系统风险管理工作计划范文

前言：我们精心挑选了数篇优质系统风险管理工作计划文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

提高办公自动化的整体应用水平，为配合风险管理计划的执行更好地发挥计算机在公司经营管理中的作用。加强对计算机软硬件、网络及公司信息的平安管理，特制定了计算机及网络管理方法。

二、年度风险管理工作计划

根据计算机及网络管理办法加强对信息安全和信息系统的风险管理.

（一）信息安全风险管理：

计算机数据和信息包括公司计算机和移动存储设备里内存储的销售数据、活动方案、财务报表、员工资料、客户资料、生产技术、各种合同和档案资料等。

一、各种数据及信息严格控制在公司内部，任何人不得泄露公司的数据及信息；

二、涉及机密的资料处理按公司的保密规定执行。严禁将存有涉及公司经营管理、销售合同等信息的移动存储设备带离公司，

三、公司计算机里的保密资料文件夹不提供共享。

四、对个人使用的公司计算机中的重要数据文件，员工定期备份到移动存储设备；电脑管理员负责将服务器上的oa数据库及其他数据库每月底备份一次，每半年一次将备份数据刻录成光盘，并做好记录。

五、加强对系统服务器的安全管理，及时升级更新各系统。

（二）信息系统风险管理：

从信息处理的过程来看，一个信息系统模型大致包括几个要素：信息数据、输入、数据处理/信息处理、输出、过程控制和结果反馈。管理信息系统是特定的信息系统，是信息系统在管理中的应用。管理信息系统中包括管理数据处理系统，决策支持系统。it在信息系统风险管理策略与解决方案主要表现在软、硬件两个方面。

一、计算机在使用中发生故障或困难，使用者作简易处理仍不能解决的，由电脑管理员负责维护、维修；

二、计算机维修维护过程中，首先确保对公司资料和个人资料进行拷贝并且妥善保管，防止丢失或者失效。

三、计算机操作人员必须经过培训或具有一定操作经验，未经培训或无操作经验者一律不准使用公司计算机。

四、计算机的使用要严格按照有关操作要求进行，要做到人走停机断电.

五、严禁在计算机旁存放易燃品、易爆品、腐蚀品和强磁性物品，严禁在计算机键盘附近放置水杯、食物.

六、定期对使用中的软件进行软件更新检查，及时升级，保持其可用性；

七、定期对系统垃圾、磁盘碎片等进行清理、整理和维护工作。

八、严禁随意复制他人软件及使用来历不明的光盘、闪存和其他移动存储设备，以防感染病Du；。

九、严禁安装各种盗版软件，防止盗版软件留下软件后门造成的信息泄露。

十、严禁擅自修改系统软件和应用软件的设置（如ip地址、浏览器的相关配置、oa的参数设置、杀Du软件的设置、操作系统的参数设置等)。

十一、如工作需要，需对计算机的软件设置进行改动的，应按程序申请同意后，由计算机管理员实施加强以上管理不断完善和改进。

第2篇

关键词：风险管理;电力企业;信息系统;运维风险

中图分类号：F426 文献标识码：A 文章编号：1006-8937（2016）26-0020-02

伴随着我国电力企业系统的逐步完善，它渐渐进入了建设为辅、应用为主的信息化发展趋势。我国如今的电力企业信息化主要特征是开发业务系统、外包商承担运维等。对于电力企业的信息系统运维方面而言，特别是外包商所承担的相关应用系统处理不当时，将严重阻碍业务的正常实施。因此，必须对科学合理的信息系统运维管理体制高度重视。

1 信息系统的运维风险管理体制

1.1 运维风险管理体制内容

构建信息系统运维风险管理体制时，必须结合其管理原则，先进行需求设计，这样可以逐步建立起一系列关于信息系统风险量化测评理念;然后依据风险管理人员的有关职责，进一步进行“信息系统风险量化测评开展”;最后还必须定期对目前的信息系统风险管理体制的实际实施过程与结论进行“考量”，由于信息系统管理的有关环境一直在不断变化，所以必须逐渐改善信息系统风险管理体制，使其能够长期维持管理体制的可操作性。

在信息系统运维风险管理体制当中，相关风险分析与测评以及应对风险和进行资源分配是该体系中的核心部分，它覆盖了账号密码、数据管理、系统升级、运用咨询、权限管理、分配管理等日常生活中的运维工作，既要保证对各种事故进行预先控制，使其顺利实施，又要尽最大可能性使其根除不安全行为，对所存在的风险点与风险源进行管控，并且能够积极应对风险、合理分配资源、科学规划工作计划。

