《第八章信息系统管理》由会员分享,可在线阅读,更多相关《第八章信息系统管理(84页珍藏版)》请在金锄头文库上搜索。
1、本章学习目标:本章学习目标:本章学习目标:本章学习目标:掌握项目管理的基本概念及项目计划的制定过程;掌握项目管理的基本概念及项目计划的制定过程;掌握项目管理的基本概念及项目计划的制定过程;掌握项目管理的基本概念及项目计划的制定过程; 了解项目管理的组织、成本管理、质量控制、风险控制了解项目管理的组织、成本管理、质量控制、风险控制了解项目管理的组织、成本管理、质量控制、风险控制了解项目管理的组织、成本管理、质量控制、风险控制和项目监理等内容;和项目监理等内容;和项目监理等内容;和项目监理等内容;掌握信息系统运行及维护的目的和内容;掌握信息系统运行及维护的目的和内容;掌握信息系统运行及维护的目的和
2、内容;掌握信息系统运行及维护的目的和内容;了解信息系统运行的安全管理;了解信息系统运行的安全管理;了解信息系统运行的安全管理;了解信息系统运行的安全管理; 5 5 5 5 了解信息系统管理部门以及信息人员道德修养。了解信息系统管理部门以及信息人员道德修养。了解信息系统管理部门以及信息人员道德修养。了解信息系统管理部门以及信息人员道德修养。第八章第八章 管理信息系统的管理管理信息系统的管理 第一节第一节 系统开发的项目管理系统开发的项目管理第二节第二节 系统的运行管理系统的运行管理第三节第三节 系统的安全管理系统的安全管理第四节第四节 系统的评价系统的评价第五节第五节 信息管理部门和人员修养信息
3、管理部门和人员修养 第八章第八章 管理信息系统的管理管理信息系统的管理 第一节第一节 系统开发的项目管理系统开发的项目管理本节内容:本节内容:一、信息系统项目概述一、信息系统项目概述二、信息系统项目计划二、信息系统项目计划三、信息系统项目成本管理三、信息系统项目成本管理四、信息系统项目质量控制四、信息系统项目质量控制五、项目风险控制五、项目风险控制六、信息系统项目的组织六、信息系统项目的组织 一、信息系统项目概述一、信息系统项目概述1 1、项目(、项目(projectproject) 项目项目是为实现一个特定的目标,有效地利用资源(如,时间、资金、人力、设备、材料、能源等)所做的一次性任务。例
4、如:某企业要求必须在例如:某企业要求必须在20092009年年5 5月月8 8日至日至20112011年年5 5月月8 8日的时间内日的时间内,以,以500500万万的预算完成的预算完成企业内部的信息化企业内部的信息化建设建设,项目涉及的资源包括,项目涉及的资源包括资金、设备、相关技术人资金、设备、相关技术人员员等。等。(一)项目管理基本概念(一)项目管理基本概念 根据美国国防部的统计,根据美国国防部的统计,其项目有其项目有80%处于处于失控状态。失控状态。经费超支:平均超支145%进度失控情况:180%。当时流行一句话“90,90”,即当一个项目声称完成了90%以后,还由90%的工作要做。质
5、量低劣:在忍受经费超支、进度落后的折磨后,完成的软件质量很差,无法维护。2 2、项目管理项目管理由此可见,项目管理的必要性。一、信息系统项目概述一、信息系统项目概述(一)项目管理基本概念(一)项目管理基本概念 项目管理项目管理是是对项目的管理活动对项目的管理活动。为达到项目的目标,在一定资源约束下条为达到项目的目标,在一定资源约束下条件,对项目进行有效地计划、组织、领导件,对项目进行有效地计划、组织、领导和控制。和控制。2 2、项目管理项目管理一、信息系统项目概述一、信息系统项目概述(一)项目管理基本概念(一)项目管理基本概念 投入力量时间识别需求提出解决方案执行项目结束项目项目的生命周期项目
6、的生命周期项目的生命周期项目的生命周期(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述投入力量时间识别需求提出解决方案执行项目结束项目项目的生命周期项目的生命周期项目的生命周期项目的生命周期(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述从客户角度主要解决为什么要做、做到什么程度的问题。主要解决为什么要做、做到什么程度的问题。(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述投入力量时间识别需求提出解决方案执行项目结束项目项目的生命周期项目的生命周期项目的生命周期项目的生命周期(二)项目的生命周期(二
