資訊部門之管理與經(jīng)營課件

資訊部門之管理與經(jīng)營本章大綱第一節(jié)資訊部門營運(yùn)管理第二節(jié)電腦安全管理與稽核第三節(jié)資訊部門管理控制第四節(jié)資訊科技投資的評價第五節(jié)資訊部門之經(jīng)營資訊部門之管理與經(jīng)營本章大綱1資訊部門之營運(yùn)管理資訊部門營運(yùn)管理策略考量資訊科技架構(gòu)系統(tǒng)設(shè)計(jì)與操作考慮外部服務(wù)來源之壓力與挑戰(zhàn)資訊服務(wù)供應(yīng)來源之決策權(quán)資訊科技之規(guī)劃電腦中心之作業(yè)電腦操作的管理電腦操作的管理應(yīng)注意以下二點(diǎn)：明文規(guī)定電腦操作員應(yīng)執(zhí)行的功能訓(xùn)練操作員如何使用及維護(hù)硬體軟體資訊部門之營運(yùn)管理資訊部門營運(yùn)管理策略考量2資訊部門之營運(yùn)管理(續(xù)）

電腦中心之作業(yè)網(wǎng)路通訊管理網(wǎng)路系統(tǒng)管理功能範(fàn)疇?wèi)?yīng)涵蓋五部分：組態(tài)管理(Configurationmanagement)障礙管理(Faultmanagement)效能管理(Performancemanagement)安全管理(Securitymanagement)帳務(wù)管理(Accountingmanagement)生產(chǎn)工作流程管理與資料準(zhǔn)備媒體管理監(jiān)控電腦執(zhí)行績效資訊部門之營運(yùn)管理(續(xù)）電腦中心之作業(yè)3圖17-1管制組工作使用者組織準(zhǔn)備資料電腦中心電腦房管制組外部資料服務(wù)中心圖17-1管制組工作使用者組織準(zhǔn)備資料電腦中心電腦房管制組4資訊部門之營運(yùn)管理(續(xù)1)

系統(tǒng)容量之衡量與管理資訊人員之管理資訊專業(yè)晉升路線利基專業(yè)能力考量資訊人員的人性因素

資訊部門之營運(yùn)管理(續(xù)1)系統(tǒng)容量之衡量與管理5圖17-2資訊技能需求調(diào)查排名2002年對該技能需求的公司排名2002年對該技能需求的公司W(wǎng)eb技能網(wǎng)路1.Java39%1.TCP/IP35%2.XML37%2.SNA6%3.HTML37%3.IPX6%4.ActiveServerPages37%

5.VisualBasic33%

語言資料庫管理系統(tǒng)1.Java36%1.Oracle34%2.C++26%2.MicrosoftSQLServer25%3.C20%3.MicrosoftAccess12%4.Cobol10%4.DB210%

5.SybaseAdaptiveServer6%開發(fā)工具作業(yè)系統(tǒng)1.VisualBasic26%1.WindowsNT37%2.OracleDeveloper200020%2.Solaris18%3.VisualC++17%3.Linux11%4.PowerBuilder10%4.HP-UX11%

5.OtherUnix9%圖17-2資訊技能需求調(diào)查排名2002年對該技能需求的公司6圖17-2資訊技能需求調(diào)查(續(xù))排名2002年對該技能需求的公司排名2002年對該技能需求的公司網(wǎng)路連結(jié)企業(yè)應(yīng)用系統(tǒng)1.Routing12%1.Oracle19%2.GigabitEthernet10%2.SAP8%3.Ethernetswitching8%3.Peoplesoft7%4.10Base-TSwitching6%4.Siebel5%

5.J.D.Edwards3%區(qū)域網(wǎng)路管理系統(tǒng)軟體及支援1.MicrosoftNTServer22%1.Internetapplicationdevelopment30%2.Ethernet10%3.HTTP10%2.ECapplicationdevelopment28%4.NovellNetWare6%

3.Webserveradministration23%辦公室自動化/群組軟體1.MicrosoftExchange21%4.Projectmanagement20%2.LotusNotes7%5.Datawarehousing/mining18%3.CC:Mail2%4.NovellGroupWise2%

