工作方案的基本思路与框架4篇工作方案的基本思路与框架 南方穿着黑衣裳你走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%下面是小编为大家整理的工作方案的基本思路与框架4篇,供大家参考。
篇一:工作方案的基本思路与框架
穿着黑衣裳你走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A小珠山企朵文化建朵架思路框一、朵思路体1企朵文化位、企朵朵史、市朵需求、外部朵境涵的整合提朵内企朵文化的涵不是人朵空“朵朵”的而是朵合企朵朵朵定内凭定的。来确具到小珠山的企朵文化建朵朵体所代表的朵文化、朵凰朵所代表的海洋文化元素朵合目朵市朵的消朵、心理需求提朵形成景区独特、的文化涵。清晰内2企朵文化其中理念朵是企朵文化的核心朵企朵制度、 朵工行朵具有引朵作用立足于企朵朵朵融朵、吸朵菩提寺所代表的佛文化、朵朵城当系的系朵朵朵体企朵文化包括理念朵MI、 制度及行朵朵(BI)、 物朵朵VI。一方面唯有通朵制度、 行朵另性的保企朵理念、 制度、 行朵的体确朵皮”的朵象。两、 朵束、 朵朵功能前提是企朵文化励就有共朵因而要使企朵“上下一心”朵意朵取企参与没企朵朵朵、基朵朵工乃至消朵者的共同体——企朵理念才能在一致性而避免出朵理念、制度“油水3企朵文化建朵朵程的全朵参与企朵文化要朵朵朵向、 激的理念成朵企朵成朵的“共朵”。有没朵文化建朵的朵程就要引入各方主4成果形式1《企朵文化朵2《企朵文化理念手册》3《企朵文化案例手4《企朵朵工行朵朵范》5《基于企朵文化理念的制度更新意朵》6《企朵文化朵展朵二、工作容内一企朵文化朵和朵断估1了解企朵文化朵••••••••••••••南方穿着黑衣裳你走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A正落朵。
因而小珠山企朵文化建朵朵是整真内。参与朵朵 朵 朵朵 朵告》断与状估》册机制平台建朵》划与深度朵朵、朵卷朵朵、朵朵朵察、企朵文朵朵况献企朵外部朵境市朵需求、政策朵境企朵整基本朵朵体状况朵工朵企朵的基本朵朵、朵度朵意度、基本人力朵源状况、企朵朵展朵程状况公司吸引力、企朵凝聚力、向心力、公司朵展前景企朵朵朵理念、企朵形象、管理模式管理制度、朵朵架人目朵和企朵目朵朵系朵理个工作朵、氛沟朵朵方式、朵朵合作、、工作朵境构通方式技巧与突朵理、朵冲朵同机制争与上下朵朵系、同事朵朵系招聘方式、渠道、程序考朵方式、指朵容与内朵果朵理与、公平性、朵构朵酬水平、朵性、激争性及公司福利励用人机制、能力朵朵、朵位晋升、公司培朵
南方穿着黑衣裳你走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A朵朵生涯朵朵、朵朵、朵朵新的鼓朵学 氛励企朵文化的要求企朵高朵朵朵企朵定位目朵的要求与外部市朵朵的要求争:市朵要求、朵差距朵朵朵朵与
朵段性成果一《企朵文化朵朵朵 朵 朵朵 朵告》状•确••估2.明者朵力争3.朵断与估二企朵文化定位1.企朵文化理念••••2.企朵行朵文化•••3.提交企朵文化理念
朵段性成果二《基于企朵文化理念的制度更新》3成果朵朵
完成朵期的工作成果并1.《企朵文化理念手册》•••••2.《企朵文化案例手通朵案例朵使企朵文化价朵理念生朵化、 形象化便于朵工更好地理解写企朵文化以文字形式淀下便于保存、沉来••••••3.《企朵朵工行朵朵范》定企朵朵工基本行朵朵的基朵上根据朵位朵朵的不同确礼••南方穿着黑衣裳你走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A系朵朵与体建构系体企朵朵有文化剖析朵秀旅游企朵文化剖析企朵朵朵成功要素提朵企朵价朵理念定位 整理提朵通反朵——沟系建体构朵工行朵准朵朵朵朵工行朵朵范定位、朵朵通、反朵——沟企朵文化活朵朵朵行朵系朵朵文本与体培朵朵入与朵企朵朵行必要的相朵培朵。企朵使命企朵目朵核心价朵朵服朵理念企朵形象》册朵朵朵行并朵秀的将朵、宣朵和朵播。学客朵服朵朵案例体朵朵朵向文化案例目朵朵向文化案例朵朵意朵文化案例朵新朵向文化案例支持朵向文化案例定朵位行朵朵范确朵出案例。并企朵日常行朵朵礼一朵朵工服朵朵范
南方穿着黑衣裳你走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A后台朵工服朵支持朵范与企朵文化活朵指引4《企朵文化朵展朵
企朵文化是朵代企朵中朵具有的工作朵能需要建立相朵的朵效机制推朵企朵文化持朵更新••机制平台建朵》划与生生不息。三、朵目朵度安排朵 目朵 朵 朵 度安排朵 目十二周3情安排相朵 培朵 。况月分三个注朵 目正式朵 段完成个,
在充分朵 后朵通的基朵 上沟方朵 商不排除朵 每朵 段的双,
安排三次正式朵 朵 ,且根据朵 目朵 展容朵 序朵 行朵 整内并启第一周第二周第三周第四周第五周第六周第七周第八周第九周第十周 第十一周 第十二周朵 目朵启第二朵 段朵 朵第一朵 段朵 朵朵 期朵 朵了解企朵 文化朵 工朵 意度朵 朵明确企朵 文化要求朵差距和朵 朵 朵 朵估企朵 文化朵定位体企朵 文化理念系建体构企朵 行朵 文化系建体构修改提交朵 朵 文本并制定企朵 文化理念手册制定企朵 文化案例手册制定企朵 文化朵 略朵 展朵 划南方走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A穿着黑衣裳你
