(信息技术)信息技术管理
第十二章信息技术管理
第壹节企业中的信息需求
壹、信息需求概论
数据是指根据经验、观察、实验、计算机内部程序以及壹组假设条件所收集到的事实集合体。
数据包含数字、词语以及映像,尤其是壹组变量的测度或观察的结果。壹般认为,数据是形
成信息和知识的最底层来源。而信息是经过处理以后的数据,对于使用者来说更有意义。
于现实的商业社会和企业管理概念中,信息被视作壹种很有价值的资源,是追求竞争优势的
关键工具。信息技术和信息系统的主要作用是想管理层提供所需的合适种类和数量的信息,
以帮助管理者选择、执行和控制运营战略。因此,信息战略要和商业战略相匹配。
信息的可用性、及时性以及质量已成为企业成功的重要因素。例如,下列业务活动对信息具
有高度依赖性:
1.生产者于特定市场开发新产品之前,需要运用信息分析目标客户的支出行为、偏好以及对
产品的预期。
2.保险经纪人只有于取得了投保人的详细风险评估资料,以及承保人愿意为此风险所开
出的价格的条件下,才能报出具有竞争力的保费。
二、信息的层次
企业需要不同类型的信息系统来为壹定范围内的不同职能领域提供不同层次的信息。大
企业需要壹个覆盖面很广的系统来分析信息。战略规划、管理控制和运营控制等信息层级就
类似于决策的层次结构。
(壹)战略规划
战略规划来源于信息系统,和企业的长期发展方向关联。高层管理人员有责任考虑各种影响
其战略规划的因素,包括明确企业所面临的挑战、确定信息技术解决方案,以及为确认和获
取所需资源而设计行动计划。于制定为期 3-5年的战略规划时,企业必须确保战略规划和企
业的总体目标相壹致。这些系统所提供的信息包括总体盈利能力、不同业务单位的盈利能力、
未来市场前景、筹备新资金的可能性和成本以及总现金需求。这些系统的主要功能是确保为
高层管理人员及时提供战略规划所需的各种关联信息。
(二)管理控制
管理控制系统能够帮助中层管理人员进行监督和控制。管理控制系统产生的信息包括生产效
率、预算控制或方差分析方案、特定部门的预测和工作结果,以及短期的采购需求。管理控
制系统检测壹切是否顺利。
(三)运营控制。
运营系统针对运营常规问题进行控制,且对交易进行处理和追踪。这些信息能够帮助运营管
理人员追踪特定的日常运营活动和交易。
三、信息的质量
为了提高信息的用途和价值,我们必须关注信息的质量。高质量信息的关键要素具有以下特
征:
1.完整性。信息必须包含所有应包括的内容,例如,关联可作比较的外部数据或不同时期的
可比较信息。
2.准确性。应该对数据进行合计,四舍五入的程度应该是适当的,不得有打字错误,各个项
目应该按适当类别划分,应该指明和不确定信息关联的假设。
3.关联性。应该删除作决策时无需考虑的信息,无论其是多么"有趣"。只有对决策有帮助的
信息才应保留,以便使用者更容易地作出有效的定案。
4.针对使用者的需要。应当始终记住使用者的需要,例如,高级经理需要的可能是摘要,而
初级管理者需要的可能是详情。
5.权威性。信息来源必须是可靠的。
6.及时性。于需要时,可及时获得信息。
7.易于使用。信息应该明确清晰,不会过分冗长,而且发送时采用了正确的媒介和交流渠道,
减少信息于发送过程中的遗失。
8.成本效益。获得该信息的成本应该不超过可从该信息中获得的益处。信息提供者应提供有
效的信息收集和分析方法去处理信息,且以简单易懂的方式表达信息,使用者们无需费时来
琢磨信息的含义。
第二节信息技术于企业中的战略应用
壹、信息战略的类型
和信息关联的战略包括:信息系统、信息技术、信息管理。
(壹)信息系统战略
信息系统战略确定了壹个企业的长期信息要求,且且对可能存于的不同信息技术提供了壹把
保护伞。信息系统战略应遵循企业的运营战略,且且必须确保于运营战略实施(如财务、非
