解讀應(yīng)用指引18信息系統(tǒng)

業(yè)現(xiàn)代化管理水平，減少人為因素；同時(shí)，增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的性、完整性和可用性，為建立有效的信息與溝銀行的實(shí)時(shí)結(jié)算系統(tǒng)、攜程旅行網(wǎng)的客戶服務(wù)系統(tǒng)等，沒(méi)有信息系統(tǒng)的支（新浪、網(wǎng)易、）、各種電子商務(wù)公司（比如阿里巴巴、卓越公司），沒(méi)合內(nèi)部控制要求，管理不當(dāng)，可能導(dǎo)致無(wú)法利用實(shí)施有效控制；三是系統(tǒng)運(yùn)行和安全措施，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無(wú)法正號(hào)——信息系統(tǒng)》規(guī)定，企業(yè)對(duì)信息系統(tǒng)建設(shè)工作負(fù)責(zé)。換言之，信息系統(tǒng)建設(shè)是“”工程。只有企業(yè)站在戰(zhàn)略和全局的高度親自組織信息系統(tǒng)開(kāi)發(fā)、運(yùn)行與，優(yōu)化管理流程，防范經(jīng)營(yíng)風(fēng)險(xiǎn)，全面提升企業(yè)現(xiàn)加強(qiáng)信息系統(tǒng)開(kāi)發(fā)全過(guò)程的管理，增進(jìn)開(kāi)發(fā)單位與企業(yè)內(nèi)部業(yè)務(wù)部門的日（一）略為依據(jù)制定的企業(yè)信息化建設(shè)的全局性、長(zhǎng)期性規(guī)劃。制定信息系略規(guī)系統(tǒng)。分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性，使廣泛參與，充分溝通，提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和適應(yīng)性。第三，信息系（二）建設(shè)環(huán)節(jié)，要將企業(yè)的業(yè)務(wù)流程、內(nèi)控措施、權(quán)限配置、指標(biāo)、核算方法等到信息系統(tǒng)中，因此開(kāi)發(fā)建設(shè)的好壞直接影響信息系統(tǒng)的成敗。過(guò)自行開(kāi)發(fā)，還可以培養(yǎng)鍛煉自己的開(kāi)發(fā)隊(duì)伍，便于后期的運(yùn)行和。其缺滿足企業(yè)需求的成商品化軟件和解決方案。比如的搜索引擎系統(tǒng)就偏外購(gòu)調(diào)式的基本做法是企業(yè)成商品化軟件，通過(guò)參數(shù)配置和二次開(kāi)發(fā)滿足企業(yè)需求。其優(yōu)點(diǎn)是開(kāi)發(fā)建設(shè)周期短；成功率較高；成商品化軟的速度，企業(yè)自主權(quán)不強(qiáng)，較為。外購(gòu)調(diào)試方式的適用條件通常是企業(yè)的特殊需求較少，市場(chǎng)上已有成商品化軟件和系統(tǒng)實(shí)施方案。比如大部分企業(yè)的財(cái)務(wù)管理系統(tǒng)、ERP件通常是市場(chǎng)上沒(méi)有能夠滿足企業(yè)需求的成商品化軟件和解決方案，企業(yè)（三）統(tǒng)、MRP（銷售、采購(gòu)、庫(kù)存、生產(chǎn)）、計(jì)算機(jī)輔助設(shè)計(jì)和制造系統(tǒng)、客相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序后實(shí)施。第二，企業(yè)可以采用標(biāo)準(zhǔn)的項(xiàng)目管理軟件（比如OfficeProject）制定項(xiàng)目計(jì)劃，并加以。在關(guān)鍵環(huán)節(jié)人員和用戶單位的管理人員、業(yè)務(wù)人員在深入的基礎(chǔ)上，詳細(xì)描述業(yè)務(wù)活這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，需求本身不合理，對(duì)信息系統(tǒng)功能、性行、經(jīng)濟(jì)上成本效益倒掛，或與國(guó)家有關(guān)制度存在。第三，需求文檔表述確、不完整，未能真實(shí)全面地表達(dá)企業(yè)需求，存在表述缺失、表述不UML)，綜合運(yùn)用多種建模工具和表現(xiàn)，參照《GB8567－88計(jì)算機(jī)軟件產(chǎn)品開(kāi)計(jì)、設(shè)計(jì)、數(shù)據(jù)權(quán)限和加密設(shè)計(jì)等。第四，設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、系部門和業(yè)務(wù)部門應(yīng)當(dāng)對(duì)選定的設(shè)計(jì)方案予以確認(rèn)。