【正文】 安全等級(jí)保護(hù)的總體目標(biāo)是確保信息安全和計(jì)算機(jī)信息系統(tǒng)安全正常運(yùn)行，保障：信息的完整性、可用性、保密性、抗抵賴性、可控性等（其中完整性、可用性、保密性為基本安全特性要求）。 2022年 12月 16日 國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則 . CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。 ? 國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ ISACA）定義如下： IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于知道如何控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。 ? IT治理框架由一系列結(jié)構(gòu)、流程和相關(guān)機(jī)制組成。 ? 關(guān)于內(nèi)部審計(jì)在 IT治理過程中的職責(zé)，美國(guó)的《 薩班斯 — 奧克斯萊法 》 有明確規(guī)定，在美國(guó)上市公司內(nèi)部審計(jì)師應(yīng)幫助管理層對(duì)公司 IT應(yīng)用控制和 IT一般性控制進(jìn)行評(píng)估并出具報(bào)告。 美國(guó)內(nèi)控研究委員會(huì) 企業(yè)為何要建立風(fēng)險(xiǎn)管理？ 因?yàn)槠髽I(yè)的 股東與管理層常常要面對(duì)一些令他們寢食難安的問題。流程風(fēng)險(xiǎn)也包括合規(guī)性風(fēng)險(xiǎn) ? 人為風(fēng)險(xiǎn) 概指因員工缺乏知識(shí)和能力、缺乏誠(chéng)信或道德操守而引致?lián)p失的風(fēng)險(xiǎn) ? 系統(tǒng)風(fēng)險(xiǎn) 是指因系統(tǒng)失靈、數(shù)據(jù)的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風(fēng)險(xiǎn) ? 事件風(fēng)險(xiǎn) 是指因內(nèi)部或外部欺詐、市場(chǎng)扭曲、人為或自然災(zāi)害而引致?lián)p失的風(fēng)險(xiǎn) ? 業(yè)務(wù)風(fēng)險(xiǎn) 是指因市場(chǎng)或競(jìng)爭(zhēng)環(huán)境出現(xiàn)預(yù)期以外的變化而引致?lián)p失的風(fēng)險(xiǎn)，所涉及的問題包括市場(chǎng)策略、客戶管理、產(chǎn)品開發(fā)、銷售渠道和定價(jià)等領(lǐng)域 ? 操作風(fēng)險(xiǎn) 風(fēng)險(xiǎn)發(fā)生的可能性 評(píng)分 可能性 說明 5 幾乎肯定 在未來 12個(gè)月內(nèi)，這項(xiàng)風(fēng)險(xiǎn)幾乎肯定會(huì)出現(xiàn)至少 1次 4 極可能 在未來 12個(gè)月，這項(xiàng)風(fēng)險(xiǎn)極可能出現(xiàn) 1次 3 可能 在未來 2至 10年內(nèi)，這項(xiàng)風(fēng)險(xiǎn)可能出現(xiàn) 1次 2 低 在未來 10至 100年內(nèi)，這項(xiàng)風(fēng)險(xiǎn)可能出現(xiàn)至少 1次 1 極低 這項(xiàng)風(fēng)險(xiǎn)出現(xiàn)的可能性極低，估計(jì)在 100年內(nèi)出現(xiàn)的可能性少于 1次 評(píng)分 損失程度 說明 5 災(zāi)難 令企業(yè)失去繼續(xù)運(yùn)作的能力 (或占稅前利潤(rùn)達(dá) 20%) 4 重大 對(duì)于企業(yè)在爭(zhēng)取完成其策略性計(jì)劃和目標(biāo)，造成重大影響 (510%稅前利潤(rùn) ) 3 中等 對(duì)于企業(yè)在爭(zhēng)取完成其策略性計(jì)劃和目標(biāo)的過程，在一定程度上造成阻礙 (至 5%稅前利潤(rùn) ) 2 輕微 對(duì)于企業(yè)在爭(zhēng)取完成其策略性計(jì)劃和目標(biāo)，只造成輕微影響 (至 1%稅前利潤(rùn) ) 1 近乎沒有 影響程度十分輕微 風(fēng)險(xiǎn)對(duì)企業(yè)造成的影響 評(píng)分 有效性 說明 5 極度過頭 處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但相信會(huì)令企業(yè)業(yè)績(jī) “倒退 ” 或成本過高 4 過頭 處理方法能直接針對(duì)該項(xiàng)風(fēng)險(xiǎn)，但由于需要投入大量資源或 /及將其他資源轉(zhuǎn)到處理該項(xiàng)風(fēng)險(xiǎn)上，會(huì)對(duì)企業(yè)的效率造成影響 3 適中 處理方法有效針對(duì)該項(xiàng)風(fēng)險(xiǎn)，同時(shí)并不影響企業(yè)的效率 2 低效 處理方法針對(duì)該項(xiàng)風(fēng)險(xiǎn)的效果不理想，或投入處理該風(fēng)險(xiǎn)的資源不充分或 /及對(duì)投入的資源未有適當(dāng)利用 1 近乎沒有 效果 處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當(dāng) 風(fēng)險(xiǎn)處理方法的效果 風(fēng)險(xiǎn)地圖 (或風(fēng)險(xiǎn)共同語(yǔ)言 ) 影響程度 近乎沒有 輕微 中等 重大 災(zāi)難 幾乎 肯定 極可能 可能 低 極低 B C A G I D J K H E F 可能性 說明 : A – 人力資源風(fēng)險(xiǎn) B – 財(cái)務(wù)風(fēng)險(xiǎn) C – 競(jìng)爭(zhēng)風(fēng)險(xiǎn) D – 開發(fā)風(fēng)險(xiǎn) E – 過度自信風(fēng)險(xiǎn) F – 系統(tǒng)故障風(fēng)險(xiǎn) G – 主要客戶風(fēng)險(xiǎn) H – 欺詐風(fēng)險(xiǎn) I – 政治風(fēng)險(xiǎn) J – 薪酬獎(jiǎng)勵(lì)風(fēng)險(xiǎn) K – 科技風(fēng)險(xiǎn) 大型集團(tuán)風(fēng)險(xiǎn)管理分析 ?