财务、竞争和人力资源方面的战略实施)的过程中,可获得、保存、共享和使用恰当的信息。
信息系统包括所有涉及信息收集、储存、产生和分配的系统和程序。信息系统可分为七类:
事务处理系统、管理信息系统、企业资源计划系统、战略性企业管理、决策支持系统、经理
信息系统和专家系统。
1.事务处理系统
事务处理系统执行和处理常规事务。它收集和商业交易关联的源数据,如顾客订单、销售、
采购和库存变动等关联数据。它会定期对这些信息进行方案。事务处理方案对控制和审计而
言是很重要的,可是只能提供很少量的管理决策信息。
2.管理信息系统
管理信息系统将主要来自内部的数据转化成综合性的信息,如摘要方案和异常方案。这些信
息使管理层能对和自己所负责的活动领域有关的计划、指导和控制及时作出有效的决策。它
从事务处理系统获得数据且生成方案。这些方案往往是标准方案,可是其中的信息通常需要
再进行其他处理。于将信息从标准方案中摘录出来,且转移到电子表中供管理层进行处理和
分析的过程中,信息技术是十分常用的。于计划层面上,管理信息系统且不是特别有用。
3.企业资源计划系统
企业资源计划系统有助于整合数据流和访问和整个公司范围的活动有关的信息。企业资源计
划系统通常记录用于会计处理的事务数据、操作型数据和客户及供应商数据,同时可通过数
据仓库获得这些数据,且于此基础上生成自定义的方案。系统包括财务预测、生产能力、调
整资源调度等方面的功能,能配合企业实现存货全面管理、质量管理和生产资源调度管理及
辅助决策。企业资源计划系统是企业进行生产管理及决策的平台工具。换言之,企业资源计
划系统是基于以"企业整体"系统化的管理为依据,为企业合理调配资源,最大化地创造价值,
实现企业内部决策和管理的应用信息系统平台。企业资源计划系统中的数据可用于更新平衡
记分卡系统中的业绩指标,也可用于作业成本核算、股东价值分析、战略计划、客户关系管
理和供应链管理。企业资源计划系统的发展有三个方向:(1)面向供应商,满足供应链的需
要;(2)面向客户,具有客户关系管理功能;(3)面向管理层,通过战略性企业管理系统(如下
文第 4点所述),来满足管理层的信息需求和决策需要。
4.战略性企业管理
战略性企业管理是壹种为战略管理过程提供所需支持的信息系统。信息技术是以储存于数据
仓库的数据为基础的,这些数据同时又能被应用于壹系列分析工具中,如股东价值管理、作
业成本核算和平衡记分卡系统。战略性企业管理可成为企业业绩的重要驱动力,因为它能使
企业各个层次的决策过程变得更快更完善。
5.决策支持系统
决策支持系统包含了壹些数据分析模式,这些分析模式能使管理层模拟且提出"如果发生了
某事,应该怎么办?"的问题,从而使管理层于决策过程中能考虑到不同的选项且获得对决策
有帮助的信息。决策支持系统可被包含于壹张电子表或复杂的软件包中。壹个较简单的决策
支持系统例子能够是壹份包括戚本、销量和利润数据于内的电子表,管理层能够于对定价和
产品盈利性的决策过程中修改售价以观察其对销量和利润的影响。又例如,壹份包含预期现
金流、支持资本投资评估的电子表是较复杂的决策支持系统。于使用概率论的过程中可采用
现金流折现技术来生成不同资本成本下的现金流预测方案。
6.经理信息系统
经理信息系统是提供决策支持的系统,它包含了对摘要数据(通常是图表格式)的访问,使高
层经理能对和企业及其环境有关的信息进行评价。经理信息系统采用"向下钻取"功能,从总
计数据下移到更具体详细的层次(如客户、产品、业务单位)。通常也能够从外部来源(如公
共数据库中)获取信息。易于使用是经理信息系统的壹个重要特点,这样能够于无需对基础
数据结构有深入了解的情况下进行信息查询。
7.专家系统
专家系统储存从专家处获得的和专门领域关联的数据,且且将其保存于结构化的格式或知识
库中。专家系统为那些需要酌情判断的问题提供解决方案。用户通过图表式的用户界面来向
