资讯部门之管理与经营.ppt

資訊部門之管理與經營 本章大綱第一節資訊部門營運管理第二節電腦安全管理與稽核第三節資訊部門管理控制第四節資訊科技投資的評價第五節資訊部門之經營 資訊部門之營運管理 資訊部門營運管理策略考量資訊科技架構系統設計與操作考慮外部服務來源之壓力與挑戰資訊服務供應來源之決策權資訊科技之規劃電腦中心之作業電腦操作的管理電腦操作的管理應注意以下二點 明文規定電腦操作員應執行的功能訓練操作員如何使用及維護硬體軟體 資訊部門之營運管理 續 電腦中心之作業網路通訊管理網路系統管理功能範疇應涵蓋五部分 組態管理 Configurationmanagement 障礙管理 Faultmanagement 效能管理 Performancemanagement 安全管理 Securitymanagement 帳務管理 Accountingmanagement 生產工作流程管理與資料準備媒體管理監控電腦執行績效 圖17 1管制組工作 資訊部門之營運管理 續1 系統容量之衡量與管理資訊人員之管理資訊專業晉升路線利基專業能力考量資訊人員的人性因素 圖17 2資訊技能需求調查 圖17 2資訊技能需求調查 續 電腦安全管理 網路分散環境之威脅與挑戰現存電腦安全管理問題電腦病毒的種類與防範電腦安全管理與稽核防範企業經營中斷 網路分散環境之威脅與挑戰 現今整個電腦環境因為網際網路的蓬勃發展 對安全產生無比的挑戰 因為 有更多破解功能強大的網路入侵工具電腦病毒橫行大量連接點需要監測跨平台管理系統及網路的複雜度管理人員對於安全概念參差不齊市面上企業安全管理方案太多 圖17 3電腦安全管理範圍 現存電腦安全管理問題 電腦安全政策的執行與管理由個人或由一個部門單獨承擔 一般資訊單位人員與管理當局常從技術面來看電腦安全問題 並以為加強軟硬體設備即可解決安全弱點與缺失 殊不知電腦安全是有關人的問題 並且需要全員參與 而非僅是資訊部門人員之參與 主管電腦安全的人員不易說服高階主管瞭解電腦安全對日常營運的重大影響 以爭取電腦安全管理所需之資源 現存電腦安全管理問題 續 電腦安全問題常被列為次要的考慮 高階主管未激勵其員工遵守並執行電腦安全措施與規定 員工不瞭解組織有關電腦安全之政策 程序 準則與懲戒措施 員工並沒有定期接受有關電腦安全之訓練與課程 高階主管不瞭解員工有了良好安全觀念與態度對公司所可能產生之價值 現存電腦安全管理問題 續1 管理系統與資料之權利與義務沒有清楚之界定 諸如到底是哪個部門或哪個人擁有資料檔案所有權 誰有權使用 誰應負擔電腦處理費用 由誰操作 誰負責安全措施 由誰負責控制事宜 以及由誰負責維修等 未適當地在聘雇員工前徵信員工過去記錄 員工離職程序之管理不完備 一般組織在員工離職前不僅應要求繳回名牌與鑰匙 並撤銷通行證與密碼 且應詢問員工對於重要事項之看法 例如系統安全上之弱點 可能被誤用或濫用之情況 或任何應改進之建議等 現存電腦安全管理問題 續2 有關電腦犯罪 舞弊或偷竊等事件通常沒有向有關主管單位報告 在應用系統發展與維護階段 系統之可控制性 適用性 可稽核性 可維修性等問題 常沒有考慮週詳 因此 發展出來的系統難以使用 維修 稽核 測試 轉換及不具彈性等 使用部門與高階主管人員對於資訊人員在發展應用系統方面 常有不切實際之期待 因此常以外行領導內行的方式 造成資訊部門相當大的壓力 由於沒有充分的配合與支援 使得發展出的應用系統為急就章之產品 而沒有適當之文書手冊 安全控制等 電腦病毒的種類與防範 開機型病毒 BootSectorVirus 程式型病毒 ProgramVirus 隱藏型病毒 StealthVirus 巨集型病毒網際網路電腦病毒 電腦安全管理與稽核 資產之確認與評價威脅來源之確認與發生機率之估計損失分析重新調整電腦安全控制電腦安全控制方法 資產之確認與評價 負責電腦安全之主管人員應調查以下六種主要之資產類別 人員包括如分析師 程式設計師 操作員 文書人員 警衛等 網路及硬體設備CPU 磁碟機 印表機 終端機 通訊設備 應用軟體ERP系統 應付帳款 應收帳款 總帳系統 薪工系統等 資產之確認與評價 續 系統軟體網路管理通訊軟體 編譯軟體 公用程式 DBMS 直譯軟體 作業系統 資料主檔 交易檔 歷史檔 備份檔案 耗材磁碟片 磁帶 空白帳單 憑證 影印紙 報表紙等 威脅來源之確認與發生機率之估計 威脅乃指因某些事件或行動而導致損失之發生 如 天然災害火災 水災 風災 雷擊 地震等 不可靠的系統不可靠的系統威脅來源例如硬體經常當機 或操作不良 常常必須由工程師隨時搶修 又如軟體必須常常重新執行 而使得人員產生挫折 這種情況易使得控制鬆懈威脅有機可乘 人為因素如電腦犯罪 洩密 蓄意破壞 威脅來源之確認與發生機率之估計 續 操作失誤如對設備 資料 應用軟體 系統軟體等之操作錯誤 資源中斷如因停電 停水 通訊中斷 電源干擾等 電波及輻射如電磁干擾 非離子輻射等 圖17 4預期損失之情境 電腦安全控制方法 小心任用人選警覺到員工之不滿適切分工限制系統使用權限用密碼及磁卡保護資源將資訊及程式加密確實瞭解網路安全所需監控系統交易 防範企業經營中斷 使用內部資源多個電腦中心分散式處理通訊設備的備援區域網路使用外部資源 圖17 5資訊系統稽核目標 資訊系統稽核 電腦稽核師應具備之知識如下 稽核標準 程序及技術組織與管理資訊處理作業邏輯安全 實體安全與環境控制電腦作業之管理控制措施系統軟體發展 取得與維護應用系統開發 取得與維護應用系統稽核 資訊部門預算與持有資訊資源之總成本 資訊部門預算之目的主要為 資源分配成本控制衡量資訊服務預算之品質衡量資訊服務績效協助長程策略規劃 資訊部門績效衡量 資訊功能必須定期地評估其績效與價值 此種評估通常是由一個委員會來執行 同時此項評估的主要目的亦是評估資訊主管之績效 此項評估涵括下列幾項 定期的績效報告使用者調查報告系統績效預警訊息整體效果衡量 資訊科技投資的評價 IT投資評估困難的原因 通常IT的投資都連結了一串其他投資決策 其中包含了過去與未來的投資 這是IT投資不易評估的最主要原因 由擴充原有IT平台所伴隨而來的相關成本 以及教育訓練等其他成本不易估算 IT基礎建設 ITinfrastructure 的成本可能會跨越組織的疆界 產生計算上的困難 在專案開始之際 有太多的不確定因素 導致難以評估 資訊科技投資的評價 續 在評估一個IT平台是否值得投資時 可從IT平台的投資是否有益於公司 及時間有多長來評估 而其中的 效益 可由以下幾個方向來考慮 是否有直接的效益 是否可對公司的未來產生效益 是否有使公司產生競爭優勢的效益 是否為策略必要 strategicnecessity 上需求的效益 資訊