織應(yīng)明確IT管理體系的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，包括但不限于：

a)明確業(yè)務(wù)連續(xù)性風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定業(yè)務(wù)連續(xù)性風(fēng)險管理措施；

b)明確質(zhì)量管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定質(zhì)量管理風(fēng)險管控措施；

c)明確項目管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定項目管理風(fēng)險管控措施；

d)明確投資管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定投資管理風(fēng)險管控措施；

e)明確服務(wù)管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定項目管理風(fēng)險管控措施；

f)明確信息安全管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定信息安全管理風(fēng)險管控措施；

g)明確網(wǎng)絡(luò)安全管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定網(wǎng)絡(luò)安全管理風(fēng)險管控措施；

h)明確供方管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定供方管理風(fēng)險管控措施；

i)明確資產(chǎn)管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定資產(chǎn)管理風(fēng)險管控措施；

j)明確其他管理的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定其他管理風(fēng)險管控措施；

A.3IT資源的風(fēng)險管理

組織應(yīng)明確IT資源的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，包括：

a)明確基礎(chǔ)設(shè)施的的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定基礎(chǔ)設(shè)施風(fēng)險管控措施；

b)應(yīng)用系統(tǒng)的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定應(yīng)用系統(tǒng)風(fēng)險管控措施；

c)數(shù)據(jù)的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，制定數(shù)據(jù)風(fēng)險管控措施。

A.4IT對組織內(nèi)部傳統(tǒng)風(fēng)險的影響

a)組織戰(zhàn)略的風(fēng)險，包括戰(zhàn)略愿景、目標(biāo)、原則、依據(jù)、任務(wù)、內(nèi)容、邊界、環(huán)境和藍(lán)圖等方面

未考慮或?qū)T支撐、引領(lǐng)作用考慮不足而引發(fā)的風(fēng)險

b)運營風(fēng)險方面，包括運營目標(biāo)、方針、策略、組織管理、制度、流程、活動等方面未考慮或?qū)?/p>

IT支撐、引領(lǐng)作用考慮不足而引發(fā)的風(fēng)險

c)財務(wù)風(fēng)險方面，包括財務(wù)目標(biāo)、方針、策略、組織管理、制度、流程、活動等方面未考慮或?qū)?/p>

IT支撐、引領(lǐng)作用考慮不足而引發(fā)的風(fēng)險未考慮或較少IT而引發(fā)的風(fēng)險

d)市場風(fēng)險方面，包括市場目標(biāo)、方針、策略、組織管理、制度、流程、活動等方面未考慮或?qū)?/p>

IT支撐、引領(lǐng)作用考慮不足而引發(fā)的風(fēng)險

e)法律風(fēng)險方面，包括包括目標(biāo)、方針、策略、組織管理、制度、流程、活動等未考慮或?qū)T支

撐、引領(lǐng)作用考慮不足而引發(fā)的風(fēng)險

15

T/CESAXXXX-2019

附錄B

（規(guī)范性附錄）

專項風(fēng)險管理

B.1人員風(fēng)險管理（參考28827.1-2012第）

組織應(yīng)對IT相關(guān)人員的風(fēng)險進(jìn)行管理，包括但不限于：

a)IT相關(guān)人員的規(guī)模與能力應(yīng)與組織的業(yè)務(wù)戰(zhàn)略不匹配的風(fēng)險

b)IT應(yīng)用、支撐、研發(fā)與運營、風(fēng)險、內(nèi)部控制、合規(guī)及審計管理人員統(tǒng)籌規(guī)劃的風(fēng)險