系统提问,系统会要求提供更多的信息。然后,专家系统采用各种规则作出决策。专家系统
的最佳实例是用于信用批准。根据提示,将邮编、电话号码、年龄和士作经历等信息输入系
统,系统将这些信息和信用资料机构拥有的机密数据进行比较,对申请者的信用可靠性和信
用额度分配自动作出判断。
(二)信息技术战略
信息技术战略定义了满足企业信息需要所必需的特定系统,包括硬件、软件、操作系统等。
每个信息技术系统必须能够获取、处理、概括和方案必要信息。企业必须有信息技术战略,
其原因如下:(1)信息技术壹般涉及高成本,而信息技术战略能对预算进行分配和控制;
(2)信息技术对企业的成功至关重要,所以信息技术系统必须于任何时候均是可靠和可访
问的;(3)要形成和保持竞争优势,离不开信息技术,例如,要对目标客户进行营销,必
须用到客户信息;(4)信息技术可降低成本,例如,使用电子邮件可降低邮费和电话费;
(5)信息技术提供用于计划、决策和控制的信息,有助于管理者进行企业管理。
(三)信息管理战略
信息管理战略、涉及信息的储存及访问方式。它会考虑中间接口文件或关系数据库的使用方
式、数据库创建和备份功能等等。该战略能确保将信息提供给用户,且且不会生成多余的信
息。
总括而言,信息系统战略重点关注各个信息业务单元,使它们能满足内部或外部的信息用户
需求。信息技术战略以供应信息为导向,它重点关注供应信息活动以及支持这些活动所需的
技术。信息管理战略于整个企业层次上以管理为导向。这三个战略会随着企业目标的改变、
新信息技术的发展、软件硬件的更新以及企业的发展和多样化而变化。
二、信息系统的评价
对信息进行收集、处理、分析和方案可能需要高额的成本,而且必须注意要确保所获得的信
息的价值要高于其戚本。信息的成本可能包含计算机硬件和软件、实现成本(如项目小组的
戚本)以及和新系统开发关联的培训戚本等。和信息系统关联的日常戚本包括工资、办公室
设施费用、折旧费或租金、水电费、易耗品费用、融资费用等。要量化信息的成本,企业应
当估计可能产生的成本,且运用折现现金流量法、投资回收期法或投资回报率法等方法。于
评价信息系统时,需要仔细进行成本效益分析。信息系统的效益包括:
1.运用自动化系统提高生产能力和新技术所减少的成本。自动化系统和新技术减少了手工处
理和分析数据所需的人力成本。
2.经过改进的数据收集、存储和分析工具可能会带来以前不知道的销售机会。这些工具包括
数据挖掘软件,它能够发现以前没有注意到的数据关系。
3.改善客户服务和提高产品/服务质量。计算机系统能够产生更加准确、及时的信息。例如,
银行客户能够上网查询自己的银行账户和投资组合而不必亲自前往银行。这能够提高客户满
意度,从而带来竞争优势。
4.改进决策制定过程。完整、可靠、准确、及时的信息能够帮助企业决策者作出正确合理的
判断。信息能够帮助企业管理者进行准确预测,以更好地规划企业结构,进行融资,且取得
长期成功。仍能够评价现有项目和关键投资决策,特别是需要大投入的资本支出项目。
量化信息系统的效益可能比量化戚本难,因为它要求管理层对以下方面进行判断:市场增长、
市场份额、竞争优势以及信息对销售和利润的影响。
三、信息和网络
(壹)互联网
互联网的名字起源于壹项技术,这项技术使得任何壹台计算机均能够和其他达到配置标准的
计算机发生通信链接以发送和接收信息。互联网技术提供了将任务交由企业且进行自动化处
理的机会,而这项工作的开展不需要很大的成本。用户只需要简单地点击相应的按钮、词语
或屏幕图像就能够接触和分享大部分以文本和图表形式表示的及时信息。网址是互联网中的
点,创建人希望能够为搜索者提供信息,且期望从信息提供或交易中获利。
互联网由计算机、网络服务器、通信线路和通信软件组成,能够让用户通过万维网(www)于
