1237阅读
1回复

[知识整理]【2015年风险知识点总结】信息战略 [复制链接]

上一主题下一主题查看指定楼层

离线阿文哥

管理员

发帖: 16132

学分: 16242

经验: 2562

精华: 49

金币: 0

只看楼主倒序阅读使用道具 0楼发表于: 2015-01-06

【知识点】：信息战略(一)信息战略的类型
　　1.信息系统战略
　　与信息相关的战略包括：信息系统、信息技术系统、信息管理。
　　信息系统战略确定了一个企业的长期信息要求，并且对可能存在的不同信息技术提供了一把保护伞。信息系统战略应遵循企业的经营战略，并且必须确保在经营战略实施的过程中，可获得、保存、共享和使用恰当的信息。信息系统包括所有涉及信息收集、储存、产生和分配的系统和程序。
　　信息系统可分为七类：

类型	内容
事务处理系统	[mNum3e 事务处理系统执行和处理常规事务。事务处理报告对控制和审计而言是很重要的，但是只能提供很少量的管理决策信息
管理信息系统	&/:c?F?l 管理信息系统将主要是来自内部的数据转化成综合性的信息，这些信息使管理层能对与自己所负责的活动领域有关的计划、指导和控制及时作出有效的决策
企业资源计划系统	G(wstHT;/ 企业资源计划系统有助于整合数据流和访问与整个公司范围的活动有关的信息。企业资源计划系统的发展方向：（1）面向供应商，满足供应链的需要；（2）面向客户，具有客户关系管理功能；（3）面向管理层，通过战略性企业管理系统，来满足管理层的信息需求和决策需要
战略性企业管理	=[[I<[BZq 战略性企业管理是一种为战略管理过程提供所需支持的信息系统。它能使企业各个层次的决策过程变得更快更完善
决策支持系统	T!Tp:&O- 决策支持系统包含了一些数据分析模式，这些分析模式能使管理层模拟并提出“如果发生了某事，应该怎么办？”的问题，从而使管理层在决策过程中能考虑到不同的选项并获得对决策有帮助的信息。
经理信息系统	>;F}>_i 经理信息系统是提供决策支持的系统，它包含了对摘要数据的访问，使高层经理能对与企业及其环境有关的信息进行评价。
专家系统	J`C 2}$ ~ 专家系统储存从专家处获得的与专门领域相关的数据，并且将其保存在结构化的格式或知识库中。专家系统为那些需要酌情判断的问题提供解决方案。专家系统的最佳应用实例是用于信用批准。

　　2.信息技术系统战略
　　信息技术系统战略定义了满足企业信息需要所必需的特定系统，包括硬件、软件、操作系统等。每个信息技术系统必须能够获取、处理、概括和报告必要信息。
　　信息技术系统战略的有用性体现为以下几个方面：

P[$idRS& 信息技术系统战略的有用性	w~+\Mfz （1）信息技术一般涉及高成本，而信息技术战略能对预算进行分配和控制。
	IwS<p- （2）信息技术对企业的成功至关重要，所以信息技术系统必须在任何时候都是可靠和可访问的。
	vl6\|i)D （3）要形成和保持竞争优势，离不开信息技术。
	#T8jHnI （4）信息技术可降低成本。
	lxbC 7?O （5）信息技术提供用于计划、决策和控制的信息，有助于管理者进行企业管理。

　　3.信息管理战略
　　信息管理战略涉及信息的储存及访问方式。
　　概括起来讲，信息系统战略重点关注各个信息业务单元，使它们能满足内部或外部的信息用户需求;信息技术系统战略以供应信息为导向，它重点关注供应信息活动以及支持这些活动所需的技术;信息管理战略在整个企业层次上以管理为导向。这三个战略会随着企业目标的改变、新信息技术的发展、软件硬件的更新以及企业的发展和多样化而变化。
　　(二)信息系统的效益
　　1.运用自动化系统提高生产能力和新技术所减少的成本。
　　2.经过改进的数据收集、储存和分析工具可能会带来以前不知道的销售机会。
　　3.改善客户服务和提高产品/服务质量。
　　4.改进决策制定过程。
　　(三)信息系统设计与实施
　　1.信息系统外包
　　信息技术外包是指企业专注于自己的核心业务，而将其非核心信息技术系统的全部或部分外包给专业的信息技术服务公司。