南方穿着黑衣裳你走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A南方走向天那些寂寞的花朵黑的花朵是天朵船唯一的花朵你http://www.sogou.com/sogou?query=%E8%AF%97%E6%AD%8C&pid=AQg4A穿着黑衣裳你
篇二:工作方案的基本思路与框架
与考核解决思路案及方案框架Ni nesage仅供内部, 严禁外传201 4201 4年年1 21 2月 月1 31 3日星期六日星期六九略顾问公司九略顾问公司王辉王辉考核目前考核方面亟待解决的问题方案设计的出发点和目的本次沟通的主要内容本次沟通的主要内容2绩效考核方案框架介绍薪酬目前薪酬体系中存在的关键问题方案设计的基本思路薪酬方案框架介绍
目前考核方面亟待解决的问题目前考核方面亟待解决的问题1 . 考核体系不健全2. 考核无明晰的参照依据, 考核标准不明确3. 考核结果上下浮动比例过小, 达不到激励员3工的目的4. 由于管理幅度过宽等原因, 考核者不能充分了解被考核人的实际情况, 考核流于形式5. 考核结果用途过于单一, 考核的根本目的不清晰, 使考核仅仅成了绩效奖金核发的工具
1 . 构建完善的绩效考核体系, 科学选择考核指标, 明确指标评定标准, 合理设立考核关系, 达到准确、公平、 公正的评价员工过去特定时段内贡献的目的2. 拓宽考核结果的使用方向, 使其与员工的晋职、 晋拓宽核果的使用设计方案的出发点和目的设计方案的出发点和目的4使其与员的晋晋级、 培训以及福利方案选择等多种激励手段挂钩,让员工体会到自己的工作行为、 工作成果受到注意、肯定、 赞赏、 和奖励3. 通过提供让员工学习和效仿的优良行为模式, 引导员工行为, 促进员工达成未来的绩效期望
1 . 1 .行为事件考核技术行为事件考核技术2 2 印象评判技术印象评判技术2. 2.印象评判技术印象评判技术考核采用的主要技术方法考核采用的主要技术方法53. 3.静态考核技术静态考核技术4. 4.员工比较考核技术员工比较考核技术
绩效考核方案框架绩效考核方案框架二级部部门考核二级部部门考核二级部门负责人工作业绩考核得分作业绩考核得分员工绩效考核系数核定员工考核员工考核员工工作业绩考核得分员工员工考核成绩考核成绩考核成绩考核成绩个人素质考核个人素质考核能力考核能力考核月 度考核月 度考核6一级部部长工作业绩考核得分一级部部门考核一级部部门考核二级部绩效考核系数核定一级部部长一级部部长考核成绩考核成绩二级部门负责二级部门负责人考核成绩人考核成绩个人素质考核个人素质考核能力考核能力考核工作态度考核工作态度考核个人素质考核个人素质考核能力考核能力考核工作态度考核工作态度考核工作态度考核工作态度考核季度考核季度考核半年考核半年考核
绩效考核方案框架绩效考核方案框架 ★★ 部门考核部门考核1 . 1 .考核内容考核内容1 .11 .1 一线部门一线部门((OTCOTC营销部、 制造事业部、 采购部、 研发部营销部、 制造事业部、 采购部、 研发部)
)关键业绩指标权重为 0.7部门职能权重为 0.371 .2 1 .2 二线部门二线部门以部门职能考核为主根据实际情况辅助以关键业绩指标权重根据实际情况确定从以部门职能考核为主, 逐步过渡到以关键业绩指标考核为主
2. 2. 周期与方法周期与方法2.1
2.1
月度考核月度考核量化的部分以规定的方式计分定性的部分以部门负责人自评和上级业务主管评价绩效考核方案框架绩效考核方案框架 ★★ 部门考核部门考核8为主, 建议权重分别为0.35和0.652.2
2.2
季度考核季度考核 量化的部分以规定的方式计分 定性部分的评价包括部门负责人自评、 上级业务主管评价和其它平行部门负责人评价三个维度, 权重分别人0.3、 0.4和0.3
3. 3. 考核结果使用考核结果使用3.1
3.1
建立有效的绩效反馈过程, 帮助部门和部门负建立有效的绩效反馈过程, 帮助部门和部门负责人提高工作绩效责人提高工作绩效3 23 2 作为一级部部长工作业绩得分作为一级部部长工作业绩得分3.2
3.2
作为一级部部长工作业绩得分作为一级部部长工作业绩得分绩效考核方案框架绩效考核方案框架 ★★ 部门考核部门考核93.3
3.3
作为部门员工绩效成绩调整系数核定的基础作为部门员工绩效成绩调整系数核定的基础 一般员工绩效调整系数= 中心得分×员工人数/∑员工考核得分 中心正副主任绩效调整系数 = 一级部部门得分×中心数/∑中心得分
绩效考核方案框架绩效考核方案框架 ★★ 员工考核员工考核1 . 1 . 考核内容考核内容1 .1
1 .1
考核依据考核依据 工作绩效考核依据经上级主管确认的工作计划 其余部分的考核依据是员工所在岗位的《职位说明书》 其余部分的考核依据是员工所在岗位的《职位说明书》101 .2 1 .2 考核内容分类考核内容分类 工作绩效部分的考核指标 个人素质考核指标 能力考核指标:
包括专业能力和管理能力 工作态度指标
1 .3 1 .3 考核指标的权重建议考核指标的权重建议绩效考核方案框架绩效考核方案框架 ★★ 员工考核员工考核分类权重指标一般员工研发系统员工中层管理干部高层管理干部工作绩效75%60%55%50%11个人素质5%1 5%1 5%20%能力专业能力1 2%1 5%1 5%1 0%管理能力0%0%1 0%1 5%工作态度8%1 0%5%5%累计1 00%1 00%1 00%1 00%
2. 2.考核程序考核程序2.1
2.1
