ICS 35.080 L77 团 体 标 准 T/ CESA 1077—2020 信息技术服务 治理 IT风险治理 Information technology service - Governance -Governance of IT risk 2020 - 03- 01发布 2020 - 09-01实施 中国电子工业标准化技术协会 发布 全国团体标准信息平台 T/CESA 1077 -2020 I 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版，影印件，或发布在互联网及内部网络等。使用 许可可于发布机构获取。 全国团体标准信息平台 T/CESA 1077 -2020 II 目 次 目 次 ................................ ................................ ............. II 前 言 ................................ ................................ ............. IV 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 风险治理总则 ................................ ................................ ....... 2 4.1 IT风险治理与 IT治理的关系 ................................ ..................... 2 4.2 风险治理原则 ................................ ................................ ... 3 4.3 风险治理策略 ................................ ................................ ... 3 4.4 风险治理依据 ................................ ................................ ... 3 4.5 风险治理技术 ................................ ................................ ... 3 4.6 风险治理防线 ................................ ................................ ... 4 5 风险治理框架 ................................ ................................ ....... 4 6 顶层设计 ................................ ................................ ........... 5 6.1 战略规划 ................................ ................................ ....... 5 6.2 组织构建 ................................ ................................ ....... 5 6.3 架构设计 ................................ ................................ ....... 5 7 风险治理环境 ................................ ................................ ....... 5 7.1 外部环境 ................................ ................................ ....... 5 7.2 内部环境 ................................ ................................ ....... 5 7.3 促成因素 ................................ ................................ ....... 6 8 风险管理体系的治理 ................................ ................................ . 6 8.1 IT应用风险管理 ................................ ................................ 6 8.2 IT支撑风险管理 ................................ ................................ 6 8.3 IT研发与运营风险管理 ................................ .......................... 6 8.4 IT风险综合管理 ................................ ................................ 7 8.5 IT内部控制管理 ................................ ................................ 7 8.6 IT合规管理 ................................ ................................ .... 7 8.7 IT审计管理 ................................ ................................ .... 7 8.8 其他管理 ................................ ................................ ....... 8 9 要素的治理 ................................ ................................ ......... 8 9.1 专业人员 ................................ ................................ ....... 8 9.2 风险类型 ................................ ................................ ....... 8 9.3 风险管理流程 ................................ ................................ ... 8 9.4 信息系统 ................................ ................................ ....... 8 9.5 数据 ................................ ................................ ........... 9 9.6 风险文化 ................................ ................................ ....... 9 全国团体标准信息平台 T/CESA 1077 -2020 III 9.7 其他 ................................ ................................ .......... 9 10 风险治理过程 ................................ ................................ ..... 9 10.1 统筹和规划 ................................ ................................ ... 9 10