7、)项目的生命周期一、信息系统项目概述一、信息系统项目概述从投标方或客户内部的项目团队角度主要解决谁来做的问题。主要解决谁来做的问题。将有两个以上的组织依据客户的需求建议将有两个以上的组织依据客户的需求建议书提出解决方案(投标书)。书提出解决方案(投标书)。(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述投入力量时间识别需求提出解决方案执行项目结束项目(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述项目的生命周期项目的生命周期项目的生命周期项目的生命周期此阶段主要解决做什么,何时做,如何做此阶段主要解决做什么,何时做,如何做的问题。
8、的问题。主要完成三项工作主要完成三项工作先制定详细的项目计划先制定详细的项目计划执行项目执行项目控制计划执行控制计划执行(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述项目计划定义项目目标工作分解结构界定具体活动绘制网络图时间估计成本估算项目进度计划及预算(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述投入力量时间识别需求提出解决方案执行项目结束项目(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述项目生命周期项目生命周期项目生命周期项目生命周期此阶段完成项目收尾工作。评估项目绩效此阶段完成项目收尾工
9、作。评估项目绩效是此阶段一项重要工作。了解客户满意度是此阶段一项重要工作。了解客户满意度和客户期望,总结问题并改进,以期在未和客户期望,总结问题并改进,以期在未来执行项目时能有所借鉴。来执行项目时能有所借鉴。(二)项目的生命周期(二)项目的生命周期一、信息系统项目概述一、信息系统项目概述(一)项目任务分解结构(一)项目任务分解结构任务分解结构任务分解结构是采用是采用分而治之的分而治之的方法将一方法将一个复杂的个复杂的项目分解为项目分解为易于管理的易于管理的若干个子若干个子任务任务,这些子任务还可以进一步划分形成,这些子任务还可以进一步划分形成多层次的任务分解结构。多层次的任务分解结构。二、信息
10、系统项目计划二、信息系统项目计划项目执行阶段重要的工作之一项目执行阶段重要的工作之一项目分解成的子任务称为项目分解成的子任务称为工作细目工作细目。工作包工作包是位于分支最底层的工作细目。是位于分支最底层的工作细目。任务分解结构是关于项目活动的全面的一任务分解结构是关于项目活动的全面的一览表,同时览表,同时也可指明负责每一工作细目的也可指明负责每一工作细目的组织或个人组织或个人。任何项目的任何项目的任务分解结构都不是唯一任务分解结构都不是唯一确定确定的,不同的人或项目组得出的任务分解结的,不同的人或项目组得出的任务分解结构可能是不同的。构可能是不同的。(一)项目任务分解结构(一)项目任务分解结构
11、例:某企业信息系统开发的系统实施阶段项目管理例:某企业信息系统开发的系统实施阶段项目管理项目任务分解结构项目任务分解结构项目任务分解结构项目任务分解结构 (一)项目任务分解结构(一)项目任务分解结构(二)责任矩阵(二)责任矩阵 责任矩阵责任矩阵是以表格形式是以表格形式表示表示任务分解结构任务分解结构中中每一项工作细目由谁负责每一项工作细目由谁负责。责任矩阵责任矩阵在任务分解结构的基础上制定在任务分解结构的基础上制定。责任矩阵责任矩阵中标明任务编号、任务名称、任中标明任务编号、任务名称、任务负责人。务负责人。二、信息系统项目计划二、信息系统项目计划例:某企业信息系统开发的系统实施阶段项目管理例:
12、某企业信息系统开发的系统实施阶段项目管理(续(续1)项目责任矩阵项目责任矩阵项目责任矩阵项目责任矩阵(二)责任矩阵(二)责任矩阵 注:注:P-主要负责人;主要负责人;S-次要负责人次要负责人(三)制定网络计划(三)制定网络计划安排进度计划是为了安排进度计划是为了更合理的安排时间和更合理的安排时间和控制时间控制时间。对于复杂的项目,对于复杂的项目,网络计划网络计划是非常有用的是非常有用的一种技术。从一个项目的开始到结束,一种技术。从一个项目的开始到结束,把把应当完成的任务用图或表的形式表示出来应当完成的任务用图或表的形式表示出来。二、信息系统项目计划二、信息系统项目计划常用的网络计划方法有两种:
13、常用的网络计划方法有两种:计划评审技术(Program Evaluation and Review Technique,PERT)关键路径法(Critical Path Method,CPM)另外,另外,甘特图(甘特图(Ganttchart)也是一种常用的也是一种常用的进度计划安排工具。进度计划安排工具。(三)制定网络计划(三)制定网络计划1 1、甘特图、甘特图1910年由亨利年由亨利甘特开发的甘特开发的用于描述进度用于描述进度计划的工具计划的工具。甘特图甘特图也叫做也叫做线条图或横道图线条图或横道图。甘特图甘特图中中横轴表示时间横轴表示时间,纵轴表示任务纵轴表示任务,横条表示活动预计需用的时