風(fēng)險(xiǎn)控制地圖 風(fēng)險(xiǎn)處理組合 處理評(píng)級(jí) 風(fēng)險(xiǎn)評(píng)級(jí) 近乎沒有效果 低效 適中 超標(biāo) 極度 極高 高 中等 低 B C A G I D J K H E 說明 : A – 人力資源風(fēng)險(xiǎn) B – 財(cái)務(wù)風(fēng)險(xiǎn) C – 競(jìng)爭(zhēng)風(fēng)險(xiǎn) D – 開發(fā)風(fēng)險(xiǎn) E – 過度自信風(fēng)險(xiǎn) F – 系統(tǒng)故障風(fēng)險(xiǎn) G – 主要客戶風(fēng)險(xiǎn) H – 欺詐風(fēng)險(xiǎn) I – 政治風(fēng)險(xiǎn) J – 薪酬獎(jiǎng)勵(lì)風(fēng)險(xiǎn) K – 科技風(fēng)險(xiǎn) F 采取行動(dòng) 密切監(jiān)控 定期審閱 風(fēng)險(xiǎn)處理策略 影響程度 可能性 轉(zhuǎn)移 避免 小心管理 可接受 大 小 高 低 風(fēng)險(xiǎn)策略 ?避免 ?禁止交易 ?減少或限制交易量 ?離開市場(chǎng) ?轉(zhuǎn)移 ?套期 ?保險(xiǎn) ?策略性聯(lián)盟 ?其他分擔(dān)風(fēng)險(xiǎn)的安排 ?小心管理 ?投資 ?廣泛保護(hù)的安排 ?訂價(jià)反映風(fēng)險(xiǎn)程度 ?可接受 ?自我保險(xiǎn) ?預(yù)留儲(chǔ)備 ?增加監(jiān)督 風(fēng)險(xiǎn)處理策略 影響程度 大 小 可能性 轉(zhuǎn)移 避免 小心管理 可接受 高 低 ? 企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)險(xiǎn)、市場(chǎng)風(fēng)場(chǎng)和 操作風(fēng)險(xiǎn)等等，系統(tǒng)化地進(jìn)行分析、確認(rèn)、度量、管理和監(jiān)控 ? 企業(yè)需要把評(píng)估風(fēng)險(xiǎn)與內(nèi)控措施的結(jié)果進(jìn)行記錄和存檔，對(duì)內(nèi)控措施的有效性不斷進(jìn)行測(cè)試和更新 第一道防線：總結(jié) 管理層 CEO 第 三 道防線 第 二 道防線 第一道防線 業(yè)務(wù)部門 董事會(huì) 風(fēng)險(xiǎn)管理 內(nèi)部審計(jì) 審計(jì)委員會(huì) 風(fēng)險(xiǎn)管理 委員會(huì) 第二道防線：風(fēng)險(xiǎn)管理單位防線 ? 第二道防線是在業(yè)務(wù)單位之上建立一個(gè)更高層次的風(fēng)險(xiǎn)管理功能，它的組成部份可能包括風(fēng)險(xiǎn)管理部門、信貸審批委員會(huì)、投資審批委員會(huì) ? 風(fēng)險(xiǎn)管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險(xiǎn)方面的工作，它的職責(zé)包括： ? 編制規(guī)章制度 ? 對(duì)各業(yè)務(wù)單位的風(fēng)險(xiǎn)進(jìn)行組合管理 ? 度量風(fēng)險(xiǎn)和評(píng)估風(fēng)險(xiǎn)的界限 ? 建立風(fēng)險(xiǎn)信息系統(tǒng)和預(yù)警系統(tǒng) 、厘定關(guān)鍵風(fēng)險(xiǎn)指標(biāo) ? 負(fù)責(zé)風(fēng)險(xiǎn)信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作 ? 按風(fēng)險(xiǎn)與回報(bào)的分析，為各業(yè)務(wù)單位分配經(jīng)濟(jì)資本金 “內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動(dòng)，其目的在于增加企業(yè)的價(jià)值和改進(jìn)經(jīng)營(yíng)。為突出主要原因經(jīng)過分析，在只考慮煤價(jià)波動(dòng)影響變動(dòng)成本因素（ V）情況下由 公式 V=（標(biāo)準(zhǔn)煤耗平均數(shù)） *106*（發(fā)電標(biāo)煤?jiǎn)蝺r(jià)） ，結(jié)合下圖實(shí)際數(shù)據(jù)計(jì)算可知，當(dāng)標(biāo)煤價(jià)每噸上漲 20元?jiǎng)t每度點(diǎn)的燃料成本將直接大約增加 ，這將嚴(yán)重影響企業(yè)經(jīng)營(yíng)利潤(rùn)目標(biāo)的實(shí)現(xiàn)，若按照現(xiàn)有狀態(tài)持續(xù)增加，更將大大增加企業(yè)的財(cái)務(wù)風(fēng)險(xiǎn)。 ” 美國(guó)內(nèi)部審計(jì)師協(xié)會(huì) 第三道防線：內(nèi)審單位防線 ? 第三道防線涉及一個(gè)獨(dú)立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題 ? 內(nèi)部審計(jì)的定義 ： 內(nèi)部審計(jì)的 三大功能 ? 財(cái)務(wù)監(jiān)督