多 台 计 算 机 之 间 存 取 数 据 。 主 要 的 互 联 网 标 准 是
TCP/IP(Transmissioncontrolprotocolllnternetprotocol)和
HTML(Hypertextmark-uplanguage),TCP/I~协议是通信软件的标准,HTML编程语言能够于万
维网(www)上建立数据间的联系。网页浏览器是应用软件,它能够利用超文本及搜索功能于
互联网上邀游。最常见的浏览器是微软的 InternetExplorer和 MozillaFirefox。用户能够
通过五联网服务提供商于互联网上进行浏览。据估计,全球约有数亿网民。除了网页浏览,
电子邮件和聊天室是最受欢迎的。
(二)内部网和外部网
除五联网外,大多数企业常利用内联网和外联网来传播信息。内联网就像壹个迷你版的互联
网,能够让公司员工获得保存于服务器上的电话簿、程序操作指南、参考资料等信息,用户
操作界面和互联网类似。内部网需要利用网页浏览器、超文本、电子邮件软件和壹个可用网
络,实现对所有用户于内部网上'快速的数据传递。外联网是获得批准的外部人员使用有效
的用户名和密码即可访问的内联网,它主要用于商业伙伴之间信息的交换。外联网可用于共
享库存情况、交货状态等。世密和系统间的兼容性是应用外部网时必须面对的难题。
(三)电子商务
电子商务是指通过互联网进行商品买卖和金融服务。企业能够利用互联网确立其公共关系,
进行信息传递和扩展其零售渠道。
1.公共关系的确立。网站可能包含有关该企业的详细信息,包括其产品、职员、财务信息等,
它们也能够被用来和其他企业进行交易。
2.信息传递。公司的网页里有电子产品/服务手册文件,这些文件也能够被用户作为壹个单
独的文件进行下载,许多公司于它们的网站上储存 PDF格式的非常详细的方案。
3.扩展零售途径渠道。用户能够通过互联网进行商品的预订和购买。
电子商务的主要好处是能够通过全球市场使销售量出现潜于增长,相比其他销售方式减少了
交易成本。然而,允许他人进入计算机系统且允许远程实时处理,需要额外的控制,且要防
范安全问题。
四、数据收集方法
大多数数据收集是计算机系统交易记录的副产品。以零售业为例,最常利用数据收集方法的
方面有:电子销售点、电子资金转账、互联网购物、电子数据交换和文件成像。
1.电子销售点(Electronicpointofsale,简称 EPOS)。利用条形码扫描定价商品,且减少存
货量,通过售价和戚本价确定利润额。于壹个时间段(每天、每周或每月)内,从这壹系统的
信息输出包括现金收据、业务量(客户的数量、销售项目的数量等)的分析,产品的盈利能力
和对库存需求的重新排序。此外,EPOS可提供包括每天的高峰销售时间、需要打折的商品信
息、商品的销售地点信息,以及需要加大销售的商品信息等。
2.电子资金转账(EFTPOS)。电子资金转账能使客户用借记卡或信用卡来为其购买的商品付
款。虽然银行对这种服务向零售商收取壹定的费用,但零售商避免了处理大量现金的成本和
风险。
3.互联网购物。于互联网上购买商品和服务,客户能够进行壹些以前是由零售商自己的员工
来完成的数据处理。客户作出自己的选择,提供交付,细节,通过借记卡或信用卡进行支付。
零售商会自动获得壹份客户消费习惯的详细记录,以重新进行其业务的营销定位。网上购物
的实例有书籍、食品、服装、旅行等等。
4.电子数据交换(EDI)。于企业间产品的销售中,通过电子数据交换于互联网上进行交易。
供应商和顾客系统由壹种共同的数据格式相连,以便顾客的购买订单能被自动转化成销售商
的销售订单。例如,于汽车制造业,车辆制造商向零件供应商投入订单,这些订单将被严格
准时地交付。EDI交易使零件供应商确认能够完成订单,零件供应商的货物发送时间及地点