14、间横条表示活动预计需用的时间。(三)制定网络计划(三)制定网络计划例:某企业信息系统开发的系统实施阶段例:某企业信息系统开发的系统实施阶段项目管理(续项目管理(续2)甘特图甘特图甘特图甘特图 时间1 1、甘特图、甘特图优点:优点:甘特图甘特图简单明了。管理者可以直观地弄清简单明了。管理者可以直观地弄清还有哪些未完成任务,并评估任务是提前、还有哪些未完成任务,并评估任务是提前、滞后还是正常进行滞后还是正常进行至今仍是至今仍是小型项目小型项目的常用工具。的常用工具。在在大型项目大型项目中,高层管理者了解全局、基中,高层管理者了解全局、基层安排进度时有用的工具。层安排进度时有用的工具。1 1、甘特图
15、、甘特图缺点:缺点:甘特图甘特图中任务的中任务的计划和进度安排计划和进度安排是是同时进同时进行行的,手工改动计划很不方便。在绘制任的,手工改动计划很不方便。在绘制任务的起止时间时,务的起止时间时,考虑考虑它们的它们的先后顺序先后顺序,但各项但各项任务间的关系却没有表示出来任务间的关系却没有表示出来。因。因此,对于此,对于复杂的项目复杂的项目甘特图甘特图就不能满足需就不能满足需要。要。1 1、甘特图、甘特图2 2、网络图、网络图 网络图网络图是项目任务执行的计划图。是项目任务执行的计划图。从图中可以直观的了解项目所从图中可以直观的了解项目所包含的任务包含的任务、执行顺序执行顺序、时间计划时间计划
16、以及以及相互依赖关系相互依赖关系。绘制绘制网络图网络图有多种不同形式:用有多种不同形式:用节点节点表示表示任务和用任务和用箭头箭头表示任务。表示任务。与甘特图相比,网络计划方法中与甘特图相比,网络计划方法中计划和进计划和进度安排是分开的度安排是分开的。计划产生网络图计划产生网络图,从,从网网络图络图再生成一个进度计划表再生成一个进度计划表。(三)制定网络计划(三)制定网络计划例:某企业信息系统开发的系统实施阶段项例:某企业信息系统开发的系统实施阶段项目管理(续目管理(续3 3)项目团队完成甘特图之后,决定建立一张网项目团队完成甘特图之后,决定建立一张网络图来明确任务之间的相互依存关系。络图来明
17、确任务之间的相互依存关系。制定网络图网络图应先有一份任务和紧前事件的序列表,见表8-2所示。依据表8-2,项目经理用节点表示活动的形式制做了如图8-3所示项目网络图。2 2、网络图、网络图 任任务 紧前事件前事件工期估工期估计/ /周周1.硬件及网硬件及网络实施施- -10102.2.程序程序设计- -15153.3.系系统开开发报告告1 1,2 22 24.硬件及网硬件及网络测试3 32 25.程序程序测试3 34 46.系系统测试报告告4 4,5 52 27.7.系系统切切换6 63 38.8.培培训7 72 2系统项目工期估计表系统项目工期估计表系统项目工期估计表系统项目工期估计表2 2
18、、网络图、网络图 2 2、网络图、网络图 (四)制定项目进度计划(四)制定项目进度计划制定项目的进度计划就是要定义项目活动的具体时间安排。依据项目网络图、活动工期估计、预计开始时间和要求完工时间、最早开始和结束时间、最迟开始和结束时间、总时差产生项目进度表。然后,确定关键(最长)活动路径。二、信息系统项目计划二、信息系统项目计划(五)信息系统项目进度控制(五)信息系统项目进度控制项目进度控制项目进度控制是指在事先确定的是指在事先确定的固定报告固定报告期期内内定期定期监控项目的整个过程,确保每项监控项目的整个过程,确保每项活动按进度计划进行。活动按进度计划进行。进度控制进度控制是一项难度很大的工
19、作,大量未是一项难度很大的工作,大量未知的情况会使项目进度和预算等超出它预知的情况会使项目进度和预算等超出它预定的情况。定的情况。项目进度控制的步骤:项目进度控制的步骤:分析进度。分析进度。确定应采取什么措施进行纠正。确定应采取什么措施进行纠正。修改计划,并将纠正结果列入计划。修改计划,并将纠正结果列入计划。重新计算进度和预算,估计计划纠正后的重新计算进度和预算,估计计划纠正后的效果。效果。(五)信息系统项目进度控制(五)信息系统项目进度控制三、信息系统项目成本管理三、信息系统项目成本管理 项目成本管理项目成本管理主要完成项目过程中成本的估计、预算主要完成项目过程中成本的估计、预算和控制。和控