c)投入資金預(yù)算規(guī)劃及管理的風(fēng)險

d)IT相關(guān)人員管理制度、流程制定與執(zhí)行的風(fēng)險

e)IT相關(guān)人員能力管理的風(fēng)險（知識、技能、經(jīng)驗）

f)IT相關(guān)人員的培訓(xùn)教育與儲備管理的風(fēng)險

g)IT相關(guān)人員的績效管理風(fēng)險

h)IT相關(guān)人員風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

B.2資源類風(fēng)險管理

組織應(yīng)對與IT相關(guān)的資源風(fēng)險進(jìn)行管理，包括但不限于：

a)資源范圍管理的風(fēng)險

b)資源利用發(fā)展規(guī)劃的制定與實施風(fēng)險

c)資源管理組織建設(shè)的風(fēng)險

d)投入資金預(yù)算規(guī)劃及管理的風(fēng)險

e)資源管理制度、流程制定與執(zhí)行的風(fēng)險

f)資源生存周期管理的風(fēng)險

g)資源風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

B.3技術(shù)類風(fēng)險管理

技術(shù)類風(fēng)險管理的范圍包括但不限于：

a)技術(shù)管理目標(biāo)、方針和策略制定與實施的風(fēng)險；

b)技術(shù)管理組織建設(shè)的風(fēng)險；

c）技術(shù)戰(zhàn)略制定與實施的風(fēng)險；

d)技術(shù)管理制度、流程制定與執(zhí)行的風(fēng)險；

e)投入資金預(yù)算規(guī)劃及管理的風(fēng)險

f)創(chuàng)新技術(shù)應(yīng)用的風(fēng)險，包括引入、使用、更新等的風(fēng)險

g)大數(shù)據(jù)技術(shù)應(yīng)用的風(fēng)險

h)云計算技術(shù)應(yīng)用的風(fēng)險

i)人工智能技術(shù)應(yīng)用的風(fēng)險

j)區(qū)塊鏈技術(shù)應(yīng)用的風(fēng)險

k)邊緣計算技術(shù)應(yīng)用的風(fēng)險

l)通信與物聯(lián)技術(shù)應(yīng)用的風(fēng)險

m)開源技術(shù)應(yīng)用的風(fēng)險

n)技術(shù)風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

B.4過程類風(fēng)險管理

16

T/CESAXXXX-2019

B.4.1敏態(tài)技術(shù)環(huán)境下的風(fēng)險管理

組織應(yīng)明確敏態(tài)技術(shù)環(huán)境下的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，至少應(yīng)：

a)明確敏態(tài)環(huán)境下IT戰(zhàn)略風(fēng)險管理的內(nèi)涵和范圍，制定敏態(tài)環(huán)境下IT戰(zhàn)略風(fēng)險管理規(guī)范；

b)明確敏態(tài)環(huán)境下IT組織風(fēng)險管理的內(nèi)涵和范圍，制定敏態(tài)環(huán)境下IT組織風(fēng)險管理規(guī)范；

….,,

B.4.2穩(wěn)態(tài)環(huán)境下的風(fēng)險管理

組織應(yīng)明確穩(wěn)態(tài)環(huán)境下的風(fēng)險管理目標(biāo)、內(nèi)涵和范圍，至少應(yīng)：

a)明確穩(wěn)態(tài)環(huán)境下IT戰(zhàn)略風(fēng)險管理的內(nèi)涵和范圍，制定穩(wěn)態(tài)環(huán)境下IT戰(zhàn)略風(fēng)險管理規(guī)范；

b)明確穩(wěn)態(tài)環(huán)境下IT組織風(fēng)險管理的內(nèi)涵和范圍，制定穩(wěn)態(tài)環(huán)境下IT組織風(fēng)險管理規(guī)范；