信息技术外包的主要优点

（1）外包服务供应商对不断变化的技术有更好的了解；
（2）能进行最准确的成本预测，因此可以进行更准确的预算控制；
（3）专业外包供应商的服务能够提供更高标准和质量的服务；
（4）公司减轻了管理专业人员的负担，企业可按需要要求提供服务，不用长期在企业中保留信息技术部门。

信息技术外包的主要缺点

信息技术外包的主要缺点是从长远的战略考虑上来看，这种成本节约是短期的。具体来讲，其缺点有：
（1）当外包服务不再受公司的控制时，失去了灵活性，企业不能根据环境的改变做出迅速的反应；
（2）外包增加了成本，很难更换外包服务商或回到企业由内部供应；
（3）供应商在质量和服务方面也有可能存在一定风险，即外包服务商提供的质量和服务能否令人满意。虽然在很多情况下企业与外包服务商会有一个服务级别协议，但要在协议上明确每一方的义务是难以实现的。

　　2.信息系统开发框架
　　(1)信息系统项目管理。在商业持续变化和新兴信息技术的大环境下，企业可能需要开发新的信息系统。企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。
　　企业如果选定外购调试或业务外包方式进行开发活动，应当采用公开招标等形式择优确定供应商或开发单位。
　　(2)信息系统设计和控制。设计信息系统的一种方法是利用系统开发周期，包括：
　　①可行性研究及方案制订。②系统分析。
　　③系统设计。④信息系统测试与上线计划。
　　(3)系统运行与维护。信息系统的运行与维护主要包含三方面的内容：日常运行维护、系统变更和安全管理。要加强这些方面的管理，企业可实施不同程度的内部控制措施。如果企业委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。
　　①日常运行维护。包括：制定信息系统使用操作程序、信息管理制度以及操作规范、及时跟踪;定期检查在硬件方面的保养和运营状况及更换易耗品;定期审阅系统账户，避免授权不当或存在非授权账户，禁止不相容职务的用户账号交叉操作;设置突发事件 (如系统故障)应变机制及配备专业负责处理等。
　　②系统变更管理。建立严格的系统变更申请、审批、执行程序，包括：未经授权的信息系统操作人员不得擅自改变软件系统环境的配置或改变软件版本;系统变更(如软件升级)需要遵循与新系统开发项目同样的验证和测试程序。
　　③安全管理。
　　(四)信息技术与信息系统风险控制及其管理
　　1.信息技术与信息系统相关的风险控制
　　(1)信息安全控制从以下四个方面进行界定，以发挥其特性：

预测性	"(~fl<; 确定可能的问题并提出适当的控制。
预防性	3j[<nBsn. 将发生风险的可能降至最低。
侦察性	$GQEdVSNo 日志能够保存那些未经授权的访问记录。
矫正性	ep`8LQf 对未经授权的访问造成的后果提出修正的方法。