1.2 运维风险管理体制特征

第一，重视风险控制，突出操作前的风险分析与控制;第二，重视工作的科学性、合理性、有效性以及计划性，强调闭环管理的原则;第三，要求管理工作必须做到具有系统性，管理过程必须规范化;第四，要求能够进行长期的改善，不断提升系统运维的绩效;第五，强调风险管理体制的专业化，对管理进行不断创新。

2 合理规划与实施供电局信息中心的运维风险管理 体制

2.1 运维风险管理体制概述

随着近年来信息化建设的高速发展，供电局逐步建立起了能够覆盖资金流、物流、信息流等业务系统，它为公司进行科学领导以及生产经营管理模式的优化，提供了坚实的基础，进而保证了系统能够安全可靠、持续高效的进行信息化工作。供电局信息中心长期以来一直承担着对业务系统进行日常运行与维护的重任。它的正式员工人数通常少于20人，但是因为管理机制的相关原因，使得日常维护时，必须拥有大量的外包商，而供电局的正式人员，通常担任项目的管理经理。伴随着我国信息系统运行与维护以外包形式进行的逐步深入，在运维管理和日常工作方面，很多系统性问题时常发生。

例如：第一，业务部门没有对信息化的日常需求进行整体构思与科学规划，使其容易发生大量突发变更的情况，进而使业务需求与配置资源变的非常艰难。第二，外包时相关实施人员时常变动，这对于知识积累产生了很大障碍，很难确保运维服务的质量。第三，对运维工作没有进行科学合理、切实有效的管理，使其很难对运维资源进行合理有效的评估与配置。第四，运行与维护时常变更所带来的一系列操作分析，没有能够及时进行量化测评。

总体而言，供电局已经实施的运维风险管理体制运维项目，可以达到以下目标：第一，对业务部门信息系统的业务需求必须进行长期管理与引领;第二，必须对业务需求进行风险评估，这样可以构建一个具有完整性的生态环境;第三，对于资源需求进行预测并加以强化，这样可以有效提高信息系统的运维服务水平;第四，逐步建立与业务需求的常态化体制。

2.2 风险管理的相关原则

2.2.1 风险管理的严谨性

为了能够使风险管理体制持续稳定的运行，必须利用科学系统的方法管理分析，一旦健全了信息系统管理体制时，必须坚决的使用定量与定性、理论与实践、历史与未来等相互结合的方式，进而找出具体的模型与方法，保证有效的实施风险管控，同时能对高层的决策提供理论基础和一定程度的帮助。

2.2.2 风险管理的兼容性

企业要想生存与发展必须具有一定程度的管控习惯与管控模式，但是风险管控必须要求企业具有战略方向和经营目标。在日常管理过程当中必须将风险管控自身融入到企业当中，将它当作企业管理的重要组成成分，因而在信息系统的风险体制当中，必须取其精华、弥补缺陷，利用最小的控制进行重大风险的管控。

2.2.3 风险管理的一致性

作为企业管理的重要组成部分，风险管理必须制度化、流程化使它能够彻底的落实到企业业务与管理流程中的每一个阶段，同时还必须保持信息系统运维方面开展时，长期保持精确、完整、一致，这样可以更加方便的找出企业在信息系统运维风险管控方面的缺陷，从而进行进一步完善。

2.2.4 风险管理的可操作性

俗话说“实践才是检验真理的唯一标准”，信息系统风险管理体制除了具有一套标准的管理条款以及使用手册之外，还必须要求对这些管理活动进行具体的操作实践，使其切实有效。所以，信息系统风险管理体制当中，要求依据运维人员的基本能力进行设计，从而达到事前预防，这样可以使得风险能够得到实时监控，并尽可能的减小风险所带来的损失。

2.3 信息系统风险量化测评方式

根据目前我国供电局信息系统运维管理方面的具体特征和习惯，在风险的分析与评估进程当中，可以使用效果分析法或者失效模式来进行相关研究，FMEI通常被用来明确潜在的风险并对其原因进行分析的一种方法，这样可以保证在风险管控实施变更之前找出进程当中的缺陷，提前对其作出预防。因而风险的分析与测评，通常包含技术性风险与管理性风险两个层次，其中将发生的可能性、严重性、影响、可防范性作为四大维度，此外还有11项具体的指标，这样可以为开展工作提供方便。见表1。

