信息系統(tǒng)內(nèi)控設(shè)計(jì)要點(diǎn)說明

信息系統(tǒng)控設(shè)計(jì)要點(diǎn)信息系統(tǒng)的開發(fā)方式有自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等多種方信息系統(tǒng)的開發(fā)方式有自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等多種方編程和測試、上線等環(huán)節(jié)。一、主要環(huán)節(jié)設(shè)計(jì)要點(diǎn)1．工程打算環(huán)節(jié)戰(zhàn)略規(guī)劃通常將完整的信息系統(tǒng)分成假設(shè)干子系統(tǒng)，并分階段建設(shè)人力資源治理系統(tǒng)、MRP〔銷售、選購、庫存、生產(chǎn)〕、計(jì)算機(jī)關(guān)心設(shè)計(jì)和制造系統(tǒng)、客戶關(guān)系系統(tǒng)、電子商務(wù)系統(tǒng)等假設(shè)干子系統(tǒng)。工程就是指本階段需要建設(shè)的相對獨(dú)立的一個或多個子系統(tǒng)。工程打算通常包括工程圍說明、工程進(jìn)度打算、工程質(zhì)量打算、工程資源打算、工程溝通打算、風(fēng)險對策打算、工程選購打算、需求調(diào)整、充實(shí)和完善。工程打算環(huán)節(jié)的主要風(fēng)險是：信息系統(tǒng)建設(shè)缺乏工程打算或者打算不當(dāng)，導(dǎo)致工程進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下。A案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)容，依據(jù)規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。B〔比方OfficeProject〕制可控。CGB8567－88編制水平。需求分析環(huán)節(jié)需求分析的目的是明確信息系統(tǒng)需要實(shí)現(xiàn)哪些功能。該項(xiàng)工作是系統(tǒng)分析人員和用戶單位的治理人員、業(yè)務(wù)人員在深入調(diào)查的根底立將來目標(biāo)系統(tǒng)的規(guī)律模型。A求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門的治理人員、業(yè)務(wù)人員的溝通，經(jīng)綜合分析提煉后形成合理的需求。B技術(shù)人員共同理解信息系統(tǒng)的橋梁，必需準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、UML)，綜合運(yùn)用多種建模工具和表現(xiàn)手段，參照《GB8567－88編制指南》等相關(guān)標(biāo)準(zhǔn)，提高系統(tǒng)需求說明書的編寫質(zhì)量C檔進(jìn)展設(shè)計(jì)〔含需求變更設(shè)計(jì)〕前，應(yīng)當(dāng)評審其可行性，由需求提出審批。系統(tǒng)設(shè)計(jì)環(huán)節(jié)系統(tǒng)設(shè)計(jì)是依據(jù)系統(tǒng)需求分析階段所確定的目標(biāo)系統(tǒng)規(guī)律模型，的主要任務(wù)是：第一，設(shè)計(jì)系統(tǒng)的模塊構(gòu)造，合理劃分子系統(tǒng)邊界和接口。其次，選擇系統(tǒng)實(shí)現(xiàn)的技術(shù)路線，確定系統(tǒng)的技術(shù)架構(gòu)，明確口關(guān)系。第三，數(shù)據(jù)庫設(shè)計(jì)，包括主要的數(shù)據(jù)庫表構(gòu)造設(shè)計(jì)、存儲設(shè)計(jì)、數(shù)據(jù)權(quán)限和加密設(shè)計(jì)等。第四，設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造、系統(tǒng)部署方式等。具體設(shè)計(jì)的主要任務(wù)包括：程序說明書編制、數(shù)據(jù)編碼第三，設(shè)計(jì)方案不全面，導(dǎo)致后續(xù)變更頻繁。第四，設(shè)計(jì)方案沒有考險。A爭論，說明方案對用戶需求的掩蓋狀況；存在備選方案的，應(yīng)當(dāng)具體口治理部門和業(yè)務(wù)部門應(yīng)當(dāng)對選定的設(shè)計(jì)方案予以書面確認(rèn)。