能够通过物流公司进行条形码追踪。多个组分按预定的顺序准确交付以满足车辆装配生产线
的要求。任何延误和组分无序均能够使装配线停止。供应商可通过 EDI自动生成发票,物流
供应商生成追踪交付单,装配线生成货物收据,直至最终付款给供应商。
5.文件成像。企业内纸张使用的减少能够提高效率和降低成本。文件影像处理系统能够通过
扫描图像,创建壹个电子文件而对顾客的定单进行处理,这能对顾客进行快速的响应,提高
服务水平,减少人力的成本,能够更快地存取记录和减少丢失文件造成的错误。
五、管理信息数据的结果
(壹)定期方案
向用户提供管理信息最常见的形式是硬盘拷贝方案,由计算机生成的方案列出交易(交易方
案)、例外(例外方案)或定期总结方案。然而,以图解方法通过屏幕显示主要绩效数据变得
越来越普遍。
1.交易方案。该方案包含了于壹段时间内所有交易的详细清单如壹天之内发生的所有交易。
2.例外方案。是指根据提前确定的规则找出例外。例如,按照未于付款到期日前支付的债务
人或长期拖欠壹年多的债务人来分类。
3.定期总结方案。这是指固定周期,通常每周或每月进行方案,包括财务方案(如损益表、
资产负债表、库存分析等)和非财务方案(如生产率、客户投资组合方案)。
制定定期方案的主要问题于于其内容主要是量化的,关注短期表现,忽视外部因素,难以从
提出的数据中区分出主要绩效信息。
(二)简报
管理层对利用和企业目的有关的信息来确定关键发展趋势的需求越来越大。简报包含关键财
务或非财务信息的壹系列月度单页总结,确定趋势,通常以图解形式简要说明预算变化和趋
势。然而简报的内容常常取决于信息的提供者,而不是用户,因此,可能不包括主要的绩效
信息,其内容对公司不同部门、不同水平的管理人员可能是不关联的,或包括过时的信息。
于线信息的产生满足了管理人员对信息的特定需求,因为信息用户能够通过经理信息系统获
得最新的整体信息,而不是依赖信息提供者的标准方案格式。
第三节信息系统设计和实施
壹、信息系统外包和管理
(壹)信息系统外包
随着计算机影响力增强,其体积缩小,成本不断下降。公司拥有了自己的计算机系统,且培
训出自己内部的信息技术专家。同时,有些企业把非核心部分和技术支持活动的外包也越来
越普遍,尤其是于提供信息技术服务方面,当把技术支持工作外包给关联的专业公司后,企
业能够集中精力于他们的核心活动。信息技术的外包范围广泛,能够是整个信息技术部门或
具体的内容,如计算机编程,维护和数据恢复是最普遍的外包业务。外包服务商提供服务的
基础是以商定的服务水平、时间和成本作为依据。信息技术外包的主要优点是:
1.外包服务供应商对不断变化的技术有更好的了解。
2.能进行最准确的成本预测,因此能够进行更准确的预算控制。
3.专业外包供应商的服务能够提供更高标准和质量的服务。
4.公司减轻了管理专业人员的负担.企业可按需要要求提供服务,不用长期于企业中保留信
息技术部门。
信息技术外包的主要缺点是从长远的战略考虑上来见的,这种戚本节约是短期的。当外包服
务不再受公司的控制时,就失去了灵活性,企业不能根据环境的改变作出迅速的反应。另外,
外包增加了成本,很难更换外包服务商或回到壹个企业的内部供应。供应商于质量和服务方
面也有可能存于壹定风险,即外包服务商提供的服务质量能否令人满意斗虽然于很多情况下
企业和外包服务商会有壹个服务级别协议,但要于协议上明确每壹方的义务是难以实现的。
(二)设施管理
设施管理(Facilitiesmanagement)是外包发展的壹种形式,通过外方来管理和运作公司信息
技术服务的壹部分或全部。外部职员常通过设施管理的安排,于客户允许的前提下,外方能
够于客户的办公处应用其信息技术设备进行工作。企业通过竞标程序进行外包或设施管理,
井遵循信息系统发展流程去实施。外包和设施管理的风险可通过保留壹小部分内部信息技术
专家进行监督和和外包供应商壹起工作而部分抵消。企业也可通过建立长期伙伴关系或进行
合资来减小风险。另壹种选择是签订壹个外购合同,供应商的壹员留守于客户的公司,成为
客户和外包商之间壹个永久的联络员。这种做法有时被称为“植入”。
二、信息技术共享服务中心
共享服务中心为企业内大部分或所有部门提供所需服务。信息技术共享服务中心独特的属性
是它们于企业内提供共同的信息技术服务,包括系统设计、数据处理、信息技术安全性、方
案生成等。事实上,共享服务中心不同于传统的集中活动,其服务体现于顾客或用户的指定
要求。传统的集中服务主要关注控制和集中需求,其中政策和方向是由总部制定的。共享服
务中心的性质是不同的,它聚焦于质量和客户服务,且集中资源以实现共同的目标。如同外
包服务,可和共享服务中心通过服务级别协议建立质量和服务的要求。
共享服务中心不同于外包,是因为于外包中,供应商和客户之间是被割裂的,而共享服务中
心的信息技术服务则保留于企业内部。
三、信息系统开发框架
(壹)信息系统项目管理
于商业持续变化和新兴信息技术的大环境下,企业常常需要改善或改变。然而,信息系统开
发很大的风险于于所开发的系统过时,不能满足信息用户需求,或者超出成本预算。因此,
对系统开发进行控制是非常重要的,信息系统项目管理的重要环节包括:(1)项目计划和定义;
(2)管理支持;
(3)成立项目小组:决定指导委员会、项目委员会和项目经理的作用和责任;(4)资源规划和
分配;(5)质量控制和进展监督;(6)的风险管理(风险识别、评估和管理);(7)系统的设
计和审批;(8)系统测试和执行;(9)用户参和使用和介入;(10)沟通和协调;(11)用户教育
和培训。
(二)信息系统设计和控制
设计信息系统的壹种方法是利用系统开发周期,这包括:
1.可行性研究。通过辨认当前问题确定系统的需求和目标,从技术上,对可操作性和经济可
行性提出解决方案。应当清楚新系统的目标、交付使用情况,以及成本和完成时间。
2.系统分析。通过对问题进行有条不紊的调查和确定,有必要对系统进行规范,通过更多的
信息对替代的方法进行排序,且于内部和外包供应商之间作出选择。
3.系统设计。壹个可行的设计包括源数据、输入布局、文件结构和其他系统的接口等。许多
企业越来越多地应用计算机辅助软件工程工具来进行系统分析和设计。现阶段,有关数据安
全性和授权水平需要制定相应的规则,以进行系统测试。于实施之前,必须有系统开发程序
员、用户和内部审计员进行全面的系统测试。
4.执行阶段。使用项目管理技术,从现有系统硬件、软件测试、文献、培训和系统转换
方面进行。于这壹阶段,需要对培训内容和关联文献、文件转换和操作问题(如人员如何分
配和监督)进行回顾。成立指导委员会十分重要,它集合以下专业人才:(1)项目的主办者。
参和项目的审批且致力于项目成功的高级管理人员;(2)项目经理。负责项目的每日交付;(3)
专业的信息技术工作人员。负责提供项目;(4)用户代表。负责接受系统;(5)内部审计代表。
和用户协力保证足够的内部控制和系统测试。指导委员会参照计划来监督系统的实施且确保
该系统符合规定的质量、时间和成本上所负的全部责任。
5.系统操作和维护。系统开始运转之后,其维护包括系统的校正和改进。
(三)系统执行计划和实施后的回顾
系统执行计划包括且行运行,即新系统和现有系统壹起运行,直到新系统被证明达到了
俩个系统工作时相壹致的结果,用户满意新系统,对停止现有系统应用新系统充满信心。如
果没有且行运行,实施之前测试就变得非常重要,另外,于实施的早期阶段需要进行额外的
检测。从现有系统进行数据转换需要特别注意。这需要正确的计划,且要分配充足的资源进
行数据转换。有必要实施适当的控制以确保数据的连续性,因为这些数据传输于不同的系统
中。于传输过程中,识别可能出现的数据重复或遗漏。
于新系统实施后,应由项目小组对其进行详尽的复核,以确定系统是否按计划运行,能
否令用户满意。实施后的复核包括:(1)确定新系统是否满足用户的需要;(2)和系统规
范相比,评价系统的实际绩效;(3)提出改进意见;(4)确定系统实施管理质量和以后的
项目值得学习的地方;(5)对系统开发程序提出改进建议;(6)比较实际成本和项目预算
费用,确定是否已取得效益。
第四节和信息技术和信息系统关联的风险控制及其管理
壹、信息技术和信息系统关联的凤险控制
系统和数据很容易因以下的原因受到损失,即人为错误、蓄意的欺骗行为、技术性错误(如
硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此,信息安全非常重要。为
了保护公司的信息资源,需要进行风险评估和控制来减轻这些风险,信息技术行业有许多不
同的控制方式。
(壹)信息安全控制
安全控制能够从以下四个方面进行界定,以发挥其特性。
1.预测性。确定可能的问题且提出适当的控制。
2.预防性。将发生风险的可能降至最低,例如,防火墙能够防止未经授权的访问。
3.侦察性。日志能够保存那些未经授权的访问记录。
4.矫正性。对未经授权的访问造成的后果提出修正的方法。
(二)信息技术/信息系统控制类型
信息系统中的控制可分为俩大类:壹般控制和应用控制。而信息技术控制主要用于软件和网
络的控制。
1.壹般控制。从总体上确保企业对其信息系统控制的有效性。壹般控制的目标是保证计算机
系统的正确使用和安全性,防止数据丢失。壹般控制于人员控制、逻辑访问控制、设备和业
务连续性这些方面进行控制。
(1)人员控制
涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内
部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权
限。
(2)逻辑访问控制
逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码,可对密码
定义其格式、长度、加密和常规的变化。
(3)设备控制
设备控制是对计算机设备进行物理保护,如把他们锁于壹间保护室或保护柜中,且使用报警
系统,如果计算机从其位置上发生移动,报警系统将被激活。
(4)业务连续性
于系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划
可从信息系统中恢复关键的业务信息。
2.应用控制
应用控制和管理政策配合,对程序和输入、处理和输出数据进行适当的控制,能够弥补壹般
控制的某些不足。
(1)输入控制
输入控制的目的是发现和防止错误的交易数据的录人,其中包括:
①交易前的数据录人,如于发票和收到的货物,文件和采购订单相匹配后,核准供应商的发
票。
②数据输入屏幕的规定格式令使用者不得跳过强制输入字段。
③输入体系内容的合理检查,如检查给予顾客的折扣是否于允许的限度内。
(2)过程控制
过程控制确保过程的发生按照公司的要求进行,没有被忽略或处理不当的交易发生。最常见
的控制是交易记录、分批平衡和总量控制系统。
(3)输出控制
输出控制确保输入和处理活动已经被执行,而且生成的信息可靠且分发给用户。主要的输出
控制形式是交易清单和例外方案等。
3.软件控制和软件盗版
软件受著作权法和知识产权法的保护。软件控制防止制作或安装未经授权的软件拷贝,防止
因非法使用造成经济处罚的风险。因此,从有信誉的经销商处购买正版软件是重要的控制方
式,能够减小上述风险,且且维护好所有软件的实物存盘是必不可少的。
4.网络控制
计算机和数据安全的具体问题来自于数据处理和电子商务的增长。主要风险是黑客、计算机
病毒、电子窃听机密信息、计算机系统故障或自然灾害。基于之上原因,控制必须存于,以