周期与方法周期与方法绩效考核方案框架绩效考核方案框架 ★★ 员工考核员工考核时间(月)评价时段1 23 4 56 7 8 9 10 1112 每月评价◎◎◎◎◎◎★☆◎◎◎◎◎◎★☆12高管半年评价其他每季评价☆☆说明:说明:1. 1. 每月 进行工作绩效考核, 考核主要采用员工自评和上级评价的方式进行,每月 进行工作绩效考核, 考核主要采用员工自评和上级评价的方式进行,权重分别为权重分别为0. 350. 35和和0. 650. 65; ;2. 2. 高管层的半年度考核包括全部考核内容, 进行高管层的半年度考核包括全部考核内容, 进行360价、 平行部门评价和下级评价的权重分别为价、 平行部门评价和下级评价的权重分别为0. 2 3. 3. 其余人员的季度考核包括考核的全部内容, 中心副主任以上人员采用其余人员的季度考核包括考核的全部内容, 中心副主任以上人员采用360360° ° 评价, 权重同上, 员工考核办法参照第评价, 权重同上, 员工考核办法参照第1 1条执行360° ° 考核, 自评、 上级评考核, 自评、 上级评0. 2 、 、 0. 40. 4、 、 0. 250. 25和和0. 150. 15条执行
2.2 2.2 绩效考核分数的核定绩效考核分数的核定2.2.1
2.2.1
月度工作绩效及员工季度考核分数月度工作绩效及员工季度考核分数得分= (自评分×0.35+ 上级评分× 0.65)×调整系数2 2 22 2 2 中心副主任以上员工季度中心副主任以上员工季度/ /半年度考核分数2.2.2 2.2.2 中心副主任以上员工季度中心副主任以上员工季度/ /半年度考核分数半年度考核分数半年度考核分数绩效考核方案框架绩效考核方案框架 ★★ 员工考核员工考核13得分= (个人自评分×0.2+ 上级评分× 0.4+部门评分× 0.25+ 下级评分×0.1 5)× 调整系数2.3 2.3 体系建立充分考虑不可控因素的影响体系建立充分考虑不可控因素的影响2.4 2.4 建立考核投诉机制建立考核投诉机制
3. 3.考核结果使用考核结果使用3.1
3.1
协助、 引导员工提高工协助、 引导员工提高工 作绩效作绩效3 23 2 作为绩效作为绩效3.2
3.2
作为绩效工资核定的依据作为绩效工资核定的依据资核定的依据资核定的依据绩效考核方案框架绩效考核方案框架 ★★ 员工考核员工考核143.3
3.3
作为员工晋升、 晋级的依据作为员工晋升、 晋级的依据3.4
3.4
作为员工培训的依据作为员工培训的依据3.5
3.5
作为激励方案执行的基础作为激励方案执行的基础
1 . 历次薪酬调整只注重解决局部问题, 造成整体失衡2. 定岗、 定级无参照标准, 操作难度大, 随意性强3. 由于员工升、 降薪的标准不明确, 形成实际上的薪企效目前薪酬体系中存在的关键问题目前薪酬体系中存在的关键问题15资冻结, 员工薪酬与企业效益脱钩, 无法调动员工的积极性4. 薪酬的核发方式不甚合理, 形成了惩罚负激励状态5. 现行各工资体系之间缺乏必要的对应关系, 封闭了人才在企业内部流动的通路
影响工资方案制定的主要因素影响工资方案制定的主要因素1. 1. 企业外部因素企业外部因素– –全社会劳动生产率全社会劳动生产率– –国家政策和法律国家政策和法律– –居民生活费用居民生活费用16– –劳动力市场供求状况劳动力市场供求状况2. 2. 企业内部因素企业内部因素– –企业支付能力企业支付能力– –工作本身的差别工作本身的差别– –员工自身的差别员工自身的差别– –企业文化企业文化
方案设计的基本思路方案设计的基本思路1 . 通过薪酬规划, 形成对员工行为的引导, 保证企业发展所需人才的吸引和积淀工作绩效优异的人员, 使其薪资处于中上以至优的水平工作绩效处于平均水平的人员, 使其薪资处于中等偏下的位置17工作绩效低于平均水平的人员, 使其薪资处于底层2. 体现为符合“人才价值观” 的能力和业绩付酬的理念3. 对不同体系岗位按照不同的标准付酬4. 充分考虑企业现状, 避免因方案实施问题给企业带来过大的冲击和变化
薪酬方案框架薪酬方案框架 ★★ 薪酬体系结构薪酬体系结构营销系统营销系统薪酬体系薪酬体系按照岗位按照岗位价值付酬价值付酬按照业绩按照业绩付酬付酬18生产计件生产计件薪酬体系薪酬体系管理系统管理系统薪酬体系薪酬体系研发系统研发系统薪酬体系薪酬体系形成对应关系按照能力按照能力付酬付酬按照业绩按照业绩付酬付酬
薪酬方案框架薪酬方案框架 ★★ 研发系统薪酬构建方案研发系统薪酬构建方案19引导研发队伍员工引导研发队伍员工通过能力的提通过能力的提升获得更高的待遇升获得更高的待遇为企业中高素为企业中高素质员工打通职质员工打通职业生涯通路业生涯通路
薪酬方案框架薪酬方案框架 ★★ 管理系统薪酬调整方案管理系统薪酬调整方案年终奖金年终奖金工资工资全部全部工资工资基准内基准内工资工资基本工资绩效工资职务工资年功工资20福利福利薪酬薪酬基准外基准外工资工资加班津贴值班津贴特殊工作津贴交通津贴其它津贴养老保险食宿补助医疗保险其它福利计划
薪酬方案框架薪酬方案框架 ★★ 管理系统薪酬调整意见管理系统薪酬调整意见级别系统一般员工中层管理干部高层管理干部基本绩效其它基本绩效其它基本绩效其它21各部分占总体收入的建议比例(%)一线部门65251 04545
1 02560
1 5二线部门7020
1 05040
1 02055
1 5
