2.2 国内现行相关框架与规范的梳理

随着我国信息技术应用的深入，以及IT相关风险日益受到企业和社会的重视，我国相关组织、团体或行业管理部门分别发布了各种不同的相关规范或框架指南，下面将仍然从信息化角度及管理角度来阐述。

2.2.1 从信息化角度看，国内主要的相关框架与规范

1.IT特定领域的相关框架与规范

（1）IT服务管理。2009年4月，工业和信息化部成立组建首个标准化技术组织——IT服务标准工作组，以加快我国信息技术服务标准的制订。此后，有30家企业、10家事业单位、8家政府相关部门的意见汇总，历经3次封闭式编写、两次专家评审，最终形成标准意见征求稿。2010年送审通过了如下两项标准：《信息技术服务运维通用要求》主要内容是从组织、需方选择、评价供方，以及服务评估第三方等方面来规范，作用在为运维资质提供评定依据；[82]而《信息技术服务运维应急响应规范》主要是为运维服务应急响应体系的规划、建设、实施、评估等提供参考和依据，为服务提供方提供最佳实践参考和服务衡量标准。[83]目前，其中两项标准征求稿已经列入国家计划，其他相关标准正进行行业标准申报中。

（2）信息安全管理。我国信息安全标准化技术委员会信息安全管理工作组（WG7）主要负责研究和制定适用于非涉密和敏感领域的安全保障的通用安全管理方法、安全控制措施，以及安全支撑（安全技巧）和服务等方面的标准、规范和指南。成立之初，在我国信息安全管理国家标准几乎处于空白的情况下，WG7启动了三个重要国际标准的转化工作。目前已经正式发布，分别为：GB/T 19716：2005《信息技术信息安全管理实用规则》（修改采用国际标准ISO/IEC 17799：2000）[126]；GB/T 19715-1：2005《信息技术IT安全管理指南第1部分：IT安全概念和模型》（等同采用ISO/IEC TR13335-1：1996）[124]；GB/T 19715-2：2005《信息技术IT安全管理指南第2部分：管理和规划IT安全》（等同采用ISO/IEC TR13335-2：1997）[125]。

2.综合性的框架与规范

（1）会计管理信息化的ISCA模型。ISCA（Information System，Control and Auditing）模型是杨周南教授在2003年提出来的，她根据当时我国信息化状况及未来可能的实践，指出“会计电算化工作的内涵需要提升和明确，提出了会计管理信息化（简称会计信息化）的概念，并指出会计信息化工作的内涵即为ISCA模型，具体包括了三个方面：一是建立和实施现代信息技术或计算机技术环境下的会计信息系统；二是建立有效、健全的信息系统内部控制制度；三是对信息系统进行审计。三者的有机结合构成了AIS（Accounting Information System）的ISCA模型。”[130]ISCA模型的提出，旨在为会计信息化建设工作提供一个明确的、可行的框架性工作指南。ISCA模型示意图[130]如图2-5所示。

虽然这是从会计信息化的角度提出的一个框架性工作指南，但是，正如本书第一章所述，在企业管理信息化发展到当前这个阶段，企业会计信息化已不是孤立的过程，它与整个企业管理信息化融合到了一起，因此，笔者认为ISCA模型对企业管理信息化是同样适用的。

（2）中国IT治理研究中心自主创新的中国企业IT治理框架。中国IT治理研究中心（2008）的IT治理框架以科学的信息化发展观作为IT治理框架构建的理论指导方针；以国外公认的IT治理方法和中国IT治理研究中心自主创新的IT治理方法作为IT治理框架构建的工具；对IT全生命周期风险管理控制过程与结果进行评价，并持续改进过程与度量方法；认为IT治理的最终目的是实现IT商业价值；IT治理首当其冲的就是建立什么样的决策模式，IT治理必须要树立科学决策意识、健全决策机制、完善决策方式、规范决策程序、强化决策责任、保证决策的正确有效；IT治理决策的实施是要靠规范化、精细化和主动式的IT全生命周期风险管控流程来实现；具有持续竞争优势的动态的核心IT能力是IT治理水平背后的决定性因素，IT治理水平是核心IT能力的表现。[143]

该框架由七要素组成：科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、核心IT能力。如图2-6[143]所示。

2.2.2 从管理角度来看，国内主要的相关框架与规范

1.企业内部控制基本规范

2008年6月28日，我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。后来因各种原因延迟执行，但到2010年年底，执行企业要出具内控自我评价报告。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。在基本规范的17项具体规范中，第17项就是“计算机信息系统”，一共规定了六章四十三条，从总则、岗位分工与授权审批、信息系统开发、变更与维护控制、信息系统访问安全、硬件管理、会计电算化及其控制六个方面对计算机信息系统环境下的企业内部控制提出了具体要求。基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架。[70]

2.中央企业全面风险管理指引

为全面落实科学发展观，进一步加强和完善国有资产监管工作，深化国有企业改革，加强风险管理，促进企业持续、稳定、健康发展，根据《企业国有资产监督管理暂行条例》（国务院令第378号）关于“国有及国有控股企业应当加强内部监督和风险控制”的要求，国务院国有资产监督管理委员会于2006年6月发布了《中央企业全面风险管理指引》（以下简称《指引》）。《指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述，对风险管理组织体系作了详细描述。对《指引》的贯彻落实也提出了明确要求。[89]

3.审计准则有关IT条款

我国2006年发布的《中国注册会计师审计准则第1633号电子商务对财务报表审计的影响》第十八条指出，注册会计师应当关注审计单位是否运用适当的安全基础架构和相关控制；第三十二条也指出，注册会计师应当考虑被审计单位实施的信息安全政策和控制措施，是否足以防止未经授权修改会计系统或会计记录，或修改向会计系统提供数据的系统。[69]

4.金融行业相关框架与规范

（1）银行业。2006年8月7日，中国银行业监督管理委员会发布《银行业金融机构信息系统风险管理指引》，其目的是有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行。指引分为总则、机构职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、审计、附则八章。2009年3月3号，发布了《商业银行信息科技风险管理指引》，替代了2006年的《银行业金融机构信息系统风险管理指引》。《商业银行信息科技风险管理指引》是在征求意见的基础上形成的，新《银行业金融机构信息系统风险管理指引》在“风险管理策略”里比原指引多了两项：人员安全、业务连续性计划与应急处理；在“信息安全策略”里多了一项：安全制度管理，总共11个领域，因此和ISO27001的11域对应起来了。[132]

（2）证券期货业。2005年3月25日，中国证监会发布中华人民共和国金融行业标准JR0023—2004《证券公司信息技术管理规范》，目的是规范证券公司信息技术管理行为，以加强证券公司信息系统的优化建设和安全管理，推动信息系统建设与技术管理水平的协调发展，提高证券行业的整体信息技术应用水平。标准规定了证券公司信息技术管理的以下方面：信息技术管理工作中应遵循的基本原则；信息技术管理的组织架构；信息技术人员、项目和安全管理；机房和设备管理；网络通信、软件和数据；信息系统运行管理、技术事故的防范与处理。[141]