第二，企業(yè)應(yīng)參照《GB8567－88計(jì)算機(jī)軟件產(chǎn)品開(kāi)件編制指南》等相關(guān)和行業(yè)標(biāo)確保操作的可審計(jì)性。對(duì)異常的或者違背內(nèi)部控制要求的和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計(jì)由系統(tǒng)自動(dòng)報(bào)告并設(shè)置處理機(jī)制。第八，預(yù)留必要的操作通道，對(duì)于必需的操作，應(yīng)當(dāng)加強(qiáng)管理，建立規(guī)范的操作流程，確保足夠的日志記錄，保證對(duì)操作的可性。完成之后，要進(jìn)試，測(cè)試主要有以下目的：一是發(fā)現(xiàn)軟件開(kāi)發(fā)過(guò)程中的錯(cuò)程風(fēng)格差異大，程序可讀性差，導(dǎo)致后期，成本高。第三，缺乏一風(fēng)格。第三，應(yīng)使用版本控制軟件系統(tǒng)（CVS），保證所有開(kāi)發(fā)人員基統(tǒng)上線無(wú)序。第二，人員培訓(xùn)不足，不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)處理錯(cuò)涉及數(shù)據(jù)遷移的，企業(yè)應(yīng)當(dāng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并對(duì)遷移結(jié)果進(jìn)試。用戶部門應(yīng)當(dāng)參與數(shù)據(jù)遷移過(guò)程，對(duì)遷移前后的數(shù)據(jù)予以確認(rèn)。（四）界基準(zhǔn)來(lái)判斷外包服務(wù)商的綜合實(shí)力。第三，企業(yè)要嚴(yán)格外包服務(wù)及管控實(shí)行集體決策。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：由于合同條款確、不完善，可能導(dǎo)致企業(yè)的律部門或法律顧問(wèn)把關(guān)。第二，開(kāi)發(fā)過(guò)程中涉及商業(yè)、敏感數(shù)據(jù)的，企業(yè)應(yīng)當(dāng)與外包服務(wù)商簽訂詳細(xì)的“協(xié)定”，以保證數(shù)據(jù)安全。第三，在持續(xù)評(píng)價(jià)外包服務(wù)商的服務(wù)過(guò)這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：企業(yè)缺乏外包服務(wù)評(píng)價(jià)機(jī)制或評(píng)價(jià)不到考評(píng),并公布服務(wù)周期的評(píng)估結(jié)果,實(shí)現(xiàn)外包服務(wù)水平的評(píng)價(jià)。第二，必要在外購(gòu)調(diào)試方式下，一方面，企業(yè)與委托開(kāi)發(fā)方式類似的問(wèn)題，企業(yè)要選擇軟件產(chǎn)品的供應(yīng)商和服務(wù)供應(yīng)商、簽訂合約 服務(wù)質(zhì)量，因此，性等方面企業(yè)需求。第二，軟件供應(yīng)商選擇不當(dāng)，產(chǎn)品的支持服務(wù)能要評(píng)價(jià)其現(xiàn)有產(chǎn)品的功能、性能，還要其服務(wù)支持能力和后續(xù)產(chǎn)品的升級(jí)三、信息系統(tǒng)的運(yùn)行與信息系統(tǒng)的運(yùn)行與主要包含面的內(nèi)容：日常運(yùn)行、系統(tǒng)變更（一）日常運(yùn)行的關(guān)鍵控制點(diǎn)和主要控制措日常運(yùn)行的目標(biāo)是保證系統(tǒng)正常運(yùn)轉(zhuǎn)，主要工作內(nèi)容包括系統(tǒng)的日常操作、系統(tǒng)的日常巡檢和維修、系統(tǒng)運(yùn)行狀態(tài)、異常的報(bào)告和處理以及各模塊子系統(tǒng)的具體操作規(guī)范，及時(shí)、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的的日常，在硬件方面，日常主要包括各種設(shè)備的保養(yǎng)與安全管理、故備專業(yè)人員負(fù)責(zé)處理信息系統(tǒng)運(yùn)行中的突發(fā)，必要時(shí)應(yīng)會(huì)同系統(tǒng)開(kāi)發(fā)人員（二）這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，企業(yè)沒(méi)有建立嚴(yán)格的變更申請(qǐng)、、執(zhí)行、證變更過(guò)程得到適當(dāng)?shù)呐c管理層的批準(zhǔn)，并對(duì)變更進(jìn)試。