圖17-2資訊技能需求調(diào)查(續(xù))排名2002年對該技能需求7電腦安全管理網(wǎng)路分散環(huán)境之威脅與挑戰(zhàn)現(xiàn)存電腦安全管理問題電腦病毒的種類與防範(fàn)電腦安全管理與稽核防範(fàn)企業(yè)經(jīng)營中斷電腦安全管理網(wǎng)路分散環(huán)境之威脅與挑戰(zhàn)8網(wǎng)路分散環(huán)境之

威脅與挑戰(zhàn)現(xiàn)今整個電腦環(huán)境因?yàn)榫W(wǎng)際網(wǎng)路的蓬勃發(fā)展，對安全產(chǎn)生無比的挑戰(zhàn)，因?yàn)椋河懈嗥平夤δ軓?qiáng)大的網(wǎng)路入侵工具電腦病毒橫行大量連接點(diǎn)需要監(jiān)測跨平臺管理系統(tǒng)及網(wǎng)路的複雜度管理人員對於安全概念參差不齊市面上企業(yè)安全管理方案太多網(wǎng)路分散環(huán)境之

威脅與挑戰(zhàn)現(xiàn)今整個電腦環(huán)境因?yàn)榫W(wǎng)際網(wǎng)路的蓬勃9圖17-3電腦安全管理範(fàn)圍網(wǎng)路通訊安全系統(tǒng)軟體安全人事安全實(shí)體安全電腦作業(yè)安全應(yīng)用軟體與資料安全圖17-3電腦安全管理範(fàn)圍網(wǎng)路通訊安全系統(tǒng)軟體安全人事安全10現(xiàn)存電腦安全管理問題電腦安全政策的執(zhí)行與管理由個人或由一個部門單獨(dú)承擔(dān)。一般資訊單位人員與管理當(dāng)局常從技術(shù)面來看電腦安全問題，並以為加強(qiáng)軟硬體設(shè)備即可解決安全弱點(diǎn)與缺失。殊不知電腦安全是有關(guān)人的問題，並且需要全員參與，而非僅是資訊部門人員之參與。主管電腦安全的人員不易說服高階主管瞭解電腦安全對日常營運(yùn)的重大影響，以爭取電腦安全管理所需之資源?，F(xiàn)存電腦安全管理問題電腦安全政策的執(zhí)行與管理由個人或由一個部11現(xiàn)存電腦安全管理問題(續(xù))