2.4 信息系统风险量化测评实施阶段

对信息系统风险量化测评实施过程而言，整体上大致分为风险测评的开始阶段、关键阶段和落实阶段，开始阶段主要包含提出业务需求和业务需求管理两个方面，它能够给信息系统风险量化测评做前期准备，关键阶段主要是指对风险进行分析与评估;落实阶段主要是配置资源和应对风险，这样有对于对风险进行一定程度的防范，其具体内容如下：第一，提出业务需求时，要求有关部门能够从自身的实际需求出发，提出服务请求，然后再由运维部门的相关人员依据服务的请求类型进行处理。第二，业务需求管理时，需要由业务人员对相关服务请求进行进一步分析确认，然后在依据现有的信息资源进行整理总结，使之达到认可业务需求的目标。第三，在风险分析与测评时，必须有运维人员依据已经确定的业务需求，综合各种渠道，使之可以给变更质量管控或者是变更实施进程中所出现的有关风险进行一定程度的分析与测评。以技术或者管理的层面评估业务需求所提及的风险重要性，一旦获得关于风险评估或者分析的相关数据之后，需要对风险进行一定程度的估算，确定优先级，最后在依照风险RPN的有关得分状况，绘制出低、中、高的风险矩阵类型。第四，在配置资源和应对风险时，要根据已经明确的风险等级，由运维人员根据实际的需求情况，进行一定程度的防范，这样可以避免不必要的损失，同时还必须确定变更处理的流程和资源的配置情况。

2.5 信息系统风险管理体制的不断改善

对于风险管理体制的不断改善进程而言，它是跨越供电局日常的生产经营与管理活动中一个尤为重要的部分，它可以有效的确保信息系统风险管控举措，能够真正的贯彻并加以落实。对信息系统风险管理体制不断改善的具体实施步骤有以下几个步骤：第一，体制建设当中有关人员，应及时发现信息系统风险管控体制当中的缺陷，并在信息管控中心与相关部门的一致帮助之下，确定科学有效的改善措施;第二，体制建设中的有关人员必须依据已经批准的改善方案，积极贯彻改善策略，以保证所改善的目标能够顺利完成;第三，变更实施小组应依照改善策略的有关要求，对运维过程中存在缺陷的相关管理人员进行教育，使其及时纠正;第四，信息中心的有关人员应及时改善方案的实施进程，并对实施效果进行反馈，这样可以使方案更好的进行;第五，信息中心还应该不断的对改进状况进行分析总结，并对风险分析得结果进行及时更新，这样可以使更多的人了解风险重要程度，并及时地加以预防。

3 结 语

现如今，对于大部分企业的信息系统风险管理而言，依旧处于初步阶段，特别是在应用运维方面具有复杂性、专业化程度高、不确定性等外部因素所带来的影响，阻碍了信息系统的正常运行。因此，信息系统运维风险是企业的核心业务能否持续稳定实施的必不可少的要素，并须加以管控。

参考文献：

第3篇

内部审计在企业中独特地位的需要。首先内部审计不从事具体业务活动，独立于业务管理部门，这使得它可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。其次由于内部审计处于企业的董事会、总经理和各职能部门之间的协调位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节，内部审计人员可以参与企业的风险管理。最后内部审计部门独立于管理部门，其风险评估的意见可以直接报送董事会，这会加大管理当局对内部审计部门意见的重视程度。

企业风险管理内部审计如何应用：

1.建立全员参与风险管理的模式。目前风险管理涉及到企业生产经营的各个环节和各个方面，风险管理质量的好坏直接影响企业战略目标的实现，因此需要全体的、综合的、全员层次的参与配合。在大中型企业中一般应建立三级的风险管理组织，即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计及专职风险监管部门是中间环节；各业务部门和管理部门承担一线的风险控制职能，部门负责人直接负责风险监控。内部审计部门通过常规审计及专项审计评估公司风险，对公司风险管理制度的设计及各业务部门执行风险控制制度的有效性进行定期的检查，及时揭示和报告潜在风险，并提出防范风险措施的建议。

2.创新风险管理审计技术和方法，提高审计水平。风险管理审计是对传统审计方式的突破和创新,是融风险管理、审计为一体的新兴审计模式,是以对整个企业的风险进行评估与改善为最终目的的一种审计理念。因此风险管理的审计方法不能局限于财务审计的全部方法，要注重审计软件的运用。风险管理审计方法中分析性程序占据非常重要的地位，审计软件的使用在其中发挥着重要的作用。它可以直接对数据库进行加工分析，依据软件模式自行处理数据。采用审计软件也能使统计抽样的样本更具代表性，审计抽样风险可控，从而实现审计效果与效率的统一，全面提高内部审计质量。

3.加强学习，提高内部审计人员的综合素质。风险管理作为内部审计一个新的涉及领域，风险管理工作的复杂性要求内部审计人员不仅要懂得财务会计及相关法律法规，熟练运用内部审计标准、程序和技术，还必须具备相应的风险管理素质和技能。内部审计人员素质的高低直接决定了风险管理工作的好坏。