解讀應(yīng)用指引18信息系統(tǒng)

業(yè)現(xiàn)代化管理水平，減少人為因素；同時，增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的性、完整性和可用性，為建立有效的信息與溝銀行的實時結(jié)算系統(tǒng)、攜程旅行網(wǎng)的客戶服務(wù)系統(tǒng)等，沒有信息系統(tǒng)的支（新浪、網(wǎng)易、）、各種電子商務(wù)公司（比如阿里巴巴、卓越公司），沒合內(nèi)部控制要求，管理不當(dāng)，可能導(dǎo)致無法利用實施有效控制；三是系統(tǒng)運行和安全措施，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正號——信息系統(tǒng)》規(guī)定，企業(yè)對信息系統(tǒng)建設(shè)工作負(fù)責(zé)。換言之，信息系統(tǒng)建設(shè)是“”工程。只有企業(yè)站在戰(zhàn)略和全局的高度親自組織信息系統(tǒng)開發(fā)、運行與，優(yōu)化管理流程，防范經(jīng)營風(fēng)險，全面提升企業(yè)現(xiàn)加強(qiáng)信息系統(tǒng)開發(fā)全過程的管理，增進(jìn)開發(fā)單位與企業(yè)內(nèi)部業(yè)務(wù)部門的日（一）略為依據(jù)制定的企業(yè)信息化建設(shè)的全局性、長期性規(guī)劃。制定信息系略規(guī)系統(tǒng)。分調(diào)動和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性，使廣泛參與，充分溝通，提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和適應(yīng)性。第三，信息系（二）建設(shè)環(huán)節(jié)，要將企業(yè)的業(yè)務(wù)流程、內(nèi)控措施、權(quán)限配置、指標(biāo)、核算方法等到信息系統(tǒng)中，因此開發(fā)建設(shè)的好壞直接影響信息系統(tǒng)的成敗。過自行開發(fā)，還可以培養(yǎng)鍛煉自己的開發(fā)隊伍，便于后期的運行和。其缺滿足企業(yè)需求的成商品化軟件和解決方案。比如的搜索引擎系統(tǒng)就偏外購調(diào)式的基本做法是企業(yè)成商品化軟件，通過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。其優(yōu)點是開發(fā)建設(shè)周期短；成功率較高；成商品化軟的速度，企業(yè)自主權(quán)不強(qiáng)，較為。外購調(diào)試方式的適用條件通常是企業(yè)的特殊需求較少，市場上已有成商品化軟件和系統(tǒng)實施方案。比如大部分企業(yè)的財務(wù)管理系統(tǒng)、ERP件通常是市場上沒有能夠滿足企業(yè)需求的成商品化軟件和解決方案，企業(yè)（三）統(tǒng)、MRP（銷售、采購、庫存、生產(chǎn)）、計算機(jī)輔助設(shè)計和制造系統(tǒng)、客相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序后實施。第二，企業(yè)可以采用標(biāo)準(zhǔn)的項目管理軟件（比如OfficeProject）制定項目計劃，并加以。在關(guān)鍵環(huán)節(jié)人員和用戶單位的管理人員、業(yè)務(wù)人員在深入的基礎(chǔ)上，詳細(xì)描述業(yè)務(wù)活這一環(huán)節(jié)的主要風(fēng)險是：第一，需求本身不合理，對信息系統(tǒng)功能、性行、經(jīng)濟(jì)上成本效益倒掛，或與國家有關(guān)制度存在。第三，需求文檔表述確、不完整，未能真實全面地表達(dá)企業(yè)需求，存在表述缺失、表述不UML)，綜合運用多種建模工具和表現(xiàn)，參照《GB8567－88計算機(jī)軟件產(chǎn)品開計、設(shè)計、數(shù)據(jù)權(quán)限和加密設(shè)計等。第四，設(shè)計系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、系部門和業(yè)務(wù)部門應(yīng)當(dāng)對選定的設(shè)計方案予以確認(rèn)。