20、制。(一)项目成本估计(一)项目成本估计成本估计成本估计是对完成各项目任务是对完成各项目任务所需要的资源成本所需要的资源成本的近似的近似估计。估计。项目项目成本估计成本估计在准备项目建议书时就要进行。在准备项目建议书时就要进行。包括:包括:确定项目由哪些具体活动组成、活动需要什么资确定项目由哪些具体活动组成、活动需要什么资源、所需资源数量以及这些资源所需成本大约为多少。源、所需资源数量以及这些资源所需成本大约为多少。1.1.代码行法代码行法 2.2.任务分解法任务分解法 3.3.自动估计成本法自动估计成本法u 几种估计方法几种估计方法(二)项目成本预算(二)项目成本预算项目预算项目预算工作将项
21、目估计的成本汇总成项工作将项目估计的成本汇总成项目总成本,并分摊到各项具体的工作中。目总成本,并分摊到各项具体的工作中。项目预算项目预算过程总体上分为两步:过程总体上分为两步:为任务分解结构的各个工作包分配成本,形成各个工作包预算。分摊每个工作包的预算到整个工作包的工期内。三、信息系统项目成本管理三、信息系统项目成本管理 (三)项目成本控制(三)项目成本控制在项目开始实施之后,就要进行在项目开始实施之后,就要进行定期、及定期、及时地检查和跟踪,监督实际成本,进行成时地检查和跟踪,监督实际成本,进行成本绩效分析本绩效分析,以确保项目进展的一切都在,以确保项目进展的一切都在计划和预算范围之内。计划
22、和预算范围之内。成本绩效分析是成本控制中很重要的一项成本绩效分析是成本控制中很重要的一项工作。通过分析项目的成本和效益,尽早工作。通过分析项目的成本和效益,尽早的发现问题并采取措施纠正成本偏差。的发现问题并采取措施纠正成本偏差。三、信息系统项目成本管理三、信息系统项目成本管理 项目成本控制工作主要包括以下内容:项目成本控制工作主要包括以下内容:进行成本绩效分析,发现需要采取纠正进行成本绩效分析,发现需要采取纠正措施的工作包。措施的工作包。选择适合的纠正措施。选择适合的纠正措施。依据纠正措施,修订项目计划和成本估依据纠正措施,修订项目计划和成本估计,避免不可能承受的改变。计,避免不可能承受的改变
23、。(三)项目成本控制(三)项目成本控制四、信息系统项目质量控制四、信息系统项目质量控制信息系统信息系统项目质量控制项目质量控制计划和绩效考核标准应在计划和绩效考核标准应在项目之初制订项目之初制订。有效的有效的质量控制质量控制是项目成功实施的重要保证。是项目成功实施的重要保证。( (一)信息系统项目的质量控制标准一)信息系统项目的质量控制标准实用性方面实用性方面安全方面安全方面适应能力方面适应能力方面(二)信息系统项目各阶段质量控制的关键问题(二)信息系统项目各阶段质量控制的关键问题1 1、系统规划阶段系统规划阶段战略分析和约束条件分析是否全面。收集的信息是否全面,可利用性如何。MIS开发的基本
24、条件是否确实具备。开发进度是否切实可行。四、信息系统项目质量控制四、信息系统项目质量控制2 2、系统分析阶段系统分析阶段现行系统分析是否准确。用户需求分析是否全面。新系统逻辑模型是否准确、合理。3 3、系统设计阶段系统设计阶段软硬件选择和网络方案是否合理可行。模块的划分情况如何。数据库设计是否合理。测试方案和测试用例是否完备。(二)信息系统项目各阶段质量控制的关键问题(二)信息系统项目各阶段质量控制的关键问题4 4、系统实施阶段系统实施阶段程序设计的目标是否达到。测试报告是否内容规范、完整。性能指标是否达标。5 5、系统运行阶段系统运行阶段规章制度是否全面。系统运行效率。信息系统需求方满意度如
25、何。(二)信息系统项目各阶段质量控制的关键问题(二)信息系统项目各阶段质量控制的关键问题五、项目风险控制五、项目风险控制项目风险是指在预算、进度、人力、资源、项目风险是指在预算、进度、人力、资源、客户及需求等方面潜在的问题。客户及需求等方面潜在的问题。项目风险控制项目风险控制的任务是的任务是识别出识别出潜在的风险,尽潜在的风险,尽早采取防范行动,将其对项目的影响降到最低。早采取防范行动,将其对项目的影响降到最低。风险管理过程一般包括风险识别、风险分析、风险管理过程一般包括风险识别、风险分析、风险应对、风险监督。风险应对、风险监督。六、信息系统项目的组织六、信息系统项目的组织信息系统的开发是一项
26、智力、劳动密集的工作。项信息系统的开发是一项智力、劳动密集的工作。项目成员的结构以及成员的稳定性、责任心、技术和目成员的结构以及成员的稳定性、责任心、技术和协调能力等,都将对项目的质量产生重要的影响。协调能力等,都将对项目的质量产生重要的影响。(一)项目人员组成(一)项目人员组成信息系统建设工作中一个关键因素就是项目组成信息系统建设工作中一个关键因素就是项目组成人员,项目成员各自起着不同而关键的作用。人员,项目成员各自起着不同而关键的作用。项目开发的主要成员项目开发的主要成员项目经理项目经理系统分析员系统分析员程序员程序员(二)人员培训(二)人员培训第二节第二节 系统运行管理系统运行管理本节内