……

B.5管理類風(fēng)險管理

B5.1信息系統(tǒng)生命周期風(fēng)險管理

信息系統(tǒng)生命周期風(fēng)險管理是指對系統(tǒng)建設(shè)、運營、使用、消亡等整個過程的風(fēng)險進(jìn)行管理，包括

但不限于：

a)信息系統(tǒng)生命周期管理目標(biāo)、方針和策略制定與實施的風(fēng)險

b)信息系統(tǒng)生命周期管理組織建設(shè)的風(fēng)險；

c）信息系統(tǒng)生命周期管理制度、流制定與執(zhí)行的風(fēng)險；

e)信息系統(tǒng)應(yīng)用管理的風(fēng)險

f)信息系統(tǒng)研發(fā)管理的風(fēng)險

g)信息系統(tǒng)運營管理的風(fēng)險

h)信息系統(tǒng)研發(fā)運營一體化的風(fēng)險

g)信息系統(tǒng)生命周期風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

B.5.2安全類風(fēng)險管理

安全類風(fēng)險管理是指對安全管理過程中可能存在的風(fēng)險進(jìn)行管理，包括但不限于：

a)安全類管理目標(biāo)、方針和策略制定與實施的風(fēng)險；

b)安全類管理組織建設(shè)的風(fēng)險；

c）安全類戰(zhàn)略制定與實施的風(fēng)險；

d)安全類管理制度、流程制定與執(zhí)行的風(fēng)險；

e)網(wǎng)絡(luò)安全風(fēng)險

f)個人信息保護風(fēng)險

g)信息安全風(fēng)險

h)數(shù)據(jù)安全風(fēng)險

i)供方安全風(fēng)險

j)云計算技術(shù)應(yīng)用安全風(fēng)險

k)信息系統(tǒng)生命周期安全風(fēng)險

l)大數(shù)據(jù)技術(shù)應(yīng)用安全風(fēng)險

m)人工智能技術(shù)應(yīng)用安全風(fēng)險

m)終端安全風(fēng)險

o)供應(yīng)鏈安全風(fēng)險

p)互聯(lián)網(wǎng)應(yīng)用安全風(fēng)險

q)區(qū)塊鏈技術(shù)應(yīng)用安全風(fēng)險

r)（移動）互聯(lián)網(wǎng)應(yīng)用安全風(fēng)險

17

T/CESAXXXX-2019

s)通信與物聯(lián)技術(shù)應(yīng)用安全風(fēng)險

t)開源軟件應(yīng)用安全風(fēng)險

u)工業(yè)控制系統(tǒng)安全風(fēng)險

v)邊緣計算技術(shù)應(yīng)用安全風(fēng)險

w)安全風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

B.5.3供方風(fēng)險管理

供方風(fēng)險管理是指對供方管理過程中可能存在的各種風(fēng)險進(jìn)行管理，包括但不限于：

a)供方管理目標(biāo)、方針和策略制定與實施的風(fēng)險；

b)供方管理組織建設(shè)的風(fēng)險；

c)供方管理制度、流程制定與執(zhí)行的風(fēng)險；

d)組織的商業(yè)秘密、知識產(chǎn)權(quán)及個人隱私保護等管理不規(guī)范；

e)供應(yīng)鏈的風(fēng)險；

f)供方管理過程中的風(fēng)險

g)供方風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

B.5.4數(shù)據(jù)類風(fēng)險管理

數(shù)據(jù)類風(fēng)險管理是指對數(shù)據(jù)管理過程中可能存在的風(fēng)險進(jìn)行管理，包括但不限于：

a)數(shù)據(jù)管理目標(biāo)、方針和策略制定與實施的風(fēng)險；

b)數(shù)據(jù)管理組織建設(shè)的風(fēng)險；

c)數(shù)據(jù)管理制度、流程制定與執(zhí)行的風(fēng)險；

d)數(shù)據(jù)庫層面數(shù)據(jù)管理的風(fēng)險

e)外部數(shù)據(jù)管理的風(fēng)險

f)數(shù)據(jù)應(yīng)用管理的風(fēng)險

g)數(shù)據(jù)安全管理的風(fēng)險

h)云數(shù)據(jù)管理的風(fēng)險

i)數(shù)據(jù)合規(guī)管理的風(fēng)險

j)數(shù)據(jù)績效管理的風(fēng)險

k)數(shù)據(jù)質(zhì)量管理的風(fēng)險

l)數(shù)據(jù)資產(chǎn)管理的風(fēng)險

m)數(shù)據(jù)風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

B.5.5信息技術(shù)合規(guī)風(fēng)險管理

信息技術(shù)風(fēng)險管理的范圍包括但不限于：

a)IT合規(guī)管理目標(biāo)、方針和策略制定與實施的風(fēng)險；

b)IT合規(guī)管理組織建設(shè)的風(fēng)險；

c)IT合規(guī)管理制度、流程制定與執(zhí)行的風(fēng)險

d)IT應(yīng)用合規(guī)的風(fēng)險

e)IT支撐合規(guī)的風(fēng)險

f)IT研發(fā)與運營合規(guī)的風(fēng)險

g)IT合規(guī)風(fēng)險評估與審計機制建立與實施的風(fēng)險

……

18

T/CESAXXXX-2019

參考文獻(xiàn)

19

T/CESAXXXX-2019

目次

目次.................................................................................II

前言.............................................................................IV