電腦安全問題常被列為次要的考慮。高階主管未激勵其員工遵守並執(zhí)行電腦安全措施與規(guī)定。員工不瞭解組織有關(guān)電腦安全之政策、程序、準(zhǔn)則與懲戒措施。員工並沒有定期接受有關(guān)電腦安全之訓(xùn)練與課程。高階主管不瞭解員工有了良好安全觀念與態(tài)度對公司所可能產(chǎn)生之價值?，F(xiàn)存電腦安全管理問題(續(xù))電腦安全問題常被列為次要的考慮。12現(xiàn)存電腦安全管理問題（續(xù)1）管理系統(tǒng)與資料之權(quán)利與義務(wù)沒有清楚之界定。諸如到底是哪個部門或哪個人擁有資料檔案所有權(quán)、誰有權(quán)使用、誰應(yīng)負(fù)擔(dān)電腦處理費(fèi)用、由誰操作、誰負(fù)責(zé)安全措施、由誰負(fù)責(zé)控制事宜，以及由誰負(fù)責(zé)維修等。未適當(dāng)?shù)卦谄腹蛦T工前徵信員工過去記錄。員工離職程序之管理不完備，一般組織在員工離職前不僅應(yīng)要求繳回名牌與鑰匙，並撤銷通行證與密碼，且應(yīng)詢問員工對於重要事項(xiàng)之看法，例如系統(tǒng)安全上之弱點(diǎn)，可能被誤用或?yàn)E用之情況，或任何應(yīng)改進(jìn)之建議等?，F(xiàn)存電腦安全管理問題（續(xù)1）管理系統(tǒng)與資料之權(quán)利與義務(wù)沒有13現(xiàn)存電腦安全管理問題（續(xù)2）有關(guān)電腦犯罪、舞弊或偷竊等事件通常沒有向有關(guān)主管單位報告。在應(yīng)用系統(tǒng)發(fā)展與維護(hù)階段，系統(tǒng)之可控制性、適用性、可稽核性、可維修性等問題，常沒有考慮週詳。因此，發(fā)展出來的系統(tǒng)難以使用、維修、稽核、測試、轉(zhuǎn)換及不具彈性等。使用部門與高階主管人員對於資訊人員在發(fā)展應(yīng)用系統(tǒng)方面，常有不切實(shí)際之期待，因此常以外行領(lǐng)導(dǎo)內(nèi)行的方式，造成資訊部門相當(dāng)大的壓力，由於沒有充分的配合與支援，使得發(fā)展出的應(yīng)用系統(tǒng)為急就章之產(chǎn)品，而沒有適當(dāng)之文書手冊、安全控制等。現(xiàn)存電腦安全管理問題（續(xù)2）有關(guān)電腦犯罪、舞弊或偷竊等事件14電腦病毒的種類與防範(fàn)開機(jī)型病毒(BootSectorVirus)程式型病毒(ProgramVirus)隱藏型病毒(StealthVirus)巨集型病毒網(wǎng)際網(wǎng)路電腦病毒電腦病毒的種類與防範(fàn)開機(jī)型病毒(BootSectorVi15電腦安全管理與稽核資產(chǎn)之確認(rèn)與評價威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)損失分析重新調(diào)整電腦安全控制電腦安全控制方法電腦安全管理與稽核資產(chǎn)之確認(rèn)與評價16資產(chǎn)之確認(rèn)與評價負(fù)責(zé)電腦安全之主管人員應(yīng)調(diào)查以下六種主要之資產(chǎn)類別：人員包括如分析師、程式設(shè)計(jì)師、操作員、文書人員、警衛(wèi)等。網(wǎng)路及硬體設(shè)備CPU、磁碟機(jī)、印表機(jī)、終端機(jī)、通訊設(shè)備。應(yīng)用軟體ERP系統(tǒng)、應(yīng)付帳款、應(yīng)收帳款、總帳系統(tǒng)、薪工系統(tǒng)等。資產(chǎn)之確認(rèn)與評價負(fù)責(zé)電腦安全之主管人員應(yīng)調(diào)查以下六種主要之17資產(chǎn)之確認(rèn)與評價（續(xù)）

系統(tǒng)軟體網(wǎng)路管理通訊軟體、編譯軟體、公用程式，DBMS、直譯軟體、作業(yè)系統(tǒng)。資料主檔、交易檔、歷史檔、備份檔案。耗材磁碟片、磁帶、空白帳單、憑證、影印紙、報表紙等。資產(chǎn)之確認(rèn)與評價（續(xù)）系統(tǒng)軟體18威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)威脅乃指因某些事件或行動而導(dǎo)致?lián)p失之發(fā)生，如：天然災(zāi)害火災(zāi)、水災(zāi)、風(fēng)災(zāi)、雷擊、地震等。不可靠的系統(tǒng)不可靠的系統(tǒng)威脅來源例如硬體經(jīng)常當(dāng)機(jī)，或操作不良，常常必須由工程師隨時搶修。又如軟體必須常常重新執(zhí)行，而使得人員產(chǎn)生挫折，這種情況易使得控制鬆懈威脅有機(jī)可乘。人為因素如電腦犯罪、洩密、蓄意破壞。威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)威脅乃指因某些事件或行動而導(dǎo)19威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)（續(xù)）操作失誤如對設(shè)備、資料、應(yīng)用軟體、系統(tǒng)軟體等之操作錯誤。資源中斷如因停電、停水、通訊中斷、電源干擾等。電波及輻射如電磁干擾、非離子輻射等。威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)（續(xù)）操作失誤20圖17-4預(yù)期損失之情境圖17-4預(yù)期損失之情境21電腦安全控制方法小心任用人選警覺到員工之不滿適切分工限制系統(tǒng)使用權(quán)限用密碼及磁卡保護(hù)資源將資訊及程式加密確實(shí)瞭解網(wǎng)路安全所需監(jiān)控系統(tǒng)交易電腦安全控制方法小心任用人選22防範(fàn)企業(yè)經(jīng)營中斷使用內(nèi)部資源多個電腦中心分散式處理通訊設(shè)備的備援區(qū)域網(wǎng)路使用外部資源