　　(2)信息技术/信息系统控制类型
　　①信息系统控制分为两大类

分类	具体内容	阐释
,6f6r 一般控制：从总体上确保企业对其信息系统控制的有效性。	人员控制	us u{1&g 涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。如：对重要岗位员工进行信息系统安全保密培训，并签署安全保密协议。
	逻辑访问控制	jaVx9FR+ 逻辑访问控制对未经授权的访问提供安全防范。如：要求访问者拥有合适的登录口令和文件访问权限。
	设备控制	{A%&D^o) 设备控制是对计算机设备进行物理保护。将新增、报废、流转的设备建档登记、统一管理。如：机房使用门禁系统、安装摄像头，雇佣保安等。
	业务连续性	0C"2?etMx 业务连续性是指企业在信息系统支持中断的情况下继续经营能力以及发生灾难性事件情况下的生存能力。通过灾难备份和灾难恢复以确保业务的连续性。灾难备份是指为了减少灾难发生时或发生后造成的损失而采取的各种防范措施，如：本地备份异地保存。灾难恢复是指在发生计算机系统灾难后，在远离灾难现场的地方重新组织系统运行和恢复营业的过程。

P!)F1U]! 应用控制：应用控制与管理政策配合，对程序和输入、处理和输出数据进行适当的控制，可以弥补一般控制的某些不足。	输入控制	&N3a`Ua 输入控制是确保输入数据的合法、准确和完整。包括：数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。
	过程控制	qC=ZH# 过程控制，也称处理控制。处理控制确保信息系统按规定对数据进行处理。包括：能够对经济业务进行正常处理；业务数据在处理过程中没有丢失、增加、重复或不恰当的改变；处理中错误能够被发现并得到及时更正。
	输出控制	e(OKE7 输出控制确保系统处理结果的完整性和正确性、输出结果提交给有权使用的人员。

　　②信息技术控制
　　信息技术控制包括软件控制和网络控制两大类。最常用的网络控制方式有：

防火墙	X3XTB* 它包括相应的硬件和软件，存在于企业内部网和公共网络之间。
数据加密	%x}Unk 数据在传输前被转化成非可读格式，在传输后重新转换回来。
授权	*$JS}Pax 客户通过身份和密码进行注册。
病毒防护	9I#a{%A: 病毒是一种计算机程序，它能够自我复制，并在被感染的计算机之间传播。

　　(3)岗位分工与授权审批。适当的岗位分工与授权审批为所有的信息系统或信息技术提供支撑，以确保有关控制能提供控制的有效性和力度。系统开发和变更过程中不相容岗位(或职责)一般应包括：开发(或变更)立项、审批、编程、测试。系统访问过程中不相容岗位(或职责)一般包括：申请、审批、操作、监控。一般来说，企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构)审批通过后，方可实施。财会部门负责信息系统中各项业务账务处理的准确性和及时性、会计电算化制度的制定、财务系统操作规定等。
　　2.信息技术基础设施库
　　信息技术基础设施库通过规划指导商业用户，以商业需求来提供和管理信息技术服务的质量。
　　五个服务支持流程和目标包括：

配置管理	X*bOE} 在所有信息技术组建中识别记录和报告
事件管理	$%ztP Ta 在事故发生时，以最快的时间恢复正常的服务操作，减少对业务运作的不利影响
变更管理	DIhV;[\ 高效快速地处理所有变更需要标准的方法和程序步骤，以减小因变更有关的事件造成的影响，从而改进日常操作
问题管理	qA25P< 减小因信息技术基础设施故障对商业造成的负面影响，防止与之相关的错误再次发生
发布管理	OKj\>3 保证所有方面一起发布，无论技术和非技术，都需要考虑

　　五个提供服务的流程和目标包括:

服务级别管理	wLg @BSC. 通过定期的协商、监督和报告，维护和提高信息技术服务质量，以满足用户的商业目的
可用性管理	Np.<&`p! 优化信息技术基础设施、服务和支持机构的能力，提供一个具有成本效益和持续可用性的服务和支持，使企业达到目标
能力管理	Z^KWYe'w 保证所有目前和将来的能力，并提供符合成本效益的业绩
信息技术服务持续性管理	Cs,t:ajP 保证在要求和协议规定的时间内，信息技术服务和设施能够恢复。这是防止关键服务缺失的系统方法
财务管理	3#F"UG2,_ 对能够提供信息技术服务的信息技术资产和资源进行有效的管理