信息技術(shù)服務(wù)治理風(fēng)險治理..........................................................5

1范圍................................................................................5

2規(guī)范性引用文件......................................................................5

3術(shù)語和定義..........................................................................5

4風(fēng)險治理理總則......................................................................6

a)風(fēng)險治理與IT治理的關(guān)系...........................................................6

b)風(fēng)險治理理原則....................................................................6

c)風(fēng)險治理策略......................................................................6

d)風(fēng)險治理依據(jù)......................................................................7

e)風(fēng)險管理技術(shù)......................................................................7

f)風(fēng)險管理三道防線..................................................................7

5風(fēng)險治理框架........................................................................7

6頂層設(shè)計............................................................................8

a)戰(zhàn)略規(guī)劃..........................................................................8

b)組織構(gòu)建..........................................................................8

c)架構(gòu)設(shè)計..........................................................................9

7風(fēng)險治理環(huán)境........................................................................9

a)外部環(huán)境..........................................................................9

b)內(nèi)部環(huán)境........................................................................9

c)促成因素..........................................................................9

8管理體系...........................................................................10

a)IT應(yīng)用風(fēng)險管理..................................................................10

b)IT支撐風(fēng)險管理..................................................................10

c)IT研發(fā)與運營風(fēng)險管理............................................................10

d)IT風(fēng)險管理......................................................................10

e)IT內(nèi)部控制管理..................................................................11

f)IT合規(guī)管理......................................................................11

g)IT審計管理......................................................................11

9風(fēng)險治理要素.......................................................................11

a)人員.............................................................................11

b)對象.............................................................................12

c)流程.............................................................................12

d)平臺.............................................................................12

e)數(shù)據(jù).............................................................................13

10風(fēng)險治理過程......................................................................13

II

T/CESAXXXX-2019

a)統(tǒng)籌和規(guī)劃......................................................................13

b)構(gòu)建和運行......................................................................13

c)監(jiān)控和評價......................................................................13

d)改進(jìn)和優(yōu)化......................................................................14

附錄A（規(guī)范性附錄）總體風(fēng)險管理.....................................................14

附錄B（規(guī)范性附錄）專項風(fēng)險管理....................................................14

參考文獻(xiàn)............................................................................14

III

T/CESAXXXX-2019

信息技術(shù)服務(wù)治理風(fēng)險治理

1范圍

本標(biāo)準(zhǔn)給出了風(fēng)險管理總則、風(fēng)險治理框架、頂層設(shè)計、風(fēng)險治理環(huán)境、管理體系、風(fēng)險治理要素

及風(fēng)險治理過程等內(nèi)容。

a)本標(biāo)準(zhǔn)適用于組織治理主體實施IT頂層設(shè)計職能；

b)建立或完善組織的IT風(fēng)險管理體系；

c)明確組織IT風(fēng)險管理過程中的相關(guān)要求；

d)規(guī)范組織IT風(fēng)險管理業(yè)務(wù)的開展及相關(guān)平臺的建設(shè)；

e)第三方或其他相關(guān)機構(gòu)開展IT風(fēng)險管理咨詢業(yè)務(wù)的指導(dǎo)

各級各類信息化主管部門、監(jiān)管機構(gòu)等，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本標(biāo)準(zhǔn)對所管轄

各類組織的IT風(fēng)險管理提出要求，并進(jìn)行監(jiān)督....。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T34960.1信息技術(shù)服務(wù)治理第1部分：通用要求