防範(fàn)企業(yè)經(jīng)營中斷使用內(nèi)部資源23圖17-5資訊系統(tǒng)稽核目標(biāo)處理程式原始資料輸出資料檔6.整體安全4.開發(fā)程式5.修改程式2.處理正確完整1.原始資料正確合法3.檔案正確、完整、安全圖17-5資訊系統(tǒng)稽核目標(biāo)處理程式原始輸出資料檔6.整體安24資訊系統(tǒng)稽核電腦稽核師應(yīng)具備之知識如下：稽核標(biāo)準(zhǔn)、程序及技術(shù)組織與管理資訊處理作業(yè)邏輯安全、實(shí)體安全與環(huán)境控制電腦作業(yè)之管理控制措施系統(tǒng)軟體發(fā)展、取得與維護(hù)應(yīng)用系統(tǒng)開發(fā)、取得與維護(hù)應(yīng)用系統(tǒng)稽核資訊系統(tǒng)稽核電腦稽核師應(yīng)具備之知識如下：25資訊部門預(yù)算與持有資訊資源之總成本資訊部門預(yù)算之目的主要為：資源分配成本控制衡量資訊服務(wù)預(yù)算之品質(zhì)衡量資訊服務(wù)績效協(xié)助長程策略規(guī)劃資訊部門預(yù)算與持有資訊資源之總成本資訊部門預(yù)算之目的主要為26資訊部門績效衡量資訊功能必須定期地評估其績效與價值。此種評估通常是由一個委員會來執(zhí)行，同時此項(xiàng)評估的主要目的亦是評估資訊主管之績效。此項(xiàng)評估涵括下列幾項(xiàng)：定期的績效報告使用者調(diào)查報告系統(tǒng)績效預(yù)警訊息整體效果衡量資訊部門績效衡量資訊功能必須定期地評估其績效與價值。此種評27資訊科技投資的評價IT投資評估困難的原因：通常IT的投資都連結(jié)了一串其他投資決策，其中包含了過去與未來的投資，這是IT投資不易評估的最主要原因。由擴(kuò)充原有IT平臺所伴隨而來的相關(guān)成本，以及教育訓(xùn)練等其他成本不易估算。IT基礎(chǔ)建設(shè)(ITinfrastructure)的成本可能會跨越組織的疆界，產(chǎn)生計(jì)算上的困難。在專案開始之際，有太多的不確定因素，導(dǎo)致難以評估。資訊科技投資的評價IT投資評估困難的原因：28資訊科技投資的評價（續(xù)）在評估一個IT平臺是否值得投資時，可從IT平臺的投資是否有益於公司，及時間有多長來評估。而其中的「效益」可由以下幾個方向來考慮：是否有直接的效益？是否可對公司的未來產(chǎn)生效益？是否有使公司產(chǎn)生競爭優(yōu)勢的效益？是否為策略必要(strategicnecessity)上需求的效益？資訊科技投資的評價（續(xù)）在評估一個IT平臺是否值得投資時，29資訊部門之經(jīng)營資訊服務(wù)的產(chǎn)品面資訊服務(wù)的消費(fèi)者資訊服務(wù)的配銷通路資訊服務(wù)的促銷資訊服務(wù)的訂價

資訊部門之經(jīng)營資訊服務(wù)的產(chǎn)品面30資訊部門之經(jīng)營（續(xù)）

資訊服務(wù)的配銷通路評估考量之風(fēng)險供應(yīng)商是否能不斷更新資訊產(chǎn)品？供應(yīng)商財(cái)務(wù)健全與永續(xù)經(jīng)營能力為何？消費(fèi)者可能沒有能力控管資訊權(quán)限以致於資訊資源被濫用。低估委外的成本，忽略長期的成本因素。資訊部門之經(jīng)營（續(xù)）資訊服務(wù)的配銷通路評估考量之風(fēng)險31資訊部門之管理與經(jīng)營本章大綱第一節(jié)資訊部門營運(yùn)管理第二節(jié)電腦安全管理與稽核第三節(jié)資訊部門管理控制第四節(jié)資訊科技投資的評價第五節(jié)資訊部門之經(jīng)營資訊部門之管理與經(jīng)營本章大綱32資訊部門之營運(yùn)管理資訊部門營運(yùn)管理策略考量資訊科技架構(gòu)系統(tǒng)設(shè)計(jì)與操作考慮外部服務(wù)來源之壓力與挑戰(zhàn)資訊服務(wù)供應(yīng)來源之決策權(quán)資訊科技之規(guī)劃電腦中心之作業(yè)電腦操作的管理電腦操作的管理應(yīng)注意以下二點(diǎn)：明文規(guī)定電腦操作員應(yīng)執(zhí)行的功能訓(xùn)練操作員如何使用及維護(hù)硬體軟體資訊部門之營運(yùn)管理資訊部門營運(yùn)管理策略考量33資訊部門之營運(yùn)管理(續(xù)）