1 . 1 . 职务工资决定因素职务工资决定因素– – 岗位责任岗位责任– – 工作任务的难度工作任务的难度– – 工作结果对企业的重要程度工作结果对企业的重要程度对任职者要求的高低对任职者要求的高低– – 对任职者要求的高低对任职者要求的高低管理系统薪酬管理系统薪酬 ★★ 职务工资决定因素职务工资决定因素22– – 其它其它2. 2. 采用要素计点法对决定因素进行评估采用要素计点法对决定因素进行评估– – 组建岗位评估委员完成岗位评估工作, 参加人员组建岗位评估委员完成岗位评估工作, 参加人员建议为高管层人员建议为高管层人员– – 根据评估结果形成各岗位薪点值根据评估结果形成各岗位薪点值
管理系统薪酬管理系统薪酬 ★★ 年功工资核发办法年功工资核发办法在企业中的工作时间1 - 3年3- 1 0年1 0年以上累计上限比例年功工资基本工资的0.8%基本工资的1 %基本工资的0.8%基本工资的1 0%23固定年功工资20/年∙月30/年∙月20/年∙月300元/月说明:说明:1 . 1 . 考虑到从事相关工作的时间长短绩效贡献度不同的情况,考虑到从事相关工作的时间长短绩效贡献度不同的情况,采用不同的年功计酬比例或数额;采用不同的年功计酬比例或数额;2. 2. 年功工资的核发基础是员工在公司的工作年限;年功工资的核发基础是员工在公司的工作年限;
1 . 1 . 核发原则核发原则绩效工资与企业的整体绩效、 部门绩效和个人绩效的评价结果挂钩;2. 2. 建议核发办法建议核发办法 一般人员绩效工资= (个人得分一般人员绩效工资= (个人得分× ×30%+ 所属一级部得分%+ 所属一级部得分× ×30%+ 所属一级部得分%+ 所属一级部得分× ×30核发系数核发系数30%标准绩效工资× ×绩效工资%)
× ×标准绩效工资标准绩效工资× ×绩效工资%+ +所在部门得分所在部门得分× ×404030%)%)
× ×标准绩效工资30%)绩效工资绩效工资管理系统薪酬管理系统薪酬 ★★ 绩效工资核发办法绩效工资核发办法24 二级部负责人绩效工资= (个人得分×25%+所在部门得分×45%+ 所属一级部得分×30%)
×标准绩效工资×绩效工资核发系数 一级部副部长以上人员绩效工资= (个人得分×40%+所在部门得分×60%)
×标准绩效工资×绩效工资核发系数 一线部门和二线部门的权重应有所区别
管理系统薪酬管理系统薪酬 ★★ 绩效工资核发办法绩效工资核发办法得分1 50以上1 20- 1 501 00- 1 20绩效奖金绩效奖金核发系数得分/1 00×1 1 5得分/1 00×1 .1 5 得分/1 00×1 .1
得分/1 00×1 .0 得分/1 00×1 1得分/1 00×1 0建议的绩效工资核发系数表建议的绩效工资核发系数表25得分80- 1 0060 - 8060以下绩效奖金核发系数得分/1 00×0.95 得分/1 00×0.900目的——强化对业绩良好人员的奖励, 树立员工仿效的典型
1 . 1 . 每年董事会根据企业经营效益状况决定年终奖每年董事会根据企业经营效益状况决定年终奖金的总额:金的总额:– – 董事会决定总裁、 付总裁奖金数额董事会决定总裁、 付总裁奖金数额– – 总裁决定一级部副部长以上或同等级别人员的奖金总裁决定一...
篇三:工作方案的基本思路与框架
页结合实践构建结合实践构建电子政务信息安全保障体系电子政务信息安全保障体系的思路和框架的思路和框架的思路和框架的思路和框架2005年4月北京启明星辰信息技术有限公司首席 战略官 潘柱廷
摘要•构建信息安全保障体系1. 原则和要求2. 了解威胁(4类)3 了解资产和业务(ITA3. 了解资产和业务(ITA、 安全域)4. 了解保障措施(产品和服务)5. 思路(7类模型)6. 框架(PPT+AIDARC)7. 当前构建“保障” 体系的要点—检测安全域)
问题• 什么是信息安全?• 到底要解决那些问题?• 到底要解决那些问题?• 怎么实施信息安全建设?
问题• 什么是信息安全?– 通过回答最根本的问题, 帮助我们探究事物的本原。• 到底要解决那些问题?到底要解决那些问题?– 明确工作的目标和要求, 从一个大的广泛的概念中寻找自身的定位。• 怎么实施信息安全建设?– 通过回答最实际的问题, 帮助我们获得需要的实效。
1 . 原则、 要求•中办发27号文•十六届四中全会文件
中办发[2003]27号国家信息化领导小组关于加强信息安全保障工作的意见(2003年8月26日)
加强信息安全保障工作-总体要求• 总体要求:– 坚持积极防御、 综合防范的方针,– 全面提高信息安全防护能力,– 重点保障基础信息网络和重要信息系统安全,– 创建安全健康的网络环境,– 保障和促进信息化发展,– 保护公众利益, 维护国家安全。
加强信息安全保障工作-主要原则• 主要原则:– 立足国情, 以我为主,– 坚持管理与技术并重;– 正确处理安全与发展的关系, 以安全保发展,在发中求安全在发展中求安全;– 统筹规划, 突出重点, 强化基础性工作;– 明确国家、 企业、 个人的责任和义务, 充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
加强信息安全保障工作-九项任务• 系统等级保护和风险管理• 基于密码技术的信息保护和信任体系• 网络信息安全监控体系• 应急处理体系加技术究推进产• 加强技术研究, 推进产业发展• 法制建设、 标准化建设• 人才培养与全民安全意识• 保证信息安全资金• 加强对信息安全保障工作的领导, 建立健全信息安全管理责任制发
十六届四中全会文件《中共中央关于加强党的执政能力建设的决定》
摘要三、 加强党的执政能力建设的指导思想、总体目标和主要任务… …全党要紧紧围绕上述任务, 立足现实、 着眼全党要紧紧围绕上述任务, 立足现实、 着眼长远, 抓住重点、 整体推进, 不断研究新情况、 解决新问题、 创建新机制、 增长新本领,全面加强和改进党的建设, 使党的执政方略更加完善、 执政体制更加健全、 执政方式更加科学、 执政基础更加巩固。
摘要—关于信息(1 )五、 坚持党的领导、 人民当家作主和依法治国的有机统一, 不断提高发展社会主义民主政治的能力(三)
改革和完善决策机制, 推进决策的科学(三)
改革和完善决策机制, 推进决策的科学化、 民主化。
... ... 有组织地广泛联系专家学者, 建立多种形式的决策咨询机制和信息支持系统。
摘要—关于信息(2)八、 坚持独立自主的和平外交政策, 不断提高应对国际局势和处理国际事务的能力(四)
始终把国家主权和安全放在第一位, 坚决维护国家安全。
针对传统安全威胁和非传统安全威胁的因素相互交织的新情况因素相互交织的新情况, 增强国家安全意识, 完善国家安全战略, 抓紧构建维护国家安全的科学、 协调、 高效的工作机制。
坚决防范和打击各种敌对势力的渗透、 颠覆和分裂活动, 有效防范和应对来自国际经济领域的各种风险, 确保国家的政治安全、经济安全、 文化安全和信息安全。增强国家安全意识完善
摘要—关于信息(3)• 坚持国防建设与经济建设协调发展, 建设一支现代化、 正规化的革命军队, 确保国防安全,是党执政的一项重大战略任务。
... ... 坚持积极防御的军事战略方针, 积极推进中国特色军事变革和军事斗争准备变革和军事斗争准备, 坚定不移地走中国特色的精兵之路, 按照建设信息化军队、 打赢信息化战争的目标, 提高信息化条件下的防卫作战能力。
... ...坚定不移地走中国特色
信息安全工作的思路• 信息安全工作不是仅仅防火墙、 防病毒、入侵检测、 管理制度… …• 已经逐步从单纯开发技术和产品本身,转向同时从整体保障框架着眼, 解决实转向同时从整体保障框架着眼, 解决实际问题, 实现价值。
专业厂商要协助客户完善保障体系
专业厂商要协助客户完善保障体系
问题• 什么是信息安全?• 到底要解决那些问题?• 到底要解决那些问题?• 怎么实施信息安全建设?
2、 了解威胁
威胁环境——攻击事件层出不穷全球网络安全事件呈迅速上升的趋势, 安全威胁无处不在, 愈演愈烈
威胁环境——漏洞越来越多
威胁环境——危害没有停歇的时候漏洞A漏洞B漏洞C漏洞C
威胁环境——漏洞变成实际危害的速度越来越快一些入侵者利用这些工具自动扫描和攻击工具出现大量攻击出现入侵者开始关注其他漏洞注其他漏洞高级入侵者发现漏洞粗糟的攻击工具被发布Advisory typically released
威胁环境——攻击越来越高级却越来越容易攻击技术和实施攻击所需的知识呈相反趋势发展, 致使黑客攻击技术越来越容易被掌握和应用
威胁环境——威胁金字塔
威胁环境——攻击技术大融合黑客攻击技术和病毒技术互相融合, 形成新一代的恶意代码,成为目前网络中的严重威胁
威胁环境总结• 危害的频度、 范围越来越大• 攻击的技术含量越来越大• 攻击的技术成本越来越低攻击的法律风险还难于真正体现• 攻击的法律风险还难于真正体现• … …
威胁的总结• 恶意代码– 人为发起的越权和入侵类– 病毒、 蠕虫等传播类– 发起的拒绝服务攻击类• 违规操作– 误操作– 违规业务发起的拒绝服务攻击• 恶意信息– 恶意传播有害信息– 垃圾信息(垃圾短信、垃圾邮件等)信息泄漏– 信息泄漏• 物理问题– 设备故障– 环境事故– 自然灾害
针对威胁的主要技术• 针对恶意代码– 防火墙、 防病毒、 入侵检测、 漏洞扫描…• 违规操作流量监控审计– 流量监控、 审计、 应用系统安全措施…• 恶意信息– 内容监控、 内容过滤、 加密…• 物理问题– 容灾、 备份…应用系统安全措施
问题• 什么是信息安全?• 到底要解决那些问题?• 到底要解决那些问题?• 怎么实施信息安全建设?
3、 了解资产和业务
作安全必须了解资产和业务• “正确处理安全与发展的关系, 以安全保发展, 在发展中求安全”• 等级保护的要求也要我们做到对自身的了解, 才能做到适度的防护了解, 才能做到适度的防护• 我们对于信息系统的依赖程度决定了我们在安全上的投入
怎么了解资产和业务(IT相关)• 分析信息体系架构ITA– 业务系统– 网络分布形态– 系统的层次性系统的层次性– 技术和管理– 时间(生命周期)– 价值(资产价值、 影响价值、 投入)
机构典型的ITA及其安全思维公共网络广域网络机构内网对外发布对外业务渠道核心业务内部业务OA、 财务等业务支撑安全保障异地内网异地灾备
ITA分析初探-业务• 业务分类– 对外业务– 核心业务– 内部支撑业务内部业务– 内部业务– 对外发布系统
ITA分析初探-层次数据和介质数据和介质人员和组织人员和组织使命和价值使命和价值物理和环境物理和环境网络与通信网络与通信主机和系统主机和系统应用和业务应用和业务
ITA分析初探-分布式• 从安全角度梳理网络结构的主要方法– 节点路径法– 子网边界法– 安全域方法安全域方法• 子网和边界分析• 路径和节点分析
关于资产和业务方面的趋势• 用结构化的方法描述自身的资产和业务是更加系统化、 更加全面地进行安全保护的基础– 安全域方法逐步成为比较现实地描述网络和安全域方法逐步成为比较现实地描述网络和系统环境的方法
各种ITA方法的要义• 安全域方法等各种信息体系结构表示方法的关键目标就是– 简化– 结构化结构化– 表达出要点
问题• 什么是信息安全?• 到底要解决那些问题?• 到底要解决那些问题?• 怎么实施信息安全建设?