27、容:本节内容: 一、一、信息系统的日常运行管理信息系统的日常运行管理 二、信息系统运行的人员配置与管理二、信息系统运行的人员配置与管理 三、信息系统的运行制度三、信息系统的运行制度 四、信息系统的维护四、信息系统的维护 第二节第二节 系统运行管理系统运行管理系统通过测试交付使用后就进入系统运行和维护阶段。在系统运行期间可能会出现系统功能、软件、硬件设备、网络环境等各方面的问题,因此,配备专门的人员及时发现、分析、解决存在的问题,保证系统正常运行是非常必要的。一、信息系统的日常运行管理一、信息系统的日常运行管理信息系统投入使用后,其日常管理工作是繁琐而细致的。运行管理的活动主要包括:信息处理和系
28、统运行情况的记录。它们是信息系统管理、维护的依据,是信息系统正常发挥作用,产生其应有的效益的保障。(一)日常运行管理内容(一)日常运行管理内容信息系统投入使用后,日常运行管理的工作量较信息系统投入使用后,日常运行管理的工作量较大,主要包括:大,主要包括:数据录入数据录入信息处理信息处理信息服务信息服务需要记录的内容主要包括以下几个方面:需要记录的内容主要包括以下几个方面:系统的工作量记录系统的工作量记录系统的工作效率记录系统的工作效率记录系统所提供的信息服务质量记录系统所提供的信息服务质量记录系统的维护修改情况系统的维护修改情况系统的故障情况系统的故障情况一、信息系统的日常运行管理一、信息系统
29、的日常运行管理(二)(二)系统运行情况的记录系统运行情况的记录二、二、信息系统运行的人员配置与管理信息系统运行的人员配置与管理(一)信息系统运行的人员配置(一)信息系统运行的人员配置运行管理部门人员主要包括:运行管理部门人员主要包括:系统管理员系统管理员数据库管理员(数据库管理员(DBA)网络管理员网络管理员(二)信息系统运行的人员管理(二)信息系统运行的人员管理人员的管理主要包括:人员的管理主要包括:明确权责明确权责检查和评价检查和评价培训培训三、信息系统的运行制度三、信息系统的运行制度全面完善的运行管理制度是系统正常运行全面完善的运行管理制度是系统正常运行的有效保证。的有效保证。信息系统的
30、运行制度主要包括:信息系统的运行制度主要包括:机房管理制度机房管理制度技术文档管理制度技术文档管理制度信息系统运行操作规程信息系统运行操作规程信息系统修改规程信息系统修改规程运作日志等。运作日志等。 四、信息系统的维护四、信息系统的维护系统维护系统维护是为了应对是为了应对信息系统环境信息系统环境和和其它其它各种因素的变化各种因素的变化,为,为保证系统正常运行保证系统正常运行而而采取的采取的一切活动一切活动。系统维护的目的系统维护的目的:使系统运行始终处于:使系统运行始终处于最最佳的状态佳的状态,并能使系统不断得到,并能使系统不断得到改善和提改善和提高高,以充分发挥作用。,以充分发挥作用。( (
31、一一) )系统维护的定义及类型系统维护的定义及类型根据系统根据系统维护原因的不同维护原因的不同,维护工作可分四类:,维护工作可分四类: 更正性维护更正性维护(correctivemaintenance)适应性维护适应性维护(adaptivemaintenance)完善性维护完善性维护(perfectivemaintenance)预防性维护预防性维护(preventivemaintenance)( (一一) )系统维护的定义及类型系统维护的定义及类型1、更正性维护、更正性维护(correctivemaintenance)是是诊断诊断和和改正错误改正错误的过程。的过程。内容包括内容包括:纠正代码错
32、误、改正软件功能上的缺:纠正代码错误、改正软件功能上的缺陷、排除实施中的错误使用等。陷、排除实施中的错误使用等。( (一一) )系统维护的定义及类型系统维护的定义及类型2 2、适应性维护适应性维护(adaptive maintenance) 为了为了适应适应硬件硬件、系统软件系统软件和和外界环境的变化外界环境的变化,使,使软件能适应新的环境而引起的程序修改和扩充等软件能适应新的环境而引起的程序修改和扩充等维护工作。维护工作。3 3、完善性维护、完善性维护(perfectivemaintenance) 为了满足用户新的需求为了满足用户新的需求而修改或增加软件功能等而修改或增加软件功能等活动。活动
33、。 例如:对例如:对处理效率处理效率和和编写程序编写程序的改进。的改进。( (一一) )系统维护的定义及类型系统维护的定义及类型4 4、预防性维护、预防性维护(preventive maintenance ) 为了适应为了适应未来可能发生未来可能发生的的软硬件环境变化软硬件环境变化,主动,主动增加新的预防性功能,提高软件的可维护性和可增加新的预防性功能,提高软件的可维护性和可靠性,确保新系统有较长的使用寿命。靠性,确保新系统有较长的使用寿命。(二)信息系统维护的主要内容(二)信息系统维护的主要内容 软件维护软件维护数据维护数据维护代码维护代码维护设备维护设备维护四、信息系统的维护四、信息系统的