電腦中心之作業(yè)網(wǎng)路通訊管理網(wǎng)路系統(tǒng)管理功能範(fàn)疇?wèi)?yīng)涵蓋五部分：組態(tài)管理(Configurationmanagement)障礙管理(Faultmanagement)效能管理(Performancemanagement)安全管理(Securitymanagement)帳務(wù)管理(Accountingmanagement)生產(chǎn)工作流程管理與資料準(zhǔn)備媒體管理監(jiān)控電腦執(zhí)行績效資訊部門之營運(yùn)管理(續(xù)）電腦中心之作業(yè)34圖17-1管制組工作使用者組織準(zhǔn)備資料電腦中心電腦房管制組外部資料服務(wù)中心圖17-1管制組工作使用者組織準(zhǔn)備資料電腦中心電腦房管制組35資訊部門之營運(yùn)管理(續(xù)1)

系統(tǒng)容量之衡量與管理資訊人員之管理資訊專業(yè)晉升路線利基專業(yè)能力考量資訊人員的人性因素

資訊部門之營運(yùn)管理(續(xù)1)系統(tǒng)容量之衡量與管理36圖17-2資訊技能需求調(diào)查排名2002年對該技能需求的公司排名2002年對該技能需求的公司W(wǎng)eb技能網(wǎng)路1.Java39%1.TCP/IP35%2.XML37%2.SNA6%3.HTML37%3.IPX6%4.ActiveServerPages37%

5.VisualBasic33%

語言資料庫管理系統(tǒng)1.Java36%1.Oracle34%2.C++26%2.MicrosoftSQLServer25%3.C20%3.MicrosoftAccess12%4.Cobol10%4.DB210%

5.SybaseAdaptiveServer6%開發(fā)工具作業(yè)系統(tǒng)1.VisualBasic26%1.WindowsNT37%2.OracleDeveloper200020%2.Solaris18%3.VisualC++17%3.Linux11%4.PowerBuilder10%4.HP-UX11%

5.OtherUnix9%圖17-2資訊技能需求調(diào)查排名2002年對該技能需求的公司37圖17-2資訊技能需求調(diào)查(續(xù))排名2002年對該技能需求的公司排名2002年對該技能需求的公司網(wǎng)路連結(jié)企業(yè)應(yīng)用系統(tǒng)1.Routing12%1.Oracle19%2.GigabitEthernet10%2.SAP8%3.Ethernetswitching8%3.Peoplesoft7%4.10Base-TSwitching6%4.Siebel5%

5.J.D.Edwards3%區(qū)域網(wǎng)路管理系統(tǒng)軟體及支援1.MicrosoftNTServer22%1.Internetapplicationdevelopment30%2.Ethernet10%3.HTTP10%2.ECapplicationdevelopment28%4.NovellNetWare6%

3.Webserveradministration23%辦公室自動化/群組軟體1.MicrosoftExchange21%4.Projectmanagement20%2.LotusNotes7%5.Datawarehousing/mining18%3.CC:Mail2%4.NovellGroupWise2%

圖17-2資訊技能需求調(diào)查(續(xù))排名2002年對該技能需求38電腦安全管理網(wǎng)路分散環(huán)境之威脅與挑戰(zhàn)現(xiàn)存電腦安全管理問題電腦病毒的種類與防範(fàn)電腦安全管理與稽核防範(fàn)企業(yè)經(jīng)營中斷電腦安全管理網(wǎng)路分散環(huán)境之威脅與挑戰(zhàn)39網(wǎng)路分散環(huán)境之

