资讯部门之管理与经营

1、资讯部门之管理与经营資訊部門之營運管理資訊部門之營運管理q 資訊部門營運管理策略考量l資訊科技架構 l系統設計與操作 l考慮外部服務來源之壓力與挑戰 l資訊服務供應來源之決策權 q 資訊科技之規劃 q 電腦中心之作業 l電腦操作的管理 電腦操作的管理應注意以下二點： 明文規定電腦操作員應執行的功能 訓練操作員如何使用及維護硬體軟體 資訊部門之營運管理資訊部門之營運管理 (續）續） q 電腦中心之作業 l網路通訊管理 網路系統管理功能範疇應涵蓋五部分： 組態管理(Configuration management) 障礙管理(Fault management) 效能管理(Performance m

2、anagement) 安全管理(Security management) 帳務管理(Accounting management)l生產工作流程管理與資料準備 l媒體管理 l監控電腦執行績效 圖圖17-1 管制組工作管制組工作使用者組織準備資料電腦中心電腦房管制組外部資料服務中心資訊部門之營運管理資訊部門之營運管理(續1) q系統容量之衡量與管理q資訊人員之管理 l資訊專業晉升路線 l利基專業能力 l考量資訊人員的人性因素 圖圖17-2 資訊技能需求調查資訊技能需求調查排名2002年對該技能需求的公司排名2002年對該技能需求的公司Web技能技能網路網路1.Java39%1.TCP/IP35%2

3、.XML37%2.SNA6%3.HTML37%3.IPX6%4.Active Server Pages37%5.Visual Basic33%語言語言資料庫管理系統資料庫管理系統1.Java36%1.Oracle34%2.C+26%2.Microsoft SQL Server25%3.C20%3.Microsoft Access12%4.Cobol10%4.DB210%5.Sybase Adaptive Server6%開發工具開發工具作業系統作業系統1.Visual Basic26%1.Windows NT37%2.Oracle Developer 200020%2.Solaris18%3.

4、Visual C+17%3.Linux11%4.PowerBuilder10%4.HP-UX11%5.Other Unix9%圖圖17-2 資訊技能需求調查資訊技能需求調查(續續)排名2002年對該技能需求的公司排名2002年對該技能需求的公司網路連結網路連結企業應用系統企業應用系統1.Routing12%1.Oracle19%2.Gigabit Ethernet10%2.SAP8%3.Ethernet switching8%3.Peoplesoft7%4.10Base-T Switching6%4.Siebel5%5.J. D. Edwards3%區域網路管理區域網路管理系統軟體及支援系統軟

5、體及支援1.Microsoft NT Server22%1.Internet application development30%2.Ethernet10%3.HTTP10%2.EC application development28%4.Novell NetWare6%3.Web server administration23%辦公室自動化辦公室自動化/群組軟體群組軟體1.Microsoft Exchange21%4.Project management20%2.Lotus Notes7%5.Data warehousing/mining18%3.CC:Mail2%4.Novell Grou

6、pWise2%電腦安全管理電腦安全管理 q網路分散環境之威脅與挑戰q現存電腦安全管理問題q電腦病毒的種類與防範 q電腦安全管理與稽核q防範企業經營中斷網路分散環境之網路分散環境之威脅與挑戰威脅與挑戰q 現今整個電腦環境因為網際網路的蓬勃發展，對安全產生無比的挑戰，因為：l有更多破解功能強大的網路入侵工具l電腦病毒橫行l大量連接點需要監測l跨平台管理l系統及網路的複雜度l管理人員對於安全概念參差不齊l市面上企業安全管理方案太多圖圖17-3 電腦安全管理範圍電腦安全管理範圍網路通訊安全系統軟體安全人事安全實體安全電腦作業安全應用軟體與資料安全現存電腦安全管理問題現存電腦安全管理問題q 電腦安全政策

7、的執行與管理由個人或由一個部門單獨承擔。q 一般資訊單位人員與管理當局常從技術面來看電腦安全問題，並以為加強軟硬體設備即可解決安全弱點與缺失。殊不知電腦安全是有關人的問題，並且需要全員參與，而非僅是資訊部門人員之參與。q 主管電腦安全的人員不易說服高階主管瞭解電腦安全對日常營運的重大影響，以爭取電腦安全管理所需之資源。 現存電腦安全管理問題現存電腦安全管理問題(續續) q 電腦安全問題常被列為次要的考慮。q 高階主管未激勵其員工遵守並執行電腦安全措施與規定。q 員工不瞭解組織有關電腦安全之政策、程序、準則與懲戒措施。q 員工並沒有定期接受有關電腦安全之訓練與課程。q 高階主管不瞭解員工有了良好

8、安全觀念與態度對公司所可能產生之價值。現存電腦安全管理問題現存電腦安全管理問題（續（續1） q 管理系統與資料之權利與義務沒有清楚之界定。諸如到底是哪個部門或哪個人擁有資料檔案所有權、誰有權使用、誰應負擔電腦處理費用、由誰操作、誰負責安全措施、由誰負責控制事宜，以及由誰負責維修等。q 未適當地在聘雇員工前徵信員工過去記錄。q 員工離職程序之管理不完備，一般組織在員工離職前不僅應要求繳回名牌與鑰匙，並撤銷通行證與密碼，且應詢問員工對於重要事項之看法，例如系統安全上之弱點，可能被誤用或濫用之情況，或任何應改進之建議等。現存電腦安全管理問題現存電腦安全管理問題（續（續2） q 有關電腦犯罪、舞弊或偷

