收藏
下载资源

信息系统的战略

上传人:jiups****uk12 文档编号:40023355 上传时间:2018-05-22 格式:DOC 页数:93 大小:505.50KB
返回 下载 相关 举报
信息系统的战略_第1页
第1页 / 共93页
信息系统的战略_第2页
第2页 / 共93页
信息系统的战略_第3页
第3页 / 共93页
信息系统的战略_第4页
第4页 / 共93页
信息系统的战略_第5页
第5页 / 共93页
点击查看更多>>
资源描述

《信息系统的战略》由会员分享,可在线阅读,更多相关《信息系统的战略(93页珍藏版)》请在金锄头文库上搜索。

1、1面向信息时代的信息技术面向信息时代的信息技术本书是应国际注册内部审计师 CIA 培训需要,在 2001 年授课基础上编写而成。主要供企业 内部审计人员参加 CIA 认证考试,以及企业管理人员学习掌握信息技术使用。 随着我国加入世贸组织,企业需要在更广阔的国际视野中通过竞争,求生存、求发展。在 这个过程中,利用信息技术提高企业核心竞争能力,将是发展的必然趋势。包括财会人员在内 的企业管理人员,学习掌握信息技术,已经成为了不容回避的当务之急。注册内部审计师资格 认证考试,以其新颖、务实的知识体系受到世界众多国家的认可。中国内审协会适时地引入了 该项考试。关于信息技术已有的教材很多,但是适合于企业

2、管理需要、供非专业人员学习的教 材却很难发现。本书参照 CIA 认证考试所要求的知识体系,系统讲述了企业的信息系统应用、 技术基础和相关的安全管理控制,特别适合管理人员对信息技术的学习、掌握和在实际工作中 应用。 本书包括 5 章内容。第 1 章重点讲述企业的各种信息系统应用及相关管理知识;第 2 章从 计算机硬件、操作系统及网络通信等技术角度讲述信息系统的技术基础;第 3 章讲述信息系统 中的数据管理;第 3 章介绍信息系统的建设方法、过程与相关步骤;第 5 章从系统安全的角度 讲述各方面安全控制措施。 在本书行将成稿之即,特别感谢李海峰硕士在本书编写过程中提供的各种支持。另外也感 谢王颖峰

3、小姐参与第 3 章内容的编写,并牺牲了大量个人时间为本书的编写提供帮助。本书编 写时间紧,内容涵盖知识面广,多有未尽之处,请不吝赐教指正。第一章:信息系统的战略 信息系统安全的控制目标 与信息系统相关的管理问题 信息系统运转的职能部门 信息系统的战略应用 新出现的技术第二章:硬件、平台、网络等 计算机设备 计算机网络 通讯技术与数字通信 操作系统第三章:数据处理 微机软件 数据流与数据处理 数据组织与不同类型的文件 数据库程序 EFT 与 EDI第四章:系统开发 最终用户开发的风险 系统维护与更改控制的控制目标 系统开发控制 系统开发生命周期 软件许可证问题 程序设计方法 系统开发的技术与工具

4、第五章:信息系统 信息系统的风险2不同水平的信息系统安全控制 持续计划 应用软件中的控制附录:计算机术语第一章:信息系统的战略第一章:信息系统的战略信息系统安全的控制目标信息系统安全的控制目标1 信息系统的风险 风险是发生某种威胁使资产损失或破坏的潜在可能。 风险的概念包括以下内容: 威胁、薄弱点、处理过程或资产; 对资产基于威胁和薄弱点的影响; 袭击的可能性。 风险的概念包括四个元素:资产、威胁、脆弱性、影响。 信息系统中的资产包括:信息和数据、硬件、软件、服务、文档、人员 信息系统受到的威胁包括:错误、恶意破坏、欺诈、盗窃、软硬件故障 信息系统的薄弱点包括:用户缺乏知识、缺乏安全措施、口令

5、缺少变化、未经测试的技术、 无保护的数据传输 威胁所带来的影响包括:直接的经济损失、违反法律、名誉声望受损员工或客户受到威胁、 信心受损商业机会的损失、效率与性能的降低、商业行为中断。2 信息系统的控制目标 控制是为实现企业目标,避免、检查、纠正不受欢迎事件发生提供合理担保的政策、措施 和组织结构。控制目标是通过实施控制过程要达到的目的或结果。 企业内部控制的目标包括: 资产的保全 服从于公司的方针政策、管理和立法的需要 输入授权 处理过程准确且完整 输出完整且安全 处理过程的可靠性 备份与恢复 操作的有效性和效率 内部控制目标应用于各个领域,不管是手工处理还是自动处理。因此信息系统环境下的控