34、维护(三)信息系统维护的过程(三)信息系统维护的过程1 1、明确维护、明确维护目标目标,建立维护,建立维护组织组织 2 2、安排维护计划、安排维护计划 3 3、系统维护实施、系统维护实施 4 4、验收维护成果、验收维护成果四、信息系统的维护四、信息系统的维护第三节第三节 系统的安全管理系统的安全管理本节内容:本节内容: 一、一、信息系统的脆弱性及面临的威胁信息系统的脆弱性及面临的威胁二、信息系统的安全策略二、信息系统的安全策略 第三节第三节 系统的安全管理系统的安全管理1994年年2月月18日,我国国务院颁布的日,我国国务院颁布的中中华人民共和国计算机信息系统安全保护条华人民共和国计算机信息系
35、统安全保护条例例中明确指出:中明确指出:“计算机信息系统的安全保护,应当保障计算机信息系统的安全保护,应当保障计算机计算机及其及其相关的相关的和和配套的设备配套的设备、设施设施(含网络含网络)的安全,的安全,运行环境运行环境的安全,保障的安全,保障信息信息的安全,保障的安全,保障计算机功能计算机功能的正常发挥,的正常发挥,以维护计算机信息系统的安全运行以维护计算机信息系统的安全运行”。一、信息系统的脆弱性及面临的威胁一、信息系统的脆弱性及面临的威胁1 1、信息系统本身的安全漏洞信息系统本身的安全漏洞(一)信息系统的脆弱性(一)信息系统的脆弱性 操作系统的安全漏洞操作系统的安全漏洞 数据库系统的
36、安全漏洞数据库系统的安全漏洞 系统安全漏洞的主要表现在以下几个方面:系统安全漏洞的主要表现在以下几个方面: 口令设置的漏洞口令设置的漏洞 遗留的陷门遗留的陷门 协议的安全漏洞协议的安全漏洞 2 2、网络信息系统安全缺陷、网络信息系统安全缺陷网络信息系统计算机技术通信技术计算机系统的安全缺陷通信链路的安全缺陷(一)信息系统的脆弱性(一)信息系统的脆弱性 (二)面临的威胁(二)面临的威胁信息系统信息系统面临的威胁面临的威胁主要从影响系统的外部因素主要从影响系统的外部因素方面考虑。方面考虑。主要表现在以下几个方面:主要表现在以下几个方面:人为威胁人为威胁计算机病毒计算机病毒环境与自然灾害环境与自然灾
37、害一、信息系统的脆弱性及面临的威胁一、信息系统的脆弱性及面临的威胁二、信息系统的安全策略二、信息系统的安全策略信息系统安全管理信息系统安全管理不纯粹是一项技术性不纯粹是一项技术性问题问题,必须同时从,必须同时从法规政策、管理与技术法规政策、管理与技术三个层次上采取有效措施。三个层次上采取有效措施。(一)信息系统实体与运行环境安全(一)信息系统实体与运行环境安全(二)信息系统软件安全(二)信息系统软件安全(三)数据安全(三)数据安全(四)联网的安全防范(四)联网的安全防范(五)系统化的管理(五)系统化的管理(六)事故应急处理(六)事故应急处理(一)信息系统实体与运行环境安全(一)信息系统实体与运
38、行环境安全信息系统的信息系统的实体实体安全就是采取措施安全就是采取措施保护保护计计算机服务器、数据存储、系统终端、网络、算机服务器、数据存储、系统终端、网络、通信设备通信设备等等计算机设备、设施计算机设备、设施免受免受地震、地震、水灾、火灾和其他环境事故的水灾、火灾和其他环境事故的破坏破坏。这是整个信息系统安全运行的这是整个信息系统安全运行的基本要求基本要求。运行环境安全运行环境安全是指对计算机网络的中心机是指对计算机网络的中心机房及其延伸点,应有防雷电设施和防电磁房及其延伸点,应有防雷电设施和防电磁干扰设施,机房内应具备防水防火设施,干扰设施,机房内应具备防水防火设施,安装防盗报警装置。提供
39、良好的接地和稳安装防盗报警装置。提供良好的接地和稳定的供电环境,对主机房电源要有完整的定的供电环境,对主机房电源要有完整的双回路备份机制双回路备份机制,为核心设备配置与其功,为核心设备配置与其功耗相匹配的稳压及耗相匹配的稳压及UPS不间断电源。不间断电源。(一)信息系统实体与运行环境安全(一)信息系统实体与运行环境安全(二)信息系统软件安全(二)信息系统软件安全 防止防止由于由于软件质量缺陷软件质量缺陷或或安全漏洞安全漏洞导致导致的对信息系统非法控制。的对信息系统非法控制。1 1、系统软件安全策略、系统软件安全策略 (1 1)安全的操作系统)安全的操作系统 (2 2)安全的数据库管理系统)安全