3術(shù)語和定義

3.1

信息技術(shù)風(fēng)險治理riskgovernance

IT及其應(yīng)用過程中相關(guān)的全面風(fēng)險管控活動和績效的集合。

3.2

信息技術(shù)風(fēng)險管理riskmanagementofit

IT資源獲取、風(fēng)險管控、價值提升等活動的集合。

3.3

內(nèi)部控制體系Internalcontrolsystem

是為合理保證組織經(jīng)營活動的效益性、財務(wù)報告的可靠性和法律法規(guī)的遵循性，而自行檢查、制約

和調(diào)整內(nèi)部業(yè)務(wù)活動的自律系統(tǒng)。

3.4

信息技術(shù)內(nèi)部控制體系Internalcontrolsystemofit

5

T/CESAXXXX-2019

是為合理保證組織IT活動的效益性、信息系統(tǒng)的可靠性和法律法規(guī)的遵循性，而自行檢查、制約和

調(diào)整內(nèi)部IT活動的自律系統(tǒng)。

3.5

合規(guī)管理體系conformancesystem

是指由若干合規(guī)管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

3.6

信息技術(shù)合規(guī)管理體系conformancesystemofit

是指由若干IT合規(guī)管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

3.7

審計管理體系auditsystem

是指由若干審計管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

3.8

信息技術(shù)審計體系auditsystemofit

是指由若干IT審計管理要素相互聯(lián)系而構(gòu)成的一個有機整體。

……

4風(fēng)險治理理總則

a)風(fēng)險治理與IT治理的關(guān)系

IT風(fēng)險治屬于IT治理的一部分。

依據(jù)GB/TXXXXX.1的規(guī)定：治理主體以組織章程、監(jiān)管職責(zé)、利益相關(guān)方期望、業(yè)務(wù)壓力和業(yè)務(wù)要

求為驅(qū)動力，建立評估、指導(dǎo)、監(jiān)督的治理過程并明確任務(wù)。治理主體應(yīng)通過IT戰(zhàn)略和方針，指導(dǎo)管理

者對IT及其應(yīng)用的管理體系進(jìn)行完善，并對IT相關(guān)的方案和規(guī)劃進(jìn)行評估、對IT應(yīng)用的績效和符合性進(jìn)

行監(jiān)督。組織的IT風(fēng)險治理應(yīng)在IT治理框架下進(jìn)行，并與IT治理保持一致。

b)風(fēng)險治理理原則

IT風(fēng)險管理原則包括：

a)決策層的最終責(zé)任；

b)成本與收益的平衡；

c)風(fēng)險管理文化；

d)全面性；

e)系統(tǒng)性；

f)動態(tài)性；

g)有效的溝通渠道。

c)風(fēng)險治理策略

6

T/CESAXXXX-2019

組織應(yīng)根據(jù)自身條件和外部環(huán)境，圍繞組織IT發(fā)展戰(zhàn)略，確定IT風(fēng)險偏好、IT風(fēng)險承受度、IT風(fēng)險

管理有效性標(biāo)準(zhǔn)，選擇風(fēng)險承擔(dān)、風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)移、風(fēng)險轉(zhuǎn)換、風(fēng)險對沖、風(fēng)險補償、風(fēng)險控制等

適合的風(fēng)險管理工具總體策略，并確定IT風(fēng)險管理所需人力和財力資源的配置原則。

d)風(fēng)險治理依據(jù)

IT風(fēng)險治理依據(jù)包括但不限于：

a)國家IT風(fēng)險相關(guān)法律、法規(guī)及標(biāo)準(zhǔn)；

b)行業(yè)IT風(fēng)險相關(guān)規(guī)范及標(biāo)準(zhǔn)；

c)地方IT風(fēng)險相關(guān)規(guī)范及標(biāo)準(zhǔn)；

d)組織內(nèi)部IT風(fēng)險相關(guān)規(guī)范及標(biāo)準(zhǔn)；

e)國際IT風(fēng)險相關(guān)標(biāo)準(zhǔn)；

f)國內(nèi)外IT風(fēng)險最佳實踐。

e)風(fēng)險管理技術(shù)

IT風(fēng)險管理技術(shù)包括但不限于：

a)風(fēng)險評估技術(shù)；

b)計算機輔助管理技術(shù)；

c)大數(shù)據(jù)技術(shù)；

……

f)風(fēng)險管理三道防線

IT風(fēng)險管理三道防線包括：

a)與應(yīng)用系統(tǒng)使用相關(guān)的職能部門、業(yè)務(wù)單位及IT部門為第一道防線業(yè)務(wù)部門；

b)風(fēng)險管理職能部門和決策機構(gòu)下設(shè)的風(fēng)險管理委員會為第二道防線

c)內(nèi)部審計部門和決策機構(gòu)下設(shè)的審計委員會為第三道防線

5風(fēng)險治理框架

風(fēng)險治理框架包含頂層設(shè)計、風(fēng)險治理環(huán)境、管理體系的治理、資源和基礎(chǔ)工作的治理和風(fēng)險治

理過程五大部分，見圖1.