防止未经授权的访问,且确保数据的完整性。随着电子商务的增加,这壹点变得尤为重要。
最常用的网络控制措施有防火墙、数据加密、授权和病毒防护。
(1)防火墙。它包括相应的硬件和软件,存于于企业内部网和公共网络之间。它是壹套控制
程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其他部分。
(2)数据加密。数据于传输前被转化成非可读格式,于传输后重新转换回来。这些数据只能
被匹配的解密接收器读取。
(3)授权。客户通过身份验证和密码进行注册。
(4)病毒防护。病毒是壹种计算机程序,它能够自我复制,且于被感染的计算机之间传播。
病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和
防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。
二、信息技术支持服务
信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度,以及其
信息技术系统是内部供应仍是外包。壹般来说,企业应有开发新系统的能力,维护和修改现
有系统的能力,以及支持用户和对新系统实施足够控制的能力。信息中心已成为企业组织其
信息技术职能最常见的方式。信息中心执行某些或以下所有职能满足企业的信息系统战略、
信息技术战略和信息管理战略。这些内容包括:
1.服务台以应用软件解决用户的问题,包括应用远程诊断软件,为用户提供关联技术进展。
2.于硬件和软件购买决策上提供建议,且为系统壹体化的标准提供建议,特别是应用企业资
源、计划系统、战略性企业管理、决策支持系统和经理信息系统。
3.为应用开发提供建议,无论是内部仍是使用外包承包商,包括和系统开发过程关联的建议。
4.监测网络中央处理器和硬盘存储的使用情况,以保障有足够的能力进行日常数据的备份。
5.维护企业数据库。
6.系统维护和测试、用户培训和系统地存储用户文档。
7.维护信息技术安全。
三、信息技术基础设施库
信息技术基础设施库通过规划指导商业用户,以商业需求来提供和管理信息技术服务的质量。
信息技术基础设施库协助企业调整其信息技术服务。它包括十个流程和壹项功能。其中有五
个流程目标于于服务支持,五个流程侧重于提供服务。服务台的功能是对所有十个流程的功
能接口提供从客户到信息技术的单点联系。这五个服务支持流程和目标包括:
1.配置管理。于所有信息技术组建中识别记录和方案。
2.事件管理。于事故发生时,以最快的时间恢复正常的服务操作,减少对业务运作的不利影
响。
3.变更管理。高效快速地处理所有变更需要标准的方法和程序步骤,以减小因变更有关的事
件造成的影响,从而改进日常操作。
4.问题管理。减小因信息技术基础设施故障对商业造成的负面影响,防止和之关联的错误再
次发生。问题管理的目的是找出根本的原因且采取行动消除这个错误。
5.发布管理。保证所有方面壹起发布,无论技术和非技术,均需要考虑。
而五个提供服务的流程和目标是:
1.服务级别管理。通过定期的协商、监督和方案,维护和提高信息技术服务质量,以满足用
户的商业目的。
2.可用性管理。优化信息技术基础设施、服务和支持机构的能力,提供壹个具有成本效益和
持续可用性的服务和支持,使企业达到目标。
3.能力管理。保证所有目前和将来的能力,且提供符合成本效益的业绩。
4.信息技术服务持续性管理。保证于要求和协议规定的时间内,信息技术服务和设施能够恢
复。这是防止关键服务缺失的系统方法。
5.财务管理。对能够提供信息技术服务的信息技术资产和资源进行有效的管理。
服务台的功能和目标是为处理事件提供单点联系,或提供顾客和业务的单点联系,从而促进
正常的操作服务的恢复。