信息系統(tǒng)變（三）所有硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和的原因而遭到破壞、更改和短。第二，業(yè)務(wù)部門意識(shí)薄弱，對(duì)系統(tǒng)和缺乏有效的手段。少數(shù)員工可能或非系統(tǒng)資源，造成系統(tǒng)運(yùn)行效率降低。第三，對(duì)系統(tǒng)程序的缺陷或安全防護(hù)不夠，導(dǎo)致，造成信息泄露。第四，對(duì)各種計(jì)算機(jī)防范清理不力，導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定甚至癱瘓。第五，缺乏對(duì)信息系統(tǒng)操作人員的嚴(yán)密，可能導(dǎo)致舞弊和利用計(jì)算機(jī)犯設(shè)備（例如銀行的數(shù)據(jù)庫(kù)服務(wù)器），，不得接觸。責(zé)，對(duì)企業(yè)的作出總體規(guī)劃和全方位嚴(yán)格管理，具體實(shí)施工作可由企業(yè)的信息主管部門負(fù)責(zé)。企業(yè)應(yīng)強(qiáng)化全體員工的安全意識(shí)，特別要對(duì)重要崗位員工進(jìn)行信息系統(tǒng)安全培訓(xùn)，并簽署安全協(xié)議。企業(yè)應(yīng)當(dāng)建立信 制度和泄密責(zé)任制度。第三，企業(yè)應(yīng)當(dāng)按照國(guó)家相關(guān)以及技術(shù)標(biāo)準(zhǔn)，制定信息全等級(jí)，建立不同等級(jí)信息的使用制度，采用相應(yīng)技術(shù)保證信息系統(tǒng)運(yùn)行安全有序。對(duì)于信息系統(tǒng)的使用者和不同安全等級(jí)信息之間的關(guān)系，制，設(shè)置安全參數(shù)，保證系統(tǒng)安全；對(duì)于重要的計(jì)算機(jī)設(shè)備，企業(yè)應(yīng)當(dāng)利用技術(shù)防止員工擅自安裝、卸載軟件或者改變軟件系統(tǒng)配置，并定期對(duì)上第五，企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行與管理的，應(yīng)當(dāng)嚴(yán)格其資質(zhì)條件、市場(chǎng)聲譽(yù)和信用狀況等，并與其簽訂正式的服務(wù)合同和協(xié)議。第六，企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到等軟件的和破壞。企業(yè)應(yīng)當(dāng)特別注重加強(qiáng)對(duì)服務(wù)器等關(guān)鍵部位的防護(hù)；對(duì)于存在網(wǎng)絡(luò)應(yīng)用的企業(yè)，應(yīng)當(dāng)綜合利用、路由器等網(wǎng)絡(luò)設(shè)備，采用內(nèi)容過(guò)濾、掃描、檢測(cè)等軟件技術(shù)加強(qiáng)，嚴(yán)密防范來(lái)自互聯(lián)網(wǎng)的黑客和侵入。對(duì)于通過(guò)互聯(lián)網(wǎng)傳輸?shù)纳婷芑蛘哧P(guān)鍵業(yè)務(wù)數(shù)據(jù)，企業(yè)應(yīng)當(dāng)采取必要的技術(shù)確保信息傳遞的性、準(zhǔn)確性、完整性。份，然后根據(jù)業(yè)務(wù)頻率和數(shù)據(jù)重要性程度，定期做好增量備份。數(shù)據(jù)與備份應(yīng)分別存放于不同地點(diǎn)，防止因火災(zāi)、水災(zāi)、等事故產(chǎn)生不利影響。企業(yè)可綜合采用磁盤、磁帶、光盤等備份介質(zhì)。第八，企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開(kāi)發(fā)、運(yùn)行與等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制度，防范利用計(jì)算機(jī)舞弊和。一般而言，信息系統(tǒng)不相容職務(wù)涉及的人員可以分為三類：系統(tǒng)開(kāi)發(fā)建設(shè)人員、系統(tǒng)管理和人員、掌握其中的涉密數(shù)據(jù)，進(jìn)行利用；系統(tǒng)管理和人員擔(dān)任保管、授數(shù)據(jù)，從而達(dá)到財(cái)產(chǎn)或計(jì)算機(jī)信息的目的。此外，信息系統(tǒng)使用人員權(quán)限管理，避免將不相容職責(zé)授予同一用戶。企業(yè)應(yīng)當(dāng)采用控制等技術(shù)進(jìn)行用戶識(shí)別。對(duì)于重要的業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)采用數(shù)字、生物識(shí)別等可靠性強(qiáng)的技