40、的数据库管理系统2 2、应用软件安全策略、应用软件安全策略(三)数据安全(三)数据安全 数据安全数据安全可以从可以从数据处理安全数据处理安全与与数据存储数据存储安全安全两方面考虑。两方面考虑。数据处理的安全指有效防止数据在处理过程中遭受数据库损坏或数据丢失。系统存储安全是指保证系统存储的数据不丢失、不破坏、不被修改或盗用。 网络信息系统网络信息系统内部人员威胁内部人员威胁拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击计算机病毒计算机病毒信息泄漏、信息泄漏、篡改、破坏篡改、破坏后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫社会工程社会工程天天灾灾系统系统Bug(四)联网的安全防范(四
41、)联网的安全防范联网的安全防范是联网的安全防范是防范和抵御防范和抵御数据及其他数据及其他计算机网络资源计算机网络资源可能受到的攻击,保证可能受到的攻击,保证网网络资源不被非法使用和访问络资源不被非法使用和访问,保护,保护网上数网上数据流的安全性、完整性。据流的安全性、完整性。(四)联网的安全防范(四)联网的安全防范 数据加密数据加密身份认证身份认证访问控制访问控制(五)系统化的管理(五)系统化的管理 1 1、重视安全检测与评估、重视安全检测与评估 2 2、严格的安全管理组织和制度、严格的安全管理组织和制度 3 3、健全信息系统运行管理规范、健全信息系统运行管理规范(六)事故应急处理(六)事故应
42、急处理 预防预防和和处理处理突发性事件突发性事件避免灾难性后果发避免灾难性后果发生生,所应采取的措施,主要的措施如下:,所应采取的措施,主要的措施如下:数据备份数据备份设备冗余设备冗余应急预案应急预案应急响应应急响应灾难恢复灾难恢复第四节第四节 系统评价系统评价 本节内容:本节内容: 一、一、系统评价的指标体系系统评价的指标体系二、系统评价报告二、系统评价报告 系统评价系统评价是指对信息系统的功能和性能进行全面的检查、估计和是指对信息系统的功能和性能进行全面的检查、估计和评审。包括,将系统实际实现的指标与系统规划、设计的指标进评审。包括,将系统实际实现的指标与系统规划、设计的指标进行对比,以确
43、定目标系统的实现程度,同时,对目标系统将来能行对比,以确定目标系统的实现程度,同时,对目标系统将来能够产生的经济效益进行评估。够产生的经济效益进行评估。第四节第四节 系统评价系统评价 系统评价的目的系统评价的目的是检查系统目标、功能及各项指标是否达到了设是检查系统目标、功能及各项指标是否达到了设计要求、系统的各种资源(人、财、物,以及硬件、软件资源等)计要求、系统的各种资源(人、财、物,以及硬件、软件资源等)是否得到充分利用、经济效益是否理想,找出系统的薄弱环节,是否得到充分利用、经济效益是否理想,找出系统的薄弱环节,提出改进意见,并指出系统改进和扩展的方向等。提出改进意见,并指出系统改进和扩
44、展的方向等。系统评价的主要依据系统评价的主要依据是系统日常运行记录和现场实际监测得到的是系统日常运行记录和现场实际监测得到的数据。评价的结果可以作为系统维护、更新以及进一步开发的依数据。评价的结果可以作为系统维护、更新以及进一步开发的依据。系统评价是由开发人员和用户共同进行,通常为了更客观准据。系统评价是由开发人员和用户共同进行,通常为了更客观准确,一般在新系统投入运行一段时间以后再对新系统进行全面评确,一般在新系统投入运行一段时间以后再对新系统进行全面评价。在此之后要定期地对系统运行状况进行追踪和监督,并作出价。在此之后要定期地对系统运行状况进行追踪和监督,并作出评价。评价。一、系统评价的指
45、标体系一、系统评价的指标体系信息系统的评价信息系统的评价是一项难度较大的工作,是一项难度较大的工作,它属于多目标评价问题,目前大部分的系它属于多目标评价问题,目前大部分的系统评价还处于非结构化的阶段,只能就部统评价还处于非结构化的阶段,只能就部分评价内容列出可度量的指标,不少内容分评价内容列出可度量的指标,不少内容还只能用定性方法做出叙述性的评价。还只能用定性方法做出叙述性的评价。系统性能指标系统性能指标系统经济指标系统经济指标系统管理指标系统管理指标二、系统评价报告二、系统评价报告系统评价报告的主要内容如下:系统评价报告的主要内容如下:摘要、系统名称、功能。摘要、系统名称、功能。背景、系统开
46、发者、用户。背景、系统开发者、用户。参考资料、设计任务书、合同、文件资料等。参考资料、设计任务书、合同、文件资料等。系统性能指标评价。系统性能指标评价。系统经济指标评价。系统经济指标评价。结论。结论。系统存在不足和改进建议。系统存在不足和改进建议。第五节第五节 信息管理部门和人员修养信息管理部门和人员修养 本节内容:本节内容:一、信息管理部门一、信息管理部门的的发展发展二、信息管理部门的设置二、信息管理部门的设置三、信息部门的职责三、信息部门的职责四、信息人员的职业道德四、信息人员的职业道德 (一)企业职能部门下设置电脑部(一)企业职能部门下设置电脑部一种较低级的组织方式。信息系统为特定的职能