4、 了解保障措施
保障体系的形成
技术环境——当前主流的基本安全产品• 加密• 防病毒• 防火墙入侵检测• 入侵检测• 漏洞扫描• 身份认证• VPN• … …
技术环境——各项技术已经部署的比例防病毒防火墙VPN漏洞扫描侵检入侵检测IDS软因素认证硬因素认证企业安全管理安全事件信息管理入侵防御系统标识管理IT审计渗透性测试安全管理服务管家安全服务
技术环境——各项技术将不被考虑的比例防病毒防火墙VPN漏洞扫描漏洞扫描入侵检测IDS软因素认证硬因素认证企业安全管理安全事件信息管理入侵防御系统标识管理IT审计渗透性测试安全管理服务管家安全服务
技术环境——当前主流的基本安全服务• 咨询服务• 整体框架规划和设计• 评估加固服务• 对于主机和网络进行技术评估和加固• 风险评估服务• 对系统的整体风险进行评估并对风险管理提供设计• 渗透性测试服务• 安全教育和培训• … …险估务
问题• 什么是信息安全?• 到底要解决那些问题?• 到底要解决那些问题?• 怎么实施信息安全建设?
5、 思路
思考信息安全问题的7大模型(思路)思考信息安全问题的7大模型(思路)
思考信息安全问题的7大模型• M1: 整体定位模型和方法• M2: 信息体系架构• M3: 信息安全属性概念• M4: 管理模型和方法• M5: 技术功能模型和方法• M6: 评价和决策模型和方法• M7: 工程模型和方法
思考信息安全问题的7大模型• M1: 整体定位模型和方法– 阐述信息安全的整体定位和结构, 综合构架和执行的方法• M2: 信息体系架构– 表述我们要保护的对象及其结构• M3: 信息安全属性概念– 阐述信息安全要达到的目标阐述信息安要达到的目标• M4: 管理模型和方法– 阐述信息安全管理• M5: 技术功能模型和方法– 阐述信息安全的功能及其关系, 如:
PDR等• M6: 评价和决策模型和方法– 阐述信息安全的评价和决策方法, 如:
风险评估等• M7: 工程模型和方法– 体现了信息安全的基于过程的工程方法, 比如PDCA等
M1 : 整体定位模型• 三观安全论:
宏观-中观-微观• AST架构:
资产/业务-保障-威胁• PPT框架:
人-过程-技术
三观安全论宏观微观中观
业务-保障-威胁、 PPT框架• 全面的观点– 业务• 保护的目标– 威胁• 内部外部的负面因素• 内部外部的负面因素– 保障• 手段、 措施、 方法• 保障的架构– People人员• 组织、 能力、 动力(使命)– Process过程Process过程• 在正确的时间• 以正确的方式• 做正确的事情– Technology技术• 当前可以实现的
M2: 信息体系架构ITA• 业务• 分布式—网络结构、 地理分布等• 层次性技术和管理并重• 技术和管理并重• 时间—生命周期• 价值—资产和业务
M3: 信息安全属性• 经典的安全目标(属性)
- CIA– Confidentiality 保密性– Integrity 完整性– Availability 可用性Availability 可用性
安全目标:
安全属性和安全管理属性• 7个信息安全属性– 保密性Confidentiality– 完整性Integrity– 可用性Availability真实性– 真实性Authenticity– 不可否认性Non-Reputation• 7个信息安全管理属性– 目标性Focus– 执行性Execution– 效益性Cost-effective效益性Cost effective– 时效性Time-bound– 适应性Adaptive– 全局性Coherence– 合规性Compliance– 可追究性Accountability– 可控性Controllability
参考:
人民银行的描述• 重大应用系统业务工作的连续可用性• 业务工作责任的不可否认性• 业务数据和信息的真实完整性涉及国际秘密和行业敏感信息的保密性• 涉及国际秘密和行业敏感信息的保密性• 什么人、 可以访问什么资源、 有什么权限、 以及控制授权范围内的信息流向及行为方式等的可控性
M4: 管理模型• 信息安全管理模型– BS7799– ISO13335– 12-ISMC12 ISMC
信息安全管理标准BS7799/ISO1 7799– 信息安全管理纲要、 指南Part I: Code of practice for inform ation security m anagem entinform ation security m anagem ent– 信息安全管理认证体系Part II: Specification for inform ation security m anagem ent
BS7799 / ISO 1 7799• 安全策略安全组织• 安全组织• 资产分类及控制• 人员安全• 物理和环境安全• 通信和运作管理系统访问控制• 系统访问控制• 系统开发与维护• 业务连续性规划• 符合性信息安全管理纲要Code of practice for information security management
1 2信息安全管理类模型PHY 环境与设备POL 方针和策略RSK 风险管理ENGENG项目工程NET 网络与通信SYS 主机与系统APP 应用与业务DAT 数据/文档/介质BCM 业务连续性管理OPR运行与维护ORG人员和组织CPL合规性
M5: 技术功能模型• PDR及其衍生模型
M6: 评价和决策方法• 风险管理• 业务连续性管理• 投资回报分析项目方案规划方法• 项目方案规划方法
什么是风险?• 风险:对目标有所影响的某个事情发生的可能性。
它根据后果和可能性来度量。• Riskthhfthithe chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood.hith till h-AS/NZS 4360:1999《风险管理》
风险管理的关系图
ISO1 3...