6、 制目标并为发生改变,具体在一些控制特征上会有一些不同。 信息系统控制目标的定义是通过在特定的信息系统行为中实施控制过程所要达到的目的或 者获得的结果的描述。 以下是信息系统控制目标的举例: 到目前为止自动系统上的数据一直被正确的处理和保存,从而处于安全状态。 每项操作都经过授权,并且只处理一次。 所有的操作都有记录,并且都是在正确的时间段进行的。 所有的拒绝操作都有报告。 重复操作有报告 文件都经过充分备份,以备正确的恢复。 对软件的所有变动都经核实,并进行了测试。与信息系统相关的管理问题与信息系统相关的管理问题1 信息系统实施战略 战略计划将公司或部门的目标变为具体的行动。理解计划有助于确

7、保组织运转的有效性和3效率。 为了确保组织整体目标的成功实现,信息部门应该有自己的长期计划和短期计划。这些计 划应与组织计划保持一致。 组织的高层管理人员应一个计划或一个指导委员会以监督信息部门的行为。这个指导委员 会应包括来自高级管理层、信息系统部门和用户部门的管理人员的代表。这个委员会对主要的 信息系统项目进行综合评定,而不涉及信息系统的日常操作。委员会的主席最好能理解信息技 术所带来的风险和问题。 122 人力资源政策与实践 企业的人力资源政策应包括以下内容:人员雇用、职工手册、提职政策、培训、考评、休 假、解雇等。 1人员雇用 为了保证人选的符合空缺职位的需要以及公司成员工作的有效性和

8、效率应采取以下检查: 背景检查 信任协议 雇员应受到约束防治财产失窃; 利益冲突协议; 非竞争协议; 控制风险包括: 雇员可能不适合空缺的职位; 指定的检查可能没有执行; 临时雇员和第三方协约执行人可能带来不可控制的风险。 2职工手册 企业的职工手册包含以下内容: 安全政策与程序 公司的期望 雇员的利益 休假政策 加班规则 出差 业绩评价 紧急情况处理 纪律 3提职政策 企业的职位升迁政策应当公平易于理解,且基于客观因素,综合考虑雇员的业绩、教育、 经验与担当的责任水平。 4培训 培训的内容应涵盖相关管理能力、工程管理与技术领域。当应用新的硬件与软件时必须提 供培训。 5工作计划表与时间报告

9、正确的计划能够更有效的操作和使用计算机资源。而时间报告允许管理人员监督计划的执 行情况,从而判断员工是否充足,操作是否有效。 6业绩考评 对雇员的评价,应对所有信息系统部门成员都是标准的,具有常规的评价依据。雇员工资 的增加、授予荣誉以及职位的提升都应该基于对雇员业绩的评价。 7休假 不可缺少的假期能够保证在最小情况下,至少一年有一次,其他人可以来替代原雇员的工 作。这样减少了错误或非法行为发生的机会。 8解雇政策 充分保护组织的计算机资产和数据 自愿辞职 当即解雇 退回所有的钥匙、身份标志、出入证 删除指定的注册号与密码;4通知其他员工以及设备安全部门以提高意识; 从工资表中删除该雇员 返还

10、所有的公司财产123 信息系统的评估方法 信息系统的评估方法提供了一个用于评价组织的行为是否或什么时间能够达到计划或期望 的水平的机制。可行的方法包括: 1信息系统预算 像其他部门一样,信息系统部门的管理人员也应编制预算。通过预算可以对财务信息进行 预测、监督和分析。能够充分掌握资金使用情况,特别是在成本支出比较大的信息系统环境下。2性能与增长计划 考虑到信息技术部门在企业中的战略重要性,以及技术的不断变化,性能与增长计划就显 得非常重要。性能与增长计划在企业长期或短期计划中都是必须反映的,并且在编制预算时, 也应考虑到。 3用户满意程度 用户满意程度,是评价有效的信息处理操作是否满足了用户的

11、需要。用户与信息部门应就 服务水平达成协议。审计人员定期进行审计,以检查协议是否得到贯彻执行。可以通过谈话或 调查文件的方法获得。 4工业标准 工业标准为判断具有相同信息处理环境的性能水平提供了依据。这个标准或参照可以从供 应商的其他用户、工业出版物或专业组织获得。 5财务管理 财务管理是企业职能的重要组成部份。在一个成本密集的计算机环境下,实施显著有效的 财务管理是很重要的。用户为所接受的信息技术服务付费,可以促使应用系统的改善,并监督 信息系统成本、和有限资源的利用。 6完成目标。 由于系统的效率取决于既有系统到改善,评估系统效果应包括将系统实际达到的性能和系 统预想达到的目标。这些目标包