47、部门服务。最初只在数据量大、运算工作较多的财务部门、统计部门设置电脑部,以提高信息处理速度、保证信息准确性等。.管理决策管理决策 层层统计部统计部财务部财务部生产部生产部电脑部电脑部电脑部电脑部一、信息管理部门一、信息管理部门的的发展发展 职能部门各自设置电脑部职能部门各自设置电脑部职能部门各自设置电脑部职能部门各自设置电脑部 (二)平行的信息管理部门(二)平行的信息管理部门企业建立信息部统一负责企业信息系统的运行管理,信息部与其它职能部门平行。其特点是信息资源可以被企业各个职能部门共享,但信息部的决策能力较弱。这种方式下的信息系统地位较前种方式有所提高。.管理决策层管理决策层统计部统计部财务
48、部财务部生产部生产部信息部信息部 平行的信息部平行的信息部平行的信息部平行的信息部一、信息管理部门一、信息管理部门的的发展发展(三)矩阵式信息管理部门(三)矩阵式信息管理部门企业各职能部门设置归信息部领导的信息室。可以增强信息部对各职能部门业务的支持,同时,便于信息部对信息资源的全面掌控。.统计部统计部财务部财务部生产部生产部 管理决策层直接控制的信息部管理决策层直接控制的信息部管理决策层直接控制的信息部管理决策层直接控制的信息部信息部信息部管理决策层管理决策层信息室信息室信息室信息室信息室信息室一、信息管理部门一、信息管理部门的的发展发展(四)信息主管负责的信息管理部门(四)信息主管负责的信
49、息管理部门信息主管又称首席信息官(信息主管又称首席信息官(ChiefInformationOfficer,CIO)相当于副总裁或副总经理地位的重要官员。相当于副总裁或副总经理地位的重要官员。CIO领导信息管理部门各分支工作,但其领导信息管理部门各分支工作,但其最主要职责是负责关于信息化建设的战略最主要职责是负责关于信息化建设的战略性的和方向性的工作,如,信息化规划、性的和方向性的工作,如,信息化规划、信息资源的配置、信息人才队伍的建设,信息资源的配置、信息人才队伍的建设,以及参与组织高层的决策。以及参与组织高层的决策。一、信息管理部门一、信息管理部门的的发展发展.业务副总经理业务副总经理统计部
50、统计部财务部财务部生产部生产部信息中心信息中心CIOCIO式的组织形式式的组织形式式的组织形式式的组织形式CIO总经理总经理(四)信息主管负责的信息管理部门(四)信息主管负责的信息管理部门二、信息管理部门的设置二、信息管理部门的设置三、信息部门的职责三、信息部门的职责信息管理部门的职责信息管理部门的职责是随其发展逐渐形成和完善的。信息管理部门的主要职责信息管理部门的主要职责是管理正在开发或实施的项目;负责信息系统的正常运行和维护;建立和实施企业内信息系统使用的指南和制度;向企业各业务部门提供信息技术服务;支持企业战略目标的实现。由于信息技术具有更新快、发展迅速的特点,信息管理部门的工作是充满挑
51、战性和创新性的。四、信息人员的职业道德四、信息人员的职业道德(1 1)信息技术职业联合会()信息技术职业联合会(AssociationofInformationTechnologyProfessionals,AITP)制定的信息系统专业人员道德要求的一部)制定的信息系统专业人员道德要求的一部分:分:负责保护受委托的所有信息的隐私性和机密性。负责保护受委托的所有信息的隐私性和机密性。不误传或隐瞒与局势密切相关的信息。不误传或隐瞒与局势密切相关的信息。不为个人利益或任何未授权的目的而使用雇主的资源。不为个人利益或任何未授权的目的而使用雇主的资源。不为个人利益或个人的满足感而探索计算机系统的漏洞。不
52、为个人利益或个人的满足感而探索计算机系统的漏洞。支持、尊重和遵守法律法规。支持、尊重和遵守法律法规。不为个人利益,以非授权方式使用他人的机密知识或个人不为个人利益,以非授权方式使用他人的机密知识或个人信息。信息。尽最大努力,令相关人员以对社会负责任的方式使用自己尽最大努力,令相关人员以对社会负责任的方式使用自己的工作成果等。的工作成果等。(2 2)企业信息道德的工作内容)企业信息道德的工作内容建立企业道德信条,让企业内外的人员和建立企业道德信条,让企业内外的人员和组织了解企业的道德观。组织了解企业的道德观。建立企业道德规范,规定企业的道德标准,建立企业道德规范,规定企业的道德标准,指导信息人员行为。指导信息人员行为。组织道德相关活动。如,对员工进行道德组织道德相关活动。如,对员工进行道德信条和道德规范等相关知识培训以及审核信条和道德规范等相关知识培训以及审核各部门落实道德信条的情况等。各部门落实道德信条的情况等。四、信息人员的职业道德四、信息人员的职业道德建立企业信息道德的工作内容如下:建立企业信息道德的工作内容如下:
