第十二章信息技术管理
第一节企业中的信息需求
一、信息需求概论
数据是指根据经验、观察、实验、计算机内部程序以及一组假设条件所收集到的事实集合体。数据包含数字、词语以及映像,尤其是一组变量的测度或观察的结果。一般认为,数据是形成信息和知识的最底层来源。而信息是经过处理以后的数据,对于使用者来说更有意义。
在现实的商业社会和企业管理概念中,信息被视作一种很有价值的资源,是追求竞争优势的关键工具。信息技术和信息系统的主要作用是想管理层提供所需的合适种类和数量的信息,以帮助管理者选择、执行和控制经营战略。因此,信息战略要和商业战略相匹配。
信息的可用性、及时性以及质量已成为企业成功的重要因素。例如,下列业务活动对信息具有高度依赖性:
1.生产者在特定市场开发新产品之前,需要运用信息分析目标客户的支出行为、偏好以及对产品的预期。
2.保险经纪人只有在取得了投保人的详细风险评估资料,以及承保人愿意为此风险所开出的价格的条件下,才能报出具有竞争力的保费。
二、信息的层次
企业需要不同类型的信息系统来为一定范围内的不同职能领域提供不同层次的信息。大企业需要一个覆盖面很广的系统来分析信息。战略规划、管理控制和运营控制等信息层级就类似于决策的层次结构。
(一)战略规划
战略规划来源于信息系统,与企业的长期发展方向相关。高层管理人员有责任考虑各种影响其战略规划的因素,包括明确企业所面临的挑战、确定信息技术解决方案,以及为确认和获取所需资源而设计行动计划。在制定为期3-5年的战略规划时,企业必须确保战略规划与企业的总体目标相一致。这些系统所提供的信息包括总体盈利能力、不同业务单位的盈利能力、未来市场前景、筹备新资金的可能性和成本以及总现金需求。这些系统的主要功能是确保为高层管理人员及时提供战略规划所需的各种相关信息。
(二)管理控制
管理控制系统能够帮助中层管理人员进行监督和控制。管理控制系统产生的信息包括生产效率、预算控制或方差分析报告、特定部门的预测和工作结果,以及短期的采购需求。管理控制系统检测一切是否顺利。
(三)运营控制。
运营系统针对运营常规问题进行控制,并对交易进行处理和追踪。这些信息能够帮助运营管理人员追踪特定的日常经营活动和交易。
三、信息的质量
为了提高信息的用途和价值,我们必须关注信息的质量。高质量信息的关键要素具有以下特征:
1.完整性。信息必须包含所有应包括的内容,例如,相关可作比较的外部数据或不同时期的可比较信息。
2.准确性。应该对数据进行合计,四舍五入的程度应该是适当的,不得有打字错误,各个项目应该按适当类别划分,应该指明与不确定信息相关的假设。
3.相关性。应该删除作决策时无需考虑的信息,无论其是多么"有趣"。只有对决策有帮助的信息才应保留,以便使用者更容易地作出有效的定案。
4.针对使用者的需要。应当始终记住使用者的需要,例如,高级经理需要的可能是摘要,而初级管理者需要的可能是详情。
5.权威性。信息来源必须是可靠的。
6.及时性。在需要时,可及时获得信息。
7.易于使用。信息应该明确清晰,不会过分冗长,而且发送时采用了正确的媒介和交流渠道,减少信息在发送过程中的遗失。
8.成本效益。获得该信息的成本应该不超过可从该信息中获得的益处。信息提供者应提供有效的信息收集和分析方法去处理信息,并以简单易懂的方式表达信息,使用者们无需费时来琢磨信息的含义。
第二节信息技术在企业中的战略应用
一、信息战略的类型
与信息相关的战略包括:信息系统、信息技术、信息管理。
(一)信息系统战略
信息系统战略确定了一个企业的长期信息要求,并且对可能存在的不同信息技术提供了一把保护伞。信息系统战略应遵循企业的经营战略,并且必须确保在经营战略实施(如财务、非财务、竞争和人力资源方面的战略实施)的过程中,可获得、保存、共享和使用恰当的信息。
信息系统包括所有涉及信息收集、储存、产生和分配的系统和程序。信息系统可分为七类:事务处理系统、管理信息系统、企业资源计划系统、战略性企业管理、决策支持系统、经理信息系统和专家系统。
1.事务处理系统
事务处理系统执行和处理常规事务。它收集与商业交易相关的源数据,如顾客订单、销售、采购和库存变动等相关数据。它会定期对这些信息进行报告。事务处理报告对控制和审计而言是很重要的,但是只能提供很少量的管理决策信息。
2.管理信息系统
管理信息系统将主要来自内部的数据转化成综合性的信息,如摘要报告和异常报告。这些信息使管理层能对与自己所负责的活动领域有关的计划、指导和控制及时作出有效的决策。它从事务处理系统获得数据并生成报告。这些报告往往是标准报告,但是其中的信息通常需要再进行其他处理。在将信息从标准报告中摘录出来,并转移到电子表中供管理层进行处理和分析的过程中,信息技术是十分常用的。在计划层面上,管理信息系统并不是特别有用。
3.企业资源计划系统
企业资源计划系统有助于整合数据流和访问与整个公司范围的活动有关的信息。企业资源计划系统通常记录用于会计处理的事务数据、操作型数据和客户及供应商数据,同时可通过数据仓库获得这些数据,并在此基础上生成自定义的报告。系统包括财务预测、生产能力、调整资源调度等方面的功能,能配合企业实现存货全面管理、质量管理和生产资源调度管理及辅助决策。企业资源计划系统是企业进行生产管理及决策的平台工具。换言之,企业资源计划系统是基于以"企业整体"系统化的管理为依据,为企业合理调配资源,最大化地创造价值,实现企业内部决策和管理的应用信息系统平台。企业资源计划系统中的数据可用于更新平衡记分卡系统中的业绩指标,也可用于作业成本核算、股东价值分析、战略计划、客户关系管理和供应链管理。企业资源计划系统的发展有三个方向:(1)面向供应商,满足供应链的需要;(2)面向客户,具有客户关系管理功能;(3)面向管理层,通过战略性企业管理系统(如下文第4点所述),来满足管理层的信息需求和决策需要。
4.战略性企业管理
战略性企业管理是一种为战略管理过程提供所需支持的信息系统。信息技术是以储存在数据仓库的数据为基础的,这些数据同时又能被应用于一系列分析工具中,如股东价值管理、作业成本核算和平衡记分卡系统。战略性企业管理可成为企业业绩的重要驱动力,因为它能使企业各个层次的决策过程变得更快更完善。
5.决策支持系统
决策支持系统包含了一些数据分析模式,这些分析模式能使管理层模拟并提出"如果发生了某事,应该怎么办?"的问题,从而使管理层在决策过程中能考虑到不同的选项并获得对决策有帮助的信息。决策支持系统可被包含在一张电子表或复杂的软件包中。一个较简单的决策支持系统例子可以是一份包括戚本、销量和利润数据在内的电子表,管理层可以在对定价和产品盈利性的决策过程中修改售价以观察其对销量和利润的影响。又例如,一份包含预期现金流、支持资本投资评估的电子表是较复杂的决策支持系统。在使用概率论的过程中可采用现金流折现技术来生成不同资本成本下的现金流预测报告。
6.经理信息系统
经理信息系统是提供决策支持的系统,它包含了对摘要数据(通常是图表格式)的访问,使高层经理能对与企业及其环境有关的信息进行评价。经理信息系统采用"向下钻取"功能,从总计数据下移到更具体详细的层次(如客户、产品、业务单位)。通常也可以从外部来源(如公共数据库中)获取信息。易于使用是经理信息系统的一个重要特点,这样可以在无需对基础数据结构有深入了解的情况下进行信息查询。
7.专家系统
专家系统储存从专家处获得的与专门领域相关的数据,并且将其保存在结构化的格式或知识库中。专家系统为那些需要酌情判断的问题提供解决方案。用户通过图表式的用户界面来向系统提问,系统会要求提供更多的信息。然后,专家系统采用各种规则作出决策。专家系统的最佳实例是用于信用批准。根据提示,将邮编、电话号码、年龄和士作经历等信息输入系统,系统将这些信息与信用资料机构拥有的机密数据进行比较,对申请者的信用可靠性和信用额度分配自动作出判断。
(二)信息技术战略
信息技术战略定义了满足企业信息需要所必需的特定系统,包括硬件、软件、操作系统等。每个信息技术系统必须能够获取、处理、概括和报告必要信息。企业必须有信息技术战略,其原因如下:(1)信息技术一般涉及高成本,而信息技术战略能对预算进行分配和控制;(2)信息技术对企业的成功至关重要,所以信息技术系统必须在任何时候都是可靠和可访问的;(3)要形成和保持竞争优势,离不开信息技术,例如,要对目标客户进行营销,必须用到客户信息;(4)信息技术可降低成本,例如,使用电子邮件可降低邮费和电话费;(5)信息技术提供用于计划、决策和控制的信息,有助于管理者进行企业管理。
(三)信息管理战略
信息管理战略、涉及信息的储存及访问方式。它会考虑中间接口文件或关系数据库的使用方式、数据库创建和备份功能等等。该战略能确保将信息提供给用户,并且不会生成多余的信息。
总括而言,信息系统战略重点关注各个信息业务单元,使它们能满足内部或外部的信息用户需求。信息技术战略以供应信息为导向,它重点关注供应信息活动以及支持这些活动所需的技术。信息管理战略在整个企业层次上以管理为导向。这三个战略会随着企业目标的改变、新信息技术的发展、软件硬件的更新以及企业的发展和多样化而变化。
二、信息系统的评价
对信息进行收集、处理、分析和报告可能需要高额的成本,而且必须注意要确保所获得的信息的价值要高于其戚本。信息的成本可能包含计算机硬件和软件、实现成本(如项目小组的戚本)以及与新系统开发相关的培训戚本等。与信息系统相关的日常戚本包括工资、办公室设施费用、折旧费或租金、水电费、易耗品费用、融资费用等。要量化信息的成本,企业应当估计可能产生的成本,并运用折现现金流量法、投资回收期法或投资回报率法等方法。在评价信息系统时,需要仔细进行成本效益分析。信息系统的效益包括:
1.运用自动化系统提高生产能力和新技术所减少的成本。自动化系统和新技术减少了手工处理和分析数据所需的人力成本。
2.经过改进的数据收集、存储和分析工具可能会带来以前不知道的销售机会。这些工具包括数据挖掘软件,它能够发现以前没有注意到的数据关系。
3.改善客户服务和提高产品/服务质量。计算机系统能够产生更加准确、及时的信息。例如,银行客户能够上网查询自己的银行账户和投资组合而不必亲自前往银行。这能够提高客户满意度,从而带来竞争优势。
4.改进决策制定过程。完整、可靠、准确、及时的信息能够帮助企业决策者作出正确合理的判断。信息能够帮助企业管理者进行准确预测,以更好地规划企业结构,进行融资,并取得长期成功。还可以评价现有项目和关键投资决策,特别是需要大投入的资本支出项目。
量化信息系统的效益可能比量化戚本难,因为它要求管理层对以下方面进行判断:市场增长、市场份额、竞争优势以及信息对销售和利润的影响。
三、信息和网络
(一)互联网
互联网的名字起源于一项技术,这项技术使得任何一台计算机都能够与其他达到配置标准的计算机发生通信链接以发送和接收信息。互联网技术提供了将任务交由企业并进行自动化处理的机会,而这项工作的开展不需要很大的成本。用户只需要简单地点击相应的按钮、词语或屏幕图像就能够接触和分享大部分以文本和图表形式表示的及时信息。网址是互联网中的点,创建人希望能够为搜索者提供信息,并期望从信息提供或交易中获利。
互联网由计算机、网络服务器、通信线路和通信软件组成,可以让用户通过万维网(www)在多台计算机之间存取数据。主要的互联网标准是TCP/IP(Transmissioncontrolprotocolllnternetprotocol)和HTML(Hypertextmark-uplanguage),TCP/I~协议是通信软件的标准,HTML编程语言可以在万维网(www)上建立数据间的联系。网页浏览器是应用软件,它能够利用超文本及搜索功能在互联网上邀游。最常见的浏览器是微软的InternetExplorer和MozillaFirefox。用户可以通过五联网服务提供商在互联网上进行浏览。据估计,全球约有数亿网民。除了网页浏览,电子邮件和聊天室是最受欢迎的。
(二)内部网和外部网
除五联网外,大多数企业常利用内联网和外联网来传播信息。内联网就像一个迷你版的互联网,可以让公司员工获得保存在服务器上的电话簿、程序操作指南、参考资料等信息,用户操作界面与互联网类似。内部网需要利用网页浏览器、超文本、电子邮件软件和一个可用网络,实现对所有用户在内部网上''快速的数据传递。外联网是获得批准的外部人员使用有效的用户名和密码即可访问的内联网,它主要用于商业伙伴之间信息的交换。外联网可用于共享库存情况、交货状态等。世密和系统间的兼容性是应用外部网时必须面对的难题。
(三)电子商务
电子商务是指通过互联网进行商品买卖和金融服务。企业可以利用互联网确立其公共关系,进行信息传递和扩展其零售渠道。
1.公共关系的确立。网站可能包含有关该企业的详细信息,包括其产品、职员、财务信息等,它们也可以被用来与其他企业进行交易。
2.信息传递。公司的网页里有电子产品/服务手册文件,这些文件也可以被用户作为一个单独的文件进行下载,许多公司在它们的网站上储存PDF格式的非常详细的报告。
3.扩展零售途径渠道。用户可以通过互联网进行商品的预订和购买。
电子商务的主要好处是可以通过全球市场使销售量出现潜在增长,相比其他销售方式减少了交易成本。然而,允许他人进入计算机系统并允许远程实时处理,需要额外的控制,并要防范安全问题。
四、数据收集方法
大多数数据收集是计算机系统交易记录的副产品。以零售业为例,最常利用数据收集方法的方面有:电子销售点、电子资金转账、互联网购物、电子数据交换和文件成像。
1.电子销售点(Electronicpointofsale,简称EPOS)。利用条形码扫描定价商品,并减少存货量,通过售价和戚本价确定利润额。在一个时间段(每天、每周或每月)内,从这一系统的信息输出包括现金收据、业务量(客户的数量、销售项目的数量等)的分析,产品的盈利能力和对库存需求的重新排序。此外,EPOS可提供包括每天的高峰销售时间、需要打折的商品信息、商品的销售地点信息,以及需要加大销售的商品信息等。
2.电子资金转账(EFTPOS)。电子资金转账能使客户用借记卡或信用卡来为其购买的商品付款。虽然银行对这种服务向零售商收取一定的费用,但零售商避免了处理大量现金的成本和风险。
3.互联网购物。在互联网上购买商品和服务,客户可以进行一些以前是由零售商自己的员工来完成的数据处理。客户作出自己的选择,提供交付,细节,通过借记卡或信用卡进行支付。零售商会自动获得一份客户消费习惯的详细记录,以重新进行其业务的营销定位。网上购物的实例有书籍、食品、服装、旅行等等。
4.电子数据交换(EDI)。在企业间产品的销售中,通过电子数据交换在互联网上进行交易。供应商和顾客系统由一种共同的数据格式相连,以便顾客的购买订单能被自动转化成销售商的销售订单。例如,在汽车制造业,车辆制造商向零件供应商投入订单,这些订单将被严格准时地交付。EDI交易使零件供应商确认能够完成订单,零件供应商的货物发送时间及地点可以通过物流公司进行条形码追踪。多个组分按预定的顺序准确交付以满足车辆装配生产线的要求。任何延误和组分无序都可以使装配线停止。供应商可通过EDI自动生成发票,物流供应商生成追踪交付单,装配线生成货物收据,直至最终付款给供应商。
5.文件成像。企业内纸张使用的减少能够提高效率和降低成本。文件影像处理系统可以通过扫描图像,创建一个电子文件而对顾客的定单进行处理,这能对顾客进行快速的响应,提高服务水平,减少人力的成本,可以更快地存取记录和减少丢失文件造成的错误。
五、管理信息数据的结果
(一)定期报告
向用户提供管理信息最常见的形式是硬盘拷贝报告,由计算机生成的报告列出交易(交易报告)、例外(例外报告)或定期总结报告。然而,以图解方法通过屏幕显示主要绩效数据变得越来越普遍。
1.交易报告。该报告包含了在一段时间内所有交易的详细清单如一天之内发生的所有交易。
2.例外报告。是指根据提前确定的规则找出例外。例如,按照未在付款到期日前支付的债务人或长期拖欠一年多的债务人来分类。
3.定期总结报告。这是指固定周期,通常每周或每月进行报告,包括财务报告(如损益表、资产负债表、库存分析等)和非财务报告(如生产率、客户投资组合报告)。
制定定期报告的主要问题在于其内容主要是量化的,关注短期表现,忽视外部因素,难以从提出的数据中区分出主要绩效信息。
(二)简报
管理层对利用与企业目的有关的信息来确定关键发展趋势的需求越来越大。简报包含关键财务或非财务信息的一系列月度单页总结,确定趋势,通常以图解形式简要说明预算变化和趋势。然而简报的内容常常取决于信息的提供者,而不是用户,因此,可能不包括主要的绩效信息,其内容对公司不同部门、不同水平的管理人员可能是不相关的,或包括过时的信息。在线信息的产生满足了管理人员对信息的特定需求,因为信息用户可以通过经理信息系统获得最新的整体信息,而不是依赖信息提供者的标准报告格式。
第三节信息系统设计与实施
一、信息系统外包和管理
(一)信息系统外包
随着计算机影响力增强,其体积缩小,成本不断下降。公司拥有了自己的计算机系统,并培训出自己内部的信息技术专家。同时,有些企业把非核心部分和技术支持活动的外包也越来越普遍,尤其是在提供信息技术服务方面,当把技术支持工作外包给相关的专业公司后,企业可以集中精力于他们的核心活动。信息技术的外包范围广泛,可以是整个信息技术部门或具体的内容,如计算机编程,维护和数据恢复是最普遍的外包业务。外包服务商提供服务的基础是以商定的服务水平、时间和成本作为依据。信息技术外包的主要优点是:
1.外包服务供应商对不断变化的技术有更好的了解。
2.能进行最准确的成本预测,因此可以进行更准确的预算控制。
3.专业外包供应商的服务能够提供更高标准和质量的服务。
4.公司减轻了管理专业人员的负担.企业可按需要要求提供服务,不用长期在企业中保留信息技术部门。
信息技术外包的主要缺点是从长远的战略考虑上来看的,这种戚本节约是短期的。当外包服务不再受公司的控制时,就失去了灵活性,企业不能根据环境的改变作出迅速的反应。另外,外包增加了成本,很难更换外包服务商或回到一个企业的内部供应。供应商在质量和服务方面也有可能存在一定风险,即外包服务商提供的服务质量能否令人满意斗虽然在很多情况下企业与外包服务商会有一个服务级别协议,但要在协议上明确每一方的义务是难以实现的。
(二)设施管理
设施管理(Facilitiesmanagement)是外包发展的一种形式,通过外方来管理和运作公司信息技术服务的一部分或全部。外部职员常通过设施管理的安排,在客户允许的前提下,外方可以在客户的办公处应用其信息技术设备进行工作。企业通过竞标程序进行外包或设施管理,井遵循信息系统发展流程去实施。外包和设施管理的风险可通过保留一小部分内部信息技术专家进行监督和与外包供应商一起工作而部分抵消。企业也可通过建立长期伙伴关系或进行合资来减小风险。另一种选择是签订一个外购合同,供应商的一员留守于客户的公司,成为客户和外包商之间一个永久的联络员。这种做法有时被称为“植入”。
二、信息技术共享服务中心
共享服务中心为企业内大部分或所有部门提供所需服务。信息技术共享服务中心独特的属性是它们在企业内提供共同的信息技术服务,包括系统设计、数据处理、信息技术安全性、报告生成等。事实上,共享服务中心不同于传统的集中活动,其服务体现于顾客或用户的指定要求。传统的集中服务主要关注控制和集中需求,其中政策和方向是由总部制定的。共享服务中心的性质是不同的,它聚焦于质量和客户服务,并集中资源以实现共同的目标。如同外包服务,可与共享服务中心通过服务级别协议建立质量和服务的要求。
共享服务中心不同于外包,是因为在外包中,供应商和客户之间是被割裂的,而共享服务中心的信息技术服务则保留在企业内部。
三、信息系统开发框架
(一)信息系统项目管理
在商业持续变化和新兴信息技术的大环境下,企业常常需要改善或改变。然而,信息系统开发很大的风险在于所开发的系统过时,不能满足信息用户需求,或者超出成本预算。因此,对系统开发进行控制是非常重要的,信息系统项目管理的重要环节包括:(1)项目计划和定义;(2)管理支持;
(3)成立项目小组:决定指导委员会、项目委员会和项目经理的作用和责任;(4)资源规划和分配;(5)质量控制和进展监督;(6)的风险管理(风险识别、评估和管理);(7)系统的设计和审批;(8)系统测试和执行;(9)用户参与使用和介入;(10)沟通与协调;(11)用户教育和培训。
(二)信息系统设计和控制
设计信息系统的一种方法是利用系统开发周期,这包括:
1.可行性研究。通过辨认当前问题确定系统的需求和目标,从技术上,对可操作性和经济可行性提出解决方案。应当清楚新系统的目标、交付使用情况,以及成本和完成时间。
2.系统分析。通过对问题进行有条不紊的调查和确定,有必要对系统进行规范,通过更多的信息对替代的方法进行排序,并在内部和外包供应商之间作出选择。
3.系统设计。一个可行的设计包括源数据、输入布局、文件结构与其他系统的接口等。许多企业越来越多地应用计算机辅助软件工程工具来进行系统分析和设计。现阶段,有关数据安全性和授权水平需要制定相应的规则,以进行系统测试。在实施之前,必须有系统开发程序员、用户和内部审计员进行全面的系统测试。
4.执行阶段。使用项目管理技术,从现有系统硬件、软件测试、文献、培训和系统转换方面进行。在这一阶段,需要对培训内容和相关文献、文件转换和操作问题(如人员如何分配和监督)进行回顾。成立指导委员会十分重要,它集合以下专业人才:(1)项目的主办者。参与项目的审批并致力于项目成功的高级管理人员;(2)项目经理。负责项目的每日交付;(3)专业的信息技术工作人员。负责提供项目;(4)用户代表。负责接受系统;(5)内部审计代表。与用户协力保证足够的内部控制和系统测试。指导委员会参照计划来监督系统的实施并确保该系统符合规定的质量、时间和成本上所负的全部责任。
5.系统操作与维护。系统开始运转之后,其维护包括系统的校正和改进。
(三)系统执行计划与实施后的回顾
系统执行计划包括并行运行,即新系统与现有系统一起运行,直到新系统被证明达到了两个系统工作时相一致的结果,用户满意新系统,对停止现有系统应用新系统充满信心。如果没有并行运行,实施之前测试就变得非常重要,另外,在实施的早期阶段需要进行额外的检测。从现有系统进行数据转换需要特别注意。这需要正确的计划,并要分配充足的资源进行数据转换。有必要实施适当的控制以确保数据的连续性,因为这些数据传输于不同的系统中。在传输过程中,识别可能出现的数据重复或遗漏。
在新系统实施后,应由项目小组对其进行详尽的复核,以确定系统是否按计划运行,能否令用户满意。实施后的复核包括:(1)确定新系统是否满足用户的需要;(2)与系统规范相比,评价系统的实际绩效;(3)提出改进意见;(4)确定系统实施管理质量和以后的项目值得学习的地方;(5)对系统开发程序提出改进建议;(6)比较实际成本和项目预算费用,确定是否已取得效益。
第四节与信息技术和信息系统相关的风险控制及其管理
一、信息技术与信息系统相关的凤险控制
系统和数据很容易因以下的原因受到损失,即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此,信息安全非常重要。为了保护公司的信息资源,需要进行风险评估和控制来减轻这些风险,信息技术行业有许多不同的控制方式。
(一)信息安全控制
安全控制可以从以下四个方面进行界定,以发挥其特性。
1.预测性。确定可能的问题并提出适当的控制。
2.预防性。将发生风险的可能降至最低,例如,防火墙可以防止未经授权的访问。
3.侦察性。日志能够保存那些未经授权的访问记录。
4.矫正性。对未经授权的访问造成的后果提出修正的方法。
(二)信息技术/信息系统控制类型
信息系统中的控制可分为两大类:一般控制和应用控制。而信息技术控制主要用于软件和网络的控制。
1.一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。
(1)人员控制
涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权限。
(2)逻辑访问控制
逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码,可对密码定义其格式、长度、加密和常规的变化。
(3)设备控制
设备控制是对计算机设备进行物理保护,如把他们锁在一间保护室或保护柜中,并使用报警系统,如果计算机从其位置上发生移动,报警系统将被激活。
(4)业务连续性
在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。
2.应用控制
应用控制与管理政策配合,对程序和输入、处理和输出数据进行适当的控制,可以弥补一般控制的某些不足。
(1)输入控制
输入控制的目的是发现和防止错误的交易数据的录人,其中包括:
①交易前的数据录人,如在发票与收到的货物,文件和采购订单相匹配后,核准供应商的发票。
②数据输入屏幕的规定格式令使用者不得跳过强制输入字段。
③输入体系内容的合理检查,如检查给予顾客的折扣是否在允许的限度内。
(2)过程控制
过程控制确保过程的发生按照公司的要求进行,没有被忽略或处理不当的交易发生。最常见的控制是交易记录、分批平衡和总量控制系统。
(3)输出控制
输出控制确保输入和处理活动已经被执行,而且生成的信息可靠并分发给用户。主要的输出控制形式是交易清单和例外报告等。
3.软件控制和软件盗版
软件受著作权法和知识产权法的保护。软件控制防止制作或安装未经授权的软件拷贝,防止因非法使用造成经济处罚的风险。因此,从有信誉的经销商处购买正版软件是重要的控制方式,可以减小上述风险,并且维护好所有软件的实物存盘是必不可少的。
4.网络控制
计算机和数据安全的具体问题来自于数据处理和电子商务的增长。主要风险是黑客、计算机病毒、电子窃听机密信息、计算机系统故障或自然灾害。基于以上原因,控制必须存在,以防止未经授权的访问,并确保数据的完整性。随着电子商务的增加,这一点变得尤为重要。
最常用的网络控制措施有防火墙、数据加密、授权和病毒防护。
(1)防火墙。它包括相应的硬件和软件,存在于企业内部网和公共网络之间。它是一套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其他部分。
(2)数据加密。数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。
(3)授权。客户通过身份验证和密码进行注册。
(4)病毒防护。病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。
二、信息技术支持服务
信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度,以及其信息技术系统是内部供应还是外包。一般来说,企业应有开发新系统的能力,维护和修改现有系统的能力,以及支持用户和对新系统实施足够控制的能力。信息中心已成为企业组织其信息技术职能最常见的方式。信息中心执行某些或以下所有职能满足企业的信息系统战略、信息技术战略和信息管理战略。这些内容包括:
1.服务台以应用软件解决用户的问题,包括应用远程诊断软件,为用户提供相关技术进展。
2.在硬件和软件购买决策上提供建议,并为系统一体化的标准提供建议,特别是应用企业资源、计划系统、战略性企业管理、决策支持系统和经理信息系统。
3.为应用开发提供建议,无论是内部还是使用外包承包商,包括与系统开发过程相关的建议。
4.监测网络中央处理器和硬盘存储的使用情况,以保障有足够的能力进行日常数据的备份。
5.维护企业数据库。
6.系统维护和测试、用户培训和系统地存储用户文档。
7.维护信息技术安全。
三、信息技术基础设施库
信息技术基础设施库通过规划指导商业用户,以商业需求来提供和管理信息技术服务的质量。信息技术基础设施库协助企业调整其信息技术服务。它包括十个流程和一项功能。其中有五个流程目标在于服务支持,五个流程侧重于提供服务。服务台的功能是对所有十个流程的功能接口提供从客户到信息技术的单点联系。这五个服务支持流程和目标包括:
1.配置管理。在所有信息技术组建中识别记录和报告。
2.事件管理。在事故发生时,以最快的时间恢复正常的服务操作,减少对业务运作的不利影响。
3.变更管理。高效快速地处理所有变更需要标准的方法和程序步骤,以减小因变更有关的事件造成的影响,从而改进日常操作。
4.问题管理。减小因信息技术基础设施故障对商业造成的负面影响,防止与之相关的错误再次发生。问题管理的目的是找出根本的原因并采取行动消除这个错误。
5.发布管理。保证所有方面一起发布,无论技术和非技术,都需要考虑。
而五个提供服务的流程和目标是:
1.服务级别管理。通过定期的协商、监督和报告,维护和提高信息技术服务质量,以满足用户的商业目的。
2.可用性管理。优化信息技术基础设施、服务和支持机构的能力,提供一个具有成本效益和持续可用性的服务和支持,使企业达到目标。
3.能力管理。保证所有目前和将来的能力,并提供符合成本效益的业绩。
4.信息技术服务持续性管理。保证在要求和协议规定的时间内,信息技术服务和设施能够恢复。这是防止关键服务缺失的系统方法。
5.财务管理。对能够提供信息技术服务的信息技术资产和资源进行有效的管理。
服务台的功能和目标是为处理事件提供单点联系,或提供顾客和业务的单点联系,从而促进正常的操作服务的恢复。
第十二章信息技术管理
|
|