BGB8567－88等相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，提高系統(tǒng)設(shè)計(jì)說明書的編寫質(zhì)量。CD工環(huán)境下難以實(shí)現(xiàn)的把握功能，例如：對于某一財(cái)務(wù)軟件，當(dāng)輸入支出憑證時，可以讓計(jì)算機(jī)自動檢查銀行存款余額，防止透支。E處理權(quán)限授予同一用戶。F校驗(yàn)功能。比方，憑證的自動平衡校對。G計(jì)由系統(tǒng)自動報(bào)告并設(shè)置跟蹤處理機(jī)制。H，建立規(guī)的操作流程，確保足夠的日志記錄，保證對后臺操作的可監(jiān)控性。編程和測試環(huán)節(jié)編程階段是將具體設(shè)計(jì)方案轉(zhuǎn)換成某種計(jì)算機(jī)編程語言的過程。編程階段完成之后，要進(jìn)展測試，測試主要有以下目的：一是覺察軟二是通過某些系統(tǒng)測試，了解系統(tǒng)的響應(yīng)時間、事務(wù)處理吞吐量、載綜合評價。測試環(huán)節(jié)在系統(tǒng)開發(fā)中具有舉足輕重的地位。AB等方面統(tǒng)一風(fēng)格。C〔例如CVS〕，保證全部開發(fā)人員基于一樣的組件環(huán)境開展工程工作，協(xié)調(diào)開發(fā)人員對程序的修改。D〔集成測試〕、系統(tǒng)測試、驗(yàn)收測工作中的參與程度，改進(jìn)測試用例的編寫質(zhì)量，加強(qiáng)測試分析，盡量當(dāng)組織獨(dú)立于開發(fā)建設(shè)工程組的專業(yè)機(jī)構(gòu)對開發(fā)完成的信息系統(tǒng)進(jìn)行驗(yàn)收測試，確保在功能、性能、把握要求和安全性等方面符合開發(fā)需求。上線環(huán)節(jié)系統(tǒng)上線是將開發(fā)出的系統(tǒng)〔可執(zhí)行的程序和關(guān)聯(lián)的數(shù)據(jù)〕部署到實(shí)際運(yùn)行的計(jì)算機(jī)環(huán)境中，使信息系統(tǒng)依據(jù)既定的用戶需求來運(yùn)轉(zhuǎn)，切實(shí)發(fā)揮信息系統(tǒng)的作用。這一環(huán)節(jié)的主要風(fēng)險是：第一，缺乏數(shù)據(jù)不全都、業(yè)務(wù)處理錯誤。A門審核批準(zhǔn)。上線打算一般包括人員培訓(xùn)、數(shù)據(jù)預(yù)備、進(jìn)度安排、應(yīng)急預(yù)案等容。B急預(yù)案，保證系統(tǒng)失效時能夠順當(dāng)切換回舊系統(tǒng)。C后的數(shù)據(jù)予以書面確認(rèn)。二、其他開發(fā)方式的關(guān)鍵把握點(diǎn)和主要把握措施〔設(shè)計(jì)要點(diǎn)〕下面介紹其他開發(fā)方式〔業(yè)務(wù)外包、外購調(diào)試〕的關(guān)鍵把握點(diǎn)和主要把握措施。在業(yè)務(wù)外包、外購調(diào)試方式下，企業(yè)對系統(tǒng)設(shè)計(jì)、編程、測試環(huán)有針對性的把握措施。業(yè)務(wù)外包方式的關(guān)鍵把握點(diǎn)和主要把握措施選擇外包效勞商這一環(huán)節(jié)的主要風(fēng)險是：由于企業(yè)與外包效勞商之間本質(zhì)上是一信息泄密等。主要把握措施：第一，企業(yè)在選擇外包效勞商時要充分考慮效勞商的市場信譽(yù)、資質(zhì)條件、財(cái)務(wù)狀況、效勞力氣、對本企業(yè)業(yè)務(wù)的生疏三，企業(yè)要嚴(yán)格外包效勞審批及管控流程，對信息系統(tǒng)外包業(yè)務(wù)，原則上應(yīng)承受公開招標(biāo)等形式選擇外包效勞商，并實(shí)行集體決策審批。簽訂外包合同這一環(huán)節(jié)的主要風(fēng)險是：由于合同條款不準(zhǔn)確、不完善，可能導(dǎo)致企業(yè)的正值權(quán)益無法得到有效保障。主要把握措施：第一，企業(yè)在與外包效勞商簽約之前，應(yīng)針對外合作疇、責(zé)任劃分、全部權(quán)歸屬、付款方式、違約賠償及合約期限等問題做出具體說明，并由法律部門或法律參謀審查把關(guān)。其次，開發(fā)的“協(xié)定”，以保證數(shù)據(jù)安全。第三，在合同中商定付款事宜時，應(yīng)團(tuán)隊(duì)的穩(wěn)定性。持續(xù)跟蹤評價外包效勞商的效勞過程這一環(huán)節(jié)的主要風(fēng)險是：企業(yè)缺乏外包效勞跟蹤評價機(jī)制或跟蹤需求。