12、括:可操作性、技术或者经济效益等。 信息系统部门应该安装有易理解的日志系统。包括手工和计算机自动生成的日志。这些日 志允许管理者监督系统工作情况。也可以作为严重问题的早期预警系统。124 质量管理 信息系统部门的质量管理任务涵盖以下过程: 软件开发、维护与实施; 软硬件的采购; 日常操作; 人力资源管理; 综合管理。 软件能力成熟度模型 CMM(CapabilityMaturityModel)将企业成熟度和软件质量过程划分 为 5 个等级:初始级、可重复级、已定义级、已管理级、优化级。 初始级:软件过程的特点是无秩序、甚至是混乱的,软件产品的成功往往依赖于极个别人 的努力与机遇。 可重复级:已

13、建立了基本的项目管理过程,可用于对成本、进度和功能特性进行跟踪。对 类似的应用项目,有章可循并能重复以往所取得的成功。 已定义级:软件过程已文档化、标准化,并形成了整个软件组织的标准软件过程。全部项 目均根据实际情况,采用了与实际情况相吻合的适当修改后的标准软件过程来进行操作。 已管理级:软件过程和产品质量有详细的度量标准。软件过程和产品质量得到了定量的认 识和控制。 优化级:通过对来自过程、新概念和新技术等方面的有用信息的定量分析,能够不断、持 续的对过程进行改进。信息系统运转的职能部门信息系统运转的职能部门5与信息处理设备有关的管理控制包括: 明确的人力资源政策和管理措施 信息处理环境与其

14、他组织环境的责任分离 信息处理环境内部的责任分离 评估操作有效性和效率的方法 131 管理结构 信息系统管理部门的管理结构通常包括两种:线型管理和项目管理。 1线型管理 线型管理的结构包括:系统开发经理、用户支持经理、数据管理、数据库管理员、技术支 持经理、安全管理员、网络管理/管理员、操作部门经理、质量保证经理。 系统开发经理:负责新系统开发和旧系统维护的程序员和系统分析员。 最终用户支持经理:负责信息系统部门与用户之间的联系。 数据管理:在大型信息技术环境下负责数据结构的定义,并将公司数据作为企业的一项资 产进行管理。 数据库管理员(databaseadministrator):负责维护组

15、织数据的数据库系统并保证其完整 性。 技术支持经理:负责管理维护系统软件的的系统程序员。 安全管理员:负责对信息系统的程序、数据和设备提供充分的物理与逻辑安全 网络经理/管理员:负责计划、实施、维护通信技术基础。可能也负责语音网络。 操作部门经理:负责计算机操作人员,包括计算机操作员、档案员、日程安排与数据控制 人员。 质量保证经理:负责谈判并促进信息技术各个领域的行为质量。 考虑到公司的大小、系统平台和成熟度,公司实际情况中,一个人可能担负几个职责。从 审计与控制的观点,日常操作与系统开发功能进行充分的分离是很重要的。这在小型的信息处 理环境下可能无法实现。此时信息系统审计人员应特别注意一些

16、弥补控制措施,例如较强的安 全和最终用户调节等措施。 2项目管理结构 信息系统项目的组成人员可能来自组织内部的任何部门,包括信息系统部门。项目经理不 一定信息系统部门的成员。项目经理应能控制项目的操作,并为项目的成功实施配置足够的资 源。项目组成员应既包括信息系统的专业人员,也应包括来自用户部门的成员。在项目组中信 息系统审计人员应作为控制的倡导者和专家身份出现。在项目中信息系统审计人员应提供独立 客观的评价以确保不牵涉入过多的责任破坏独立性。132 信息系统部门内部的职责 信息部门的结构随着企业规模和工作量大小而不同。一般包括两方面主要工作:信息处理 和系统开发维护。 信息处理主要从操作的观点关注信息系统,经常包括:计算机作业、系统编程、通信和档 案管理等内容。 系统开发主要关注计算机应用系统的开发、采购和维护。主要任务是系统分析和程序设计。信息系统操作部门的职能一般包括以下方面: 信息系统的操作管理 计算机操作 技术支持与帮助

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号