《信息技術服務—治理—IT風險治理》(T/CESA 1077-2020)是2020年9月1日實施的一項中華人民共和國團體標準,歸口於中國電子技術標準化研究院、中國電子工業標準化技術協會。
團體標準《信息技術服務—治理—IT風險治理》(T/CESA 1077-2020)規定了風險治理總則、風險治理框架、頂層設計、風險治理環境、風險管理體系的治理、要素的治理及風險治理過程等內容。該標準適用於:①組織治理主體實施IT風險治理頂層設計職能;②建立或完善組織的IT風險治理體系;③明確組織IT風險治理過程中的相關要求;④規範組織IT風險治理業務的開展及相關平台的建設;⑤第三方或其他相關機構開展IT風險治理諮詢業務的指導。
基本介紹
- 中文名:信息技術服務—治理—IT風險治理
- 外文名:Information technology service - Governance-Governance of IT risk
- 標準號 :T/CESA 1077-2020
- 國際標準分類號 :35.080
- 國民經濟分類 :I6560 信息技術諮詢服務
- 發布日期 :2020年3月1日
- 實施日期 :2020年9月1日
- 性質:推薦性團體標準
- 狀態:現行
制定過程,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
- 標準立項
2019年5月27日,中國電子工業標準化技術協會在“中電標通〔2019〕020號”文中下達了《2019年第二季度第一批團體標準制修訂項目》。《信息技術服務—治理—IT風險治理》在本計畫中被立項,立項團標號碼為CESA-2019-2-006。
- 第一次核心編寫小組會議(上海)
2019年5月30-31日,核心編寫小組在上海召開標準研製討論會。該次會議全面討論了《信息技術服務—治理—IT風險治理》與已發布的《信息技術服務—治理》(GB 34960)系列標準的關係,充分吸收了國務院國資委、銀保監會、證券業協會等全面風險管理理念,明確了《信息技術服務—治理—IT風險治理》的框架和內容。
- 第二次核心編寫小組會議(上海)
2019年6月20-21日,核心編寫小組在上海召開標準研製討論會。該次會議商討並形成《信息技術服務—治理—IT風險治理》的新草案。
- 第三次核心編寫小組會議(上海)
2019年7月19-20日,核心編寫小組在上海召開標準研製討論會。該次會議商討了《信息技術服務—治理—IT風險治理》草案修改分工,確定了工作時間節點。
- 第一次全體人員封閉會議(上海)
2019年8月15-16日,IT風險治理與審計標準專業組在上海召開全體人員工作會議。該次會議聚焦討論《信息技術服務—治理—IT風險治理》討論標準草案的形式與內容、修改完善標準術語、內容和格式、對標準各組成部分的提出修改意見和建議。
- 第四次核心編寫小組會議(上海)
2019年8月22-23,核心編寫小組在上海召開標準研製討論會,該次會議結合《信息技術服務—治理—IT風險治理》第一次全體人員封閉會議的標準修改研討結果,對《信息技術服務—治理—IT風險治理》進行了完善。
- 第二次全體人員封閉會議(北京)
2019年9月11-12日,IT風險治理與審計標準專業組在北京召開全體人員工作會議,該次會議聚焦《信息技術服務—治理—IT風險治理》的框架,並對IT總體風險管理與IT專項風險管理需要關注的重點內容進行重點分析。
- 第五次核心編寫小組會議(上海)
2019年10月16-17,核心編寫小組在上海召開標準研製討論會,該次會議修訂、完善《信息技術服務—治理—IT風險治理》的框架、IT總體風險管理與IT專項風險管理需要關注的重點內容。
- 意見徵求及修訂
2019年10月下旬-11月將是《信息技術服務—治理—IT風險治理》徵求意見及修訂的關鍵時期,將開展網上徵求意見,並將分別在上海和北京召開專家意見集中徵求會。
- 發布實施
2020年3月1日,團體標準《信息技術服務—治理—IT風險治理》(T/CESA 1077-2020)中國電子技術標準化研究院提出,由中國電子技術標準化研究院、中國電子工業標準化技術協會歸口,由中國電子工業標準化技術協會發布。