威脅與挑戰(zhàn)現(xiàn)今整個電腦環(huán)境因?yàn)榫W(wǎng)際網(wǎng)路的蓬勃發(fā)展，對安全產(chǎn)生無比的挑戰(zhàn)，因?yàn)椋河懈嗥平夤δ軓?qiáng)大的網(wǎng)路入侵工具電腦病毒橫行大量連接點(diǎn)需要監(jiān)測跨平臺管理系統(tǒng)及網(wǎng)路的複雜度管理人員對於安全概念參差不齊市面上企業(yè)安全管理方案太多網(wǎng)路分散環(huán)境之

威脅與挑戰(zhàn)現(xiàn)今整個電腦環(huán)境因?yàn)榫W(wǎng)際網(wǎng)路的蓬勃40圖17-3電腦安全管理範(fàn)圍網(wǎng)路通訊安全系統(tǒng)軟體安全人事安全實(shí)體安全電腦作業(yè)安全應(yīng)用軟體與資料安全圖17-3電腦安全管理範(fàn)圍網(wǎng)路通訊安全系統(tǒng)軟體安全人事安全41現(xiàn)存電腦安全管理問題電腦安全政策的執(zhí)行與管理由個人或由一個部門單獨(dú)承擔(dān)。一般資訊單位人員與管理當(dāng)局常從技術(shù)面來看電腦安全問題，並以為加強(qiáng)軟硬體設(shè)備即可解決安全弱點(diǎn)與缺失。殊不知電腦安全是有關(guān)人的問題，並且需要全員參與，而非僅是資訊部門人員之參與。主管電腦安全的人員不易說服高階主管瞭解電腦安全對日常營運(yùn)的重大影響，以爭取電腦安全管理所需之資源?，F(xiàn)存電腦安全管理問題電腦安全政策的執(zhí)行與管理由個人或由一個部42現(xiàn)存電腦安全管理問題(續(xù))

電腦安全問題常被列為次要的考慮。高階主管未激勵其員工遵守並執(zhí)行電腦安全措施與規(guī)定。員工不瞭解組織有關(guān)電腦安全之政策、程序、準(zhǔn)則與懲戒措施。員工並沒有定期接受有關(guān)電腦安全之訓(xùn)練與課程。高階主管不瞭解員工有了良好安全觀念與態(tài)度對公司所可能產(chǎn)生之價值。現(xiàn)存電腦安全管理問題(續(xù))電腦安全問題常被列為次要的考慮。43現(xiàn)存電腦安全管理問題（續(xù)1）管理系統(tǒng)與資料之權(quán)利與義務(wù)沒有清楚之界定。諸如到底是哪個部門或哪個人擁有資料檔案所有權(quán)、誰有權(quán)使用、誰應(yīng)負(fù)擔(dān)電腦處理費(fèi)用、由誰操作、誰負(fù)責(zé)安全措施、由誰負(fù)責(zé)控制事宜，以及由誰負(fù)責(zé)維修等。未適當(dāng)?shù)卦谄腹蛦T工前徵信員工過去記錄。員工離職程序之管理不完備，一般組織在員工離職前不僅應(yīng)要求繳回名牌與鑰匙，並撤銷通行證與密碼，且應(yīng)詢問員工對於重要事項(xiàng)之看法，例如系統(tǒng)安全上之弱點(diǎn)，可能被誤用或?yàn)E用之情況，或任何應(yīng)改進(jìn)之建議等。現(xiàn)存電腦安全管理問題（續(xù)1）管理系統(tǒng)與資料之權(quán)利與義務(wù)沒有44現(xiàn)存電腦安全管理問題（續(xù)2）有關(guān)電腦犯罪、舞弊或偷竊等事件通常沒有向有關(guān)主管單位報告。在應(yīng)用系統(tǒng)發(fā)展與維護(hù)階段，系統(tǒng)之可控制性、適用性、可稽核性、可維修性等問題，常沒有考慮週詳。因此，發(fā)展出來的系統(tǒng)難以使用、維修、稽核、測試、轉(zhuǎn)換及不具彈性等。使用部門與高階主管人員對於資訊人員在發(fā)展應(yīng)用系統(tǒng)方面，常有不切實(shí)際之期待，因此常以外行領(lǐng)導(dǎo)內(nèi)行的方式，造成資訊部門相當(dāng)大的壓力，由於沒有充分的配合與支援，使得發(fā)展出的應(yīng)用系統(tǒng)為急就章之產(chǎn)品，而沒有適當(dāng)之文書手冊、安全控制等?，F(xiàn)存電腦安全管理問題（續(xù)2）有關(guān)電腦犯罪、舞弊或偷竊等事件45電腦病毒的種類與防範(fàn)開機(jī)型病毒(BootSectorVirus)程式型病毒(ProgramVirus)隱藏型病毒(StealthVirus)巨集型病毒網(wǎng)際網(wǎng)路電腦病毒電腦病毒的種類與防範(fàn)開機(jī)型病毒(BootSectorVi46電腦安全管理與稽核資產(chǎn)之確認(rèn)與評價威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)損失分析重新調(diào)整電腦安全控制電腦安全控制方法電腦安全管理與稽核資產(chǎn)之確認(rèn)與評價47資產(chǎn)之確認(rèn)與評價負(fù)責(zé)電腦安全之主管人員應(yīng)調(diào)查以下六種主要之資產(chǎn)類別：人員包括如分析師、程式設(shè)計(jì)師、操作員、文書人員、警衛(wèi)等。網(wǎng)路及硬體設(shè)備CPU、磁碟機(jī)、印表機(jī)、終端機(jī)、通訊設(shè)備。應(yīng)用軟體ERP系統(tǒng)、應(yīng)付帳款、應(yīng)收帳款、總帳系統(tǒng)、薪工系統(tǒng)等。資產(chǎn)之確認(rèn)與評價負(fù)責(zé)電腦安全之主管人員應(yīng)調(diào)查以下六種主要之48資產(chǎn)之確認(rèn)與評價（續(xù)）