第二，企業(yè)應(yīng)參照《GB8567－88計算機(jī)軟件產(chǎn)品開件編制指南》等相關(guān)和行業(yè)標(biāo)確保操作的可審計性。對異常的或者違背內(nèi)部控制要求的和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計由系統(tǒng)自動報告并設(shè)置處理機(jī)制。第八，預(yù)留必要的操作通道，對于必需的操作，應(yīng)當(dāng)加強(qiáng)管理，建立規(guī)范的操作流程，確保足夠的日志記錄，保證對操作的可性。完成之后，要進(jìn)試，測試主要有以下目的：一是發(fā)現(xiàn)軟件開發(fā)過程中的錯程風(fēng)格差異大，程序可讀性差，導(dǎo)致后期，成本高。第三，缺乏一風(fēng)格。第三，應(yīng)使用版本控制軟件系統(tǒng)（CVS），保證所有開發(fā)人員基統(tǒng)上線無序。第二，人員培訓(xùn)不足，不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)處理錯涉及數(shù)據(jù)遷移的，企業(yè)應(yīng)當(dāng)制定詳細(xì)的數(shù)據(jù)遷移計劃，并對遷移結(jié)果進(jìn)試。用戶部門應(yīng)當(dāng)參與數(shù)據(jù)遷移過程，對遷移前后的數(shù)據(jù)予以確認(rèn)。（四）界基準(zhǔn)來判斷外包服務(wù)商的綜合實力。第三，企業(yè)要嚴(yán)格外包服務(wù)及管控實行集體決策。這一環(huán)節(jié)的主要風(fēng)險是：由于合同條款確、不完善，可能導(dǎo)致企業(yè)的律部門或法律顧問把關(guān)。第二，開發(fā)過程中涉及商業(yè)、敏感數(shù)據(jù)的，企業(yè)應(yīng)當(dāng)與外包服務(wù)商簽訂詳細(xì)的“協(xié)定”，以保證數(shù)據(jù)安全。第三，在持續(xù)評價外包服務(wù)商的服務(wù)過這一環(huán)節(jié)的主要風(fēng)險是：企業(yè)缺乏外包服務(wù)評價機(jī)制或評價不到考評,并公布服務(wù)周期的評估結(jié)果,實現(xiàn)外包服務(wù)水平的評價。第二，必要在外購調(diào)試方式下，一方面，企業(yè)與委托開發(fā)方式類似的問題，企業(yè)要選擇軟件產(chǎn)品的供應(yīng)商和服務(wù)供應(yīng)商、簽訂合約 服務(wù)質(zhì)量，因此，性等方面企業(yè)需求。第二，軟件供應(yīng)商選擇不當(dāng)，產(chǎn)品的支持服務(wù)能要評價其現(xiàn)有產(chǎn)品的功能、性能，還要其服務(wù)支持能力和后續(xù)產(chǎn)品的升級三、信息系統(tǒng)的運行與信息系統(tǒng)的運行與主要包含面的內(nèi)容：日常運行、系統(tǒng)變更（一）日常運行的關(guān)鍵控制點和主要控制措日常運行的目標(biāo)是保證系統(tǒng)正常運轉(zhuǎn)，主要工作內(nèi)容包括系統(tǒng)的日常操作、系統(tǒng)的日常巡檢和維修、系統(tǒng)運行狀態(tài)、異常的報告和處理以及各模塊子系統(tǒng)的具體操作規(guī)范，及時、發(fā)現(xiàn)和解決系統(tǒng)運行中存在的的日常，在硬件方面，日常主要包括各種設(shè)備的保養(yǎng)與安全管理、故備專業(yè)人員負(fù)責(zé)處理信息系統(tǒng)運行中的突發(fā)，必要時應(yīng)會同系統(tǒng)開發(fā)人員（二）這一環(huán)節(jié)的主要風(fēng)險是：第一，企業(yè)沒有建立嚴(yán)格的變更申請、、執(zhí)行、證變更過程得到適當(dāng)?shù)呐c管理層的批準(zhǔn)，并對變更進(jìn)試。信息系統(tǒng)變（三）所有硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和的原因而遭到破壞、更改和短。第二，業(yè)務(wù)部門意識薄弱，對系統(tǒng)和缺乏有效的手段。少數(shù)員工可能或非系統(tǒng)資源，造成系統(tǒng)運行效率降低。第三，對系統(tǒng)程序的缺陷或安全防護(hù)不夠，導(dǎo)致，造成信息泄露。第四，對各種計算機(jī)防范清理不力，導(dǎo)致系統(tǒng)運行不穩(wěn)定甚至癱瘓。第五，缺乏對信息系統(tǒng)操作人員的嚴(yán)密，可能導(dǎo)致舞弊和利用計算機(jī)犯設(shè)備（例如銀行的數(shù)據(jù)庫服務(wù)器），，不得接觸。責(zé)，對企業(yè)的作出總體規(guī)劃和全方位嚴(yán)格管理，具體實施工作可由企業(yè)的信息主管部門負(fù)責(zé)。企業(yè)應(yīng)強(qiáng)化全體員工的安全意識，特別要對重要崗位員工進(jìn)行信息系統(tǒng)安全培訓(xùn)，并簽署安全協(xié)議。企業(yè)應(yīng)當(dāng)建立信 制度和泄密責(zé)任制度。第三，企業(yè)應(yīng)當(dāng)按照國家相關(guān)以及技術(shù)標(biāo)準(zhǔn)，制定信息全等級，建立不同等級信息的使用制度，采用相應(yīng)技術(shù)保證信息系統(tǒng)運行安全有序。對于信息系統(tǒng)的使用者和不同安全等級信息之間的關(guān)系，制，設(shè)置安全參數(shù)，保證系統(tǒng)安全；對于重要的計算機(jī)設(shè)備，企業(yè)應(yīng)當(dāng)利用技術(shù)防止員工擅自安裝、卸載軟件或者改變軟件系統(tǒng)配置，并定期對上第五，企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運行與管理的，應(yīng)當(dāng)嚴(yán)格其資質(zhì)條件、市場聲譽和信用狀況等，并與其簽訂正式的服務(wù)合同和協(xié)議。第六，企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到等軟件的和破壞。企業(yè)應(yīng)當(dāng)特別注重加強(qiáng)對服務(wù)器等關(guān)鍵部位的防護(hù)；對于存在網(wǎng)絡(luò)應(yīng)用的企業(yè)，應(yīng)當(dāng)綜合利用、路由器等網(wǎng)絡(luò)設(shè)備，采用內(nèi)容過濾、掃描、檢測等軟件技術(shù)加強(qiáng)，嚴(yán)密防范來自互聯(lián)網(wǎng)的黑客和侵入。對于通過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蛘哧P(guān)鍵業(yè)務(wù)數(shù)據(jù)，企業(yè)應(yīng)當(dāng)采取必要的技術(shù)確保信息傳遞的性、準(zhǔn)確性、完整性。份，然后根據(jù)業(yè)務(wù)頻率和數(shù)據(jù)重要性程度，定期做好增量備份。數(shù)據(jù)與備份應(yīng)分別存放于不同地點，防止因火災(zāi)、水災(zāi)、等事故產(chǎn)生不利影響。企業(yè)可綜合采用磁盤、磁帶、光盤等備份介質(zhì)。第八，企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開發(fā)、運行與等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制度，防范利用計算機(jī)舞弊和。一般而言，信息系統(tǒng)不相容職務(wù)涉及的人員可以分為三類：系統(tǒng)開發(fā)建設(shè)人員、系統(tǒng)管理和人員、掌握其中的涉密數(shù)據(jù)，進(jìn)行利用；系統(tǒng)管理和人員擔(dān)任保管、授數(shù)據(jù)，從而達(dá)到財產(chǎn)或計算機(jī)信息的目的。此外，信息系統(tǒng)使用人員權(quán)限管理，避免將不相容職責(zé)授予同一用戶。企業(yè)應(yīng)當(dāng)采用控制等技術(shù)進(jìn)行用戶識別。對于重要的業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)采用數(shù)字、生物識別等可靠性強(qiáng)的技