2020年9月1日,團體標準《信息技術服務—治理—IT風險治理》(T/CESA 1077-2020)實施。
制定依據
團體標準《信息技術服務—治理—IT風險治理》(T/CESA 1077-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
起草工作
起草單位:上海谷航信息科技發展有限公司、中國電子技術標準化研究院、國信優易數據有限公司、上海軟中信息技術有限公司、北京賽迪認證中心有限公司、無錫農村商業銀行股份有限公司、江蘇江陰農村商業銀行股份有限公司、四川久遠銀海軟體股份有限公司、上海瀚緯信息科技有限公司、廣州賽寶聯睿信息科技有限公司、神州數碼系統集成服務有限公司、萬達信息股份有限公司、上海安言信息技術有限公司、北京易服務信息技術有限公司、廣東鑫盟管理諮詢有限公司、上海計算機軟體技術開發中心、首都信息發展股份有限公司、上海華訊網路系統有限公司、北京中軟國際信息技術有限公司、北京國家會計學院、上海市衛生健康委員會、國家計算機網路與信息安全管理中心上海分中心、上海交通大學、上海市衛生健康信息中心、東北農業大學。
起草人:方健、張鳳玲、俞文平、郭鑫偉、趙丹丹、宋俊典、馬烈、王春濤、楊軍、張樹玲、施勇、戴沁芸、浦軼華、胡海燕、謝樺、陳宏峰、孫佩、李光亞、鄭晨光、黃建新、張明英、周鵬、黃建文、宋躍武、肖筱華、錢偉峰、謝斌、何敬任、顏珠、姜亮、孫翊威、米昂、陳雯、朱永佳、王萌、俞麗平、居琰、曹劍峰、周鵬程、王錚、廖偉、楊琳、張娜、李彩虹、於宏志、陳昌傑、秦峰、高洪美、韓佳贇、王安妮、李晨光、李俊彥、李易、楊明。
標準目次
目次 | Ⅱ |
|---|---|
前言 | Ⅳ |
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語、定義和縮略語 | 1 |
4風險治理總則 | 2 |
5風險治理框架 | 4 |
6頂層設計 | 5 |
7風險治理環境 | 5 |
8風險管理體系的治理 | 6 |
9要素的治理 | 8 |
10風險治理過程 | 9 |
附錄A(資料性附錄)IT總體風險 | 11 |
附錄B(資料性附錄)IT專項風險 | 13 |
參考文獻 | 17 |
參考資料:
內容範圍
團體標準《信息技術服務—治理—IT風險治理》(T/CESA 1077-2020)規定了風險治理總則、風險治理框架、頂層設計、風險治理環境、風險管理體系的治理、要素的治理及風險治理過程等內容。該標準適用於:①組織治理主體實施IT風險治理頂層設計職能;②建立或完善組織的IT風險治理體系;③明確組織IT風險治理過程中的相關要求;④規範組織IT風險治理業務的開展及相關平台的建設;⑤第三方或其他相關機構開展IT風險治理諮詢業務的指導。
引用檔案
GB/T 34960.1 信息技術服務治理—第1部分:通用要求 | GB/T 34960.4 信息技術服務治理—第4部分:審計導則 |
參考資料:
意義價值
團體標準《信息技術服務—治理—IT風險治理》(T/CESA 1077-2020)明確了組織內部風險治理主體的責權利及風險管理體系,對IT風險治理人員提出了要求,對風險管理總則、風險治理框架、頂層設計、風險治理環境、管理體系、風險治理要素及風險治理過程等進行了要求。每個部分由若干要點組成,通過對各個要點提出明確的要求,指導組織進行風險治理的頂層設計、管理體系的建設以及風險治理活動的開展,使IT風險治理可實施、可落地。
該標準可為政府部門制定與行業相關的政策和監管措施提供支撐,有助於政府有效加強信息化的監管;有助於研究機構、企業等認識到IT風險治理標準研製的重要性,並形成基本的共識;幫助信息化環境下的組織了解其應遵循合規和風險管控等要求,為組織的IT治理提供輸入,提升整體IT治理的服務水平,為組織信息化戰略目標的實現提供保障,促進IT風險治理服務的發展,為中國國內相關行業規範的落地提供指導。另外,由於中國以外信息技術治理服務標準體系還在研究和完善中,該系列標準的推出,能有效對接中國以外的信息技術治理服務標準,提高中國在該領域的話語權。