篇四:工作方案的基本思路与框架
锐思上市公司内控体系建设工作思路与实施方案上市公司内控体系建设实施方案与工作思路立信锐思咨询2011 年2月
上市公司内控体系建设实施方案与工作思路第3页上市公司内控体系建设实施方案与工作思路一、 内部控制法规解读中国内部控制法规介绍企业如何应对内控法规二、 企业内部控制体系的建立:
工作思路与实施方案三、 关于我们
上市公司内控体系建设实施方案与工作思路第4页中国内部控制相关法规的发展历程9 70 00 30 60 99 80 10 40 79 90 20 50 81 06月5日, 上海证券交易所出台《上海证券交易所上市公司内部控制指引》6月6日, 国务院国有资产监督管理委员会“关于印发《中央企业全面风险管理指引》 的通知”9月28日, 深圳证券交易所出台关于发布《上市公司内部控制指引》 的通知2008年6月28日, 财政部、 证监会、 审计署、 银监会、 保监会联合召开企业内部控制基本规范发布会、 发布了《企业内部控制基本规范》 以及配套规范的征求意见稿2009年1 月, 陆续发布了《企业内部控制应用指引》 的数个更新稿3月3日, 财政部发布关于印发《企业内部控制规范——基本规范》 和1 7项具体规范(征求意见稿)
的通知6月5日, 中共中央办公厅、 国务院办公厅印发了《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》4月26日, 财政部、 证监会、 审计署、 银监会、 保监会联合发布了《企业内部控制配套指引》 。该配套指引包括1 8项《企业内部控制应用指引》 、 《企业内部控制评价指引》 和《企业内部控制审计指引》 , 标志着我国企业内部控制规范体系基本建成
上市公司内控体系建设实施方案与工作思路第5页中国风险管理与内控法规概览《应用指引》 具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的, 相关定义, 该流程的主要风险, 岗位分工及授权批准,及主要流程的控制程序。《评价指引》 具体规范了内控评价的内容和标准,评价的程序和方法, 内控缺陷的认定, 以及规定了评价报告的相关内容。《审计指引》 指导注册会计师执行内控审计业务。企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引上市公司内控指引• 上交所内控指引• 深交所内控指引行业内控指引•商业银行内控指引•证券公司内控指引•保险公司内部控制基本准则行业监管机构行业监管机构财政部等五部委出台的《企业内部控制基本规范》 , 为企业提供了完整和公认的内部控制框架,同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。证交所出台了一系列的内部控制指引, 为上市公司建立和实施内部控制制度提供指引。证券交易所证券交易所中央企业全面风险管理指引国资委国资委财政部等五部委财政部等五部委国资委出台的指引强调对风险的识别、 分析、 评估、 防控和监督, 为企业防控风险, 建立控制体系提供指引。
上市公司内控体系建设实施方案与工作思路第6页内部控制的定义内部控制, 是由企业董事会、 监事会、 经理层和全体员工实施的、 旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、 资产安全、 财务报告及相关信息真实完整, 提高经营效率和效果, 促进企业实现发展战略。- - - - 《企业内部控制基本规范》 2008注册会计师应当对财务报告内部控制的有效性发表审计意见, 并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷, 在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段” 予以披露。- - - - 《企业内部控制审计指引》 201 0
上市公司内控体系建设实施方案与工作思路第7页五部委内控体系:
基本思路、 原则和目标全全体体员 员工工管管理理层层治治理理层层信息沟通控制活动风险评估内部环境内部监督企业建立与实施有效的内控, 应当包括五项要素内部控制应由企业董事会、 监事会、经理层和全体员工共同实施Ø 全面性原则:
覆盖各种业务和事项 。Ø 重要性原则 :
关注重要业务事项和高风险领域。Ø 制衡性原则 :
相互制约、 相互监督, 并兼顾运营效率。Ø 适应性原则 :
与企业相适应,并随情况的变化及时加以调整。Ø 成本效益原则 :
权衡实施成本与预期效益。Ø 合法合规Ø 资产安全Ø 财务报告及相关信息真实完整Ø 提高经营效率效果Ø 促进企业实现发展战略* 立信锐思根据《企业内部控制基本规范》 整理
上市公司内控体系建设实施方案与工作思路第8页五部委内控体系:
整体框架企 业 内 部 控 制 基 本 规 范企 业 内 部 控 制 应 用 指 引组织架构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统企业内部控制评价指引企业内部控制审计指引内部环境类控制活动类控制手段类
上市公司内控体系建设实施方案与工作思路第9页国资委全面风险管理体系收集风险管理初始信息进行风险评估全面风险管理组织体系全面风险管理基本流程企业经营管理体系制定风险管理策略风险管理解决方案监督及改进业务流程战略管理治理结构全面风险管理文化全面风险管理信息系统* 立信锐思根据《中央企业全面风险管理指引》 整理
上市公司内控体系建设实施方案与工作思路第10页现金流风险盈利能力风险投资风险债务风险资产负债率速动比率担保净资产比已获利息倍数现金部资产比存货周转率应收账款周转率盈余现金保障倍数净资产收益率经营性营业利润占比主营业务利润率投资收益率投资现金收益率上海国资委风险预警指标外部推动集团公司的财务风险预警母子公司重大财务事项管控母子公司财务精细化管理国资委全面风险管理:
财务风险管理框架
上市公司内控体系建设实施方案与工作思路第11页交易所上市公司内控指引框架交易所内控框架风险评估检查与监督控制活动目标设定内部环境信息与沟通事项识别风险对策p 对控股子公司的管理控制p 关联交易内部控制p 对外担保的内部控制p 募集资金使用的内部控制p 重大投资的内部控制p 信息披露的内部控制p 内部控制自我评价报告应与公司年度报告同时对外披露p 制定并执行公司内部控制自查制度和年度内部控制自查计划p 改进内部控制缺陷和异常事项* 立信锐思根据《上市公司内控指引》 整理
上市公司内控体系建设实施方案与工作思路第12页u《上市公司内控指引》第三条制制度, 保证内控制度的完整性、 合理性及实施的有效性, 以提高公司经营的效果与效率, 增强公司信息披露的可靠性, 确保公司行为合法合规。在本所上市的公司应当按照法律、 行政法规、 部门规章以及本所股票上市规则的规定建立健全内部控第二十九条十年。检查监督部门的工作资料, 包括内部控制检查监督工作报告、 工作底稿及相关资料, 保存时间不少于第三十二条控制自我评估报告的核实评价意见。公司董事会应在年度报告披露的同时, 披露年度内部控制自我评估报告, 并披露会计师事务所对内部第十一条险点、 采取的控制措施、 有关证据资料以及认定结果等。评价工作底稿应当设计合理、 证据充分、 简便易行、 便于操作。内部控制评价工作应当形成工作底稿, 详细记录企业执行评价工作的内容, 包括评价要素、 主要风外部法规的核心要求u五部委《企业内部控制基本规范》第六条企业应当根据有关法律法规、 本规范及其配套办法、 制定本企业的内部控制制度并组织实施。第十四条单位。企业应当通过编制内部管理手册, 使全体员工掌握内部机构设置、 岗位职责、 业务流程等情况, 明确权责分配, 正确行使职权。企业应当结合业务特点和内部控制要求设置内部机构, 明确职责权限, 将权利与责任落实到各责任第四十六条企业应当结合内部监督情况, 定期对内部控制的有效性进行自我评价, 出具内部控制自我评价报告。u《企业内部控制评价指引》
上市公司内控体系建设实施方案与工作思路第13页企业如何应对以上法律法规1 2 3 -企业知道它所面对的主要风险吗?-例如:
什么风险正在或者将会影响企业?-企业是否已对这些风险进行了管理?-企业需要就各业务单位在日常运作中所面对的风险, 构建内部控制管理体系, 以确保目标的实现-企业的内控管理体系是否能实现动态的自我更新?-企业要对其内部控制管理体系进行监控和测试, 以确保内控管理的有效性证监会、 交易所、 国资委及其他监管部门的多项法规的三项核心要求:企业应对:企业应对:识别风险, 制作风险数据库识别风险, 制作风险数据库企业应对:企业应对:完善内控制度, 编制内控手册完善内控制度, 编制内控手册企业应对:企业应对:开展内控评价, 完善评价底稿开展内控评价, 完善评价底稿
上市公司内控体系建设实施方案与工作思路第14页内部控制管理的“三步走” 战略内部控制体系建设建立内部控制的基本流程, 尤其是基于财务报告的内部控制, 包括财务、 关联交易、 投融资等核心流程风险预警指标梳理与考核通过梳理、 设定、 监控企业的风险管理指标体系, 来实现对风险的主动管理, 预先控制和考核激励基于信息化的内控管理通过业务流程信息系统实现对风险的自动控制通过信息系统实现对内控管理信息的自动收集、 分析、 处理、 呈报和利用• 工作思路必须科学合理, 符合企业的管理风格和管理基础•领导自上而下的推行和全体员工的理解和参与•建立合理的指标体系•建立指标信息的收集系统•根据指标体系完善绩效考核与激励•配套的内部控制管理措施•管理人员的素质和内控管理能力•重大风险损失得到初步控制;•企业经营风格从机会导向转为管理导向•实现对风险的提早发现, 全面分析, 考核激励和预先控制•极大提升管理的精细化程度,提高企业战略的执行力•由人工控制提升为系统自动化控制, 集中控制•内控管理信息的自动收集、 分析、 处理、 呈报和利用, 节省企业内控管理的精力难 点收 益发展阶段目前大多数企业所处的阶段
上市公司内控体系建设实施方案与工作思路第15页上市公司内控体系建设实施方案与工作思路一、 内部控制法规解读二、 企业内部控制体系的建立:
工作思路与实施方案我们对上市公司实施内部控制体系建设需求的理解项目整体解决方案三、 关于我们
上市公司内控体系建设实施方案与工作思路第16页我们对上市公司内部控制体系建设需求的理解上市公司n 基于财务报告的内部控制与基于全面风险管理的内部控制体系的整合n 内部控制体系与全面风险管理体系的整合n 《企业内部控制基本规范》 及配套指引n 《全面风险管理指引》n 《上市公司内控指引》内部控制整合框架为了 全面应对风险管理和内部控制的相关法律法规, 上市公司应该构建一个内部控制的整合框架体系, 做到“两个融合” 。
上市公司内控体系建设实施方案与工作思路第17页内控建设的整合框架模型业务分析与流程梳理识别与评价关键控制点内控梳理和建立企业各层级业务经营管理完善内控的措施和体系内控体系的实施推进内控自我评估及改进业务与流程管理战略管理公司治理下属分支机构管控加强组织领导, 建立内控组织管理架构加强信息化建设,实现系统化的控制加强培训教育,提升企业的内控理念
上市公司内控体系建设实施方案与工作思路第18页内控整合框架的建设步骤第一阶段:
调研诊断第二阶段:
体系建立第三阶段:
评估改进• 成立内控建设小组• 对业务的深入调研• 全面分析和诊断• 识别所有的主要风险• 梳理完善各项业务的管理制度和控制措施• 编制针对风险的内控手册• 对制度和手册进行辅导实施的推进• 编制规范的内控评估底稿• 对内控进行自我评估• 编制和披露内控自我评估报告• 对内控缺陷的改进和完善• 聘请第三方进行内控审计
上市公司内控体系建设实施方案与工作思路第19页调研诊断的工作思路
上市公司内控体系建设实施方案与工作思路第20页体系建设的工作思路-企业知道它所面对的主要风险吗?-企业是否已对这些风险进行了管理?--企业的内控管理体系是否能实现动态的自我评价和更新?1 2 3 风险数据库风险数据库风险管理及风险管理及内控手册内控手册控制措施评价表控制措施评价表内部控制体系文件
上市公司内控体系建设实施方案与工作思路第21页评估改进的工作思路动态内控管理步骤定期监督评价内控管理部门:-对内控设计有效性进行评估;-提出调整或改进建议, 出具评价和建议报告。内部审计部门:-对包括内控管理职能部门在内的各有关部门和业务单位能否按照有关规定开展内控工作及其工作效果进行监督评价。
上市公司内控体系建设实施方案与工作思路第22页在各级员工中提升内部控制文化与理念在各级员工中提升内部控制文化与理念内部控制手册中与每个循环对应的核心内内部控制手册中与每个循环对应的核心内容容内控体系的成果:
内部控制体系文件的整体架构XXX公司内部控制体系文件风险数据库控制文档评价手册全方位的培训体系部分主要内容总纲概述、 目 的、 原则、 依据、 主要内容介绍、 领导相关要求内部控制组织结构确定内 控管理职能部门、 内审 部门和法律事务部门以及其他有关职能部门、 业务单位的组织领导机构及其职责及权责分配内部控制文化理念企业的内部控制文化的要素、 每个要素的关注点及应对措施内部控制基本框架...
推荐访问:工作方案的基本思路与框架 工作方案 框架 基本思路