9、竊等事件通常沒有向有關主管單位報告。q 在應用系統發展與維護階段，系統之可控制性、適用性、可稽核性、可維修性等問題，常沒有考慮週詳。因此，發展出來的系統難以使用、維修、稽核、測試、轉換及不具彈性等。q 使用部門與高階主管人員對於資訊人員在發展應用系統方面，常有不切實際之期待，因此常以外行領導內行的方式，造成資訊部門相當大的壓力，由於沒有充分的配合與支援，使得發展出的應用系統為急就章之產品，而沒有適當之文書手冊、安全控制等。電腦病毒的種類與防範電腦病毒的種類與防範q開機型病毒(Boot Sector Virus)q程式型病毒(Program Virus)q隱藏型病毒(Stealth Virus)

10、q巨集型病毒q網際網路電腦病毒電腦安全管理與稽核電腦安全管理與稽核q資產之確認與評價 q威脅來源之確認與發生機率之估計 q損失分析 q重新調整電腦安全控制 q電腦安全控制方法資產之確認與評價資產之確認與評價 q 負責電腦安全之主管人員應調查以下六種主要之資產類別： l人員 包括如分析師、程式設計師、操作員、文書人員、警衛等。l網路及硬體設備 CPU、磁碟機、印表機、終端機、通訊設備。l應用軟體 ERP系統、應付帳款、應收帳款、總帳系統、薪工系統等。資產之確認與評價（續）資產之確認與評價（續） l系統軟體 網路管理通訊軟體、編譯軟體、公用程式，DBMS、直譯軟體、作業系統。l資料 主檔、交易檔、

11、歷史檔、備份檔案。l耗材 磁碟片、磁帶、空白帳單、憑證、影印紙、報表紙等。 威脅來源之確認與發生機威脅來源之確認與發生機率之估計率之估計 q 威脅乃指因某些事件或行動而導致損失之發生，如： l天然災害 火災、水災、風災、雷擊、地震等。l不可靠的系統 不可靠的系統威脅來源例如硬體經常當機，或操作不良，常常必須由工程師隨時搶修。又如軟體必須常常重新執行，而使得人員產生挫折，這種情況易使得控制鬆懈威脅有機可乘。l人為因素 如電腦犯罪、洩密、蓄意破壞。威脅來源之確認與發生機威脅來源之確認與發生機率之估計（續）率之估計（續） l操作失誤 如對設備、資料、應用軟體、系統軟體等之操作錯誤。l資源中斷 如因停

12、電、停水、通訊中斷、電源干擾等。l電波及輻射 如電磁干擾、非離子輻射等。 圖圖17-4 預期損失之情境預期損失之情境威脅 ： 操作員惡意損壞伺服器 已有之控制 ： 1.永遠有二個操作員同時在場 2.在聘雇操作員之前皆先作過背景調查 控制之弱點 ： 沒有正式且定期地評估操作員的心理狀況 可能發生之情況 ： 當另一個操作員暫離電腦室時，精神狀況不太穩定的操作員可能會破壞伺服器。或者，這個精神不太穩定的操作員會強迫另一個操作員破壞電腦。 發生之機率 ： 一年小於萬分之一。 所導致之損失 ： $400,000重置伺服器之成本。 評估 ： 當調整控制之成本小於$40 ($400,0001/10,000)

13、，則可以接受。 電腦安全控制方法電腦安全控制方法 q小心任用人選q警覺到員工之不滿q適切分工 q限制系統使用權限q用密碼及磁卡保護資源q將資訊及程式加密q確實瞭解網路安全所需q監控系統交易防範企業經營中斷防範企業經營中斷q使用內部資源使用內部資源l多個電腦中心多個電腦中心l分散式處理分散式處理l通訊設備的備援通訊設備的備援l區域網路區域網路 q使用外部資源使用外部資源 圖圖17-5 資訊系統稽核目標資訊系統稽核目標處理程式原始資料輸出資料檔6.整體安全4.開發程式5.修改程式2.處理正確完整1.原始資料正確合法3.檔案正確、完整、安全資訊系統稽核資訊系統稽核 q 電腦稽核師應具備之知識如下：

14、l稽核標準、程序及技術l組織與管理l資訊處理作業l邏輯安全、實體安全與環境控制l電腦作業之管理控制措施l系統軟體發展、取得與維護l應用系統開發、取得與維護l應用系統稽核 資訊部門預算與持有資訊資訊部門預算與持有資訊資源之總成本資源之總成本 q資訊部門預算之目的主要為：l資源分配l成本控制l衡量資訊服務預算之品質 l衡量資訊服務績效 l協助長程策略規劃資訊部門績效衡量資訊部門績效衡量 q 資訊功能必須定期地評估其績效與價值。此種評估通常是由一個委員會來執行，同時此項評估的主要目的亦是評估資訊主管之績效。此項評估涵括下列幾項：l定期的績效報告l使用者調查報告l系統績效l預警訊息l整體效果衡量資訊科技投資的評價資訊科技投資的評價 q IT投資評估困難的原因：l通常IT的投資都連結了一串其他投資決策，其中包含了過去與未來的投資，這是IT投資不易評估的最主要原因。l由擴充原有IT 平台所伴隨而來的相關成本，以及教育訓練等其他成本不易估算。lIT基礎建設(IT infrastructure)的成本可能會跨越組織的疆界，產生計算上的困難。l在專案開始之際，有太多的不確定因素，導致難以評估。資訊科