系統(tǒng)軟體網(wǎng)路管理通訊軟體、編譯軟體、公用程式，DBMS、直譯軟體、作業(yè)系統(tǒng)。資料主檔、交易檔、歷史檔、備份檔案。耗材磁碟片、磁帶、空白帳單、憑證、影印紙、報表紙等。資產(chǎn)之確認(rèn)與評價（續(xù)）系統(tǒng)軟體49威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)威脅乃指因某些事件或行動而導(dǎo)致?lián)p失之發(fā)生，如：天然災(zāi)害火災(zāi)、水災(zāi)、風(fēng)災(zāi)、雷擊、地震等。不可靠的系統(tǒng)不可靠的系統(tǒng)威脅來源例如硬體經(jīng)常當(dāng)機(jī)，或操作不良，常常必須由工程師隨時搶修。又如軟體必須常常重新執(zhí)行，而使得人員產(chǎn)生挫折，這種情況易使得控制鬆懈威脅有機(jī)可乘。人為因素如電腦犯罪、洩密、蓄意破壞。威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)威脅乃指因某些事件或行動而導(dǎo)50威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)（續(xù)）操作失誤如對設(shè)備、資料、應(yīng)用軟體、系統(tǒng)軟體等之操作錯誤。資源中斷如因停電、停水、通訊中斷、電源干擾等。電波及輻射如電磁干擾、非離子輻射等。威脅來源之確認(rèn)與發(fā)生機(jī)率之估計(jì)（續(xù)）操作失誤51圖17-4預(yù)期損失之情境圖17-4預(yù)期損失之情境52電腦安全控制方法小心任用人選警覺到員工之不滿適切分工限制系統(tǒng)使用權(quán)限用密碼及磁卡保護(hù)資源將資訊及程式加密確實(shí)瞭解網(wǎng)路安全所需監(jiān)控系統(tǒng)交易電腦安全控制方法小心任用人選53防範(fàn)企業(yè)經(jīng)營中斷使用內(nèi)部資源多個電腦中心分散式處理通訊設(shè)備的備援區(qū)域網(wǎng)路使用外部資源

防範(fàn)企業(yè)經(jīng)營中斷使用內(nèi)部資源54圖17-5資訊系統(tǒng)稽核目標(biāo)處理程式原始資料輸出資料檔6.整體安全4.開發(fā)程式5.修改程式2.處理正確完整1.原始資料正確合法3.檔案正確、完整、安全圖17-5