主要把握措施：第一，企業(yè)應(yīng)當(dāng)規(guī)外包效勞評價工作流程，明確平的跟蹤評價。其次，必要時，可以引入監(jiān)理機(jī)制，降低外包效勞風(fēng)險。外購調(diào)試方式的關(guān)鍵把握點(diǎn)和主要把握措施在外購調(diào)試方式下，一方面，企業(yè)面臨與托付開發(fā)方式類似的問題，企業(yè)要選擇軟件產(chǎn)品的供給商和效勞供給商、簽訂合約、跟蹤效勞措施。軟件產(chǎn)品選型和供給商選擇在外購調(diào)試方式下，軟件供給商的選擇和軟件產(chǎn)品的選型是親熱相關(guān)的。這一環(huán)節(jié)的主要風(fēng)險是：第一，軟件產(chǎn)品選型不當(dāng)，產(chǎn)品在功能、性能、易用性等方面無法滿足企業(yè)需求。其次，軟件供給商選擇不當(dāng)，產(chǎn)品的支持效勞力氣缺乏，產(chǎn)品的后續(xù)升級缺乏保障。主要把握措施：第一，企業(yè)應(yīng)明確自身需求，比照分析市場上的成熟軟件產(chǎn)品，合理選擇軟件產(chǎn)品的模塊組合和版本。其次，企業(yè)在產(chǎn)品和效勞供給商時，不僅要評價其現(xiàn)有產(chǎn)品的功能、性能，還要考察其效勞支持力氣和后續(xù)產(chǎn)品的升級力氣。效勞供給商選擇大型企業(yè)治理信息系統(tǒng)〔例如ERP〕的外購實(shí)施，不僅需要供給商，指導(dǎo)企業(yè)將通用軟件產(chǎn)品與本企業(yè)的實(shí)際狀況有機(jī)結(jié)合。的功能發(fā)揮，導(dǎo)致無法有效滿足用戶需求。主要把握措施：在選擇效勞供給商時，不僅要考核其對軟件產(chǎn)品的生疏、理解程度，也要考核其是否深刻理解企業(yè)所處行業(yè)的特點(diǎn)、是否理解企業(yè)的共性化需求、是否有過一樣或相近的成功案例。三、信息系統(tǒng)的運(yùn)行與維護(hù)信息系統(tǒng)的運(yùn)行與維護(hù)主要包含三方面的容：日常運(yùn)行維護(hù)、系統(tǒng)變更和安全治理?！惨弧橙粘＿\(yùn)行維護(hù)的關(guān)鍵把握點(diǎn)和主要把握措施日常運(yùn)行維護(hù)的目標(biāo)是保證系統(tǒng)正常運(yùn)轉(zhuǎn)，主要工作容包括系統(tǒng)的日常操作、系統(tǒng)的日常巡檢和修理、系統(tǒng)運(yùn)行狀態(tài)監(jiān)控、特別大事的報(bào)告和處理等。這一環(huán)節(jié)的主要風(fēng)險是：第一，沒有建立規(guī)的信息業(yè)信息系統(tǒng)出錯。其次，沒有執(zhí)行例行檢查，導(dǎo)致一些人為惡意攻擊會長期隱蔽在系統(tǒng)中，可能造成嚴(yán)峻損失。第三，企業(yè)信息系統(tǒng)數(shù)據(jù)未能定期備份，可能導(dǎo)致?lián)p壞后無法恢復(fù)，從而造成重大損失。主要把握措施：第一，企業(yè)應(yīng)制定信息系統(tǒng)使用操作程序、信息持續(xù)穩(wěn)定運(yùn)行。其次，切實(shí)做好系統(tǒng)運(yùn)行記錄，尤其是對于系統(tǒng)運(yùn)行出具體記錄。第三，企業(yè)要重視系統(tǒng)運(yùn)行的日常維護(hù)，在硬件方面，日常維護(hù)主要包括各種設(shè)備的保養(yǎng)與安全治理、故障的診斷與排解、易耗品的更換與安裝等，這些工作應(yīng)由專人負(fù)責(zé)。第四，配備專業(yè)人或軟硬件供給商共同解決。〔二〕系統(tǒng)變更的關(guān)鍵把握點(diǎn)和主要把握措施系統(tǒng)變更主要包括硬件的升級擴(kuò)容、軟件的修改與升級等。系統(tǒng)本與進(jìn)度的把握。這一環(huán)節(jié)的主要風(fēng)險是：第一，企業(yè)沒有建立嚴(yán)格的變更申請、審批、執(zhí)行、測試流程，導(dǎo)致系統(tǒng)任憑變更。其次，系統(tǒng)變更后的效果達(dá)不到預(yù)期目標(biāo)。主要把握措施：第一，企業(yè)應(yīng)當(dāng)建立標(biāo)準(zhǔn)流程來實(shí)施和記錄系統(tǒng)人員不得擅自進(jìn)展軟件的刪除、修改等操作；不得擅自升級、轉(zhuǎn)變軟軟件升級)需要遵循與系統(tǒng)開發(fā)工程同樣的驗(yàn)證和測試程序，必要時還應(yīng)當(dāng)進(jìn)展額外測試。第三，企業(yè)應(yīng)加強(qiáng)緊急變更的把握治理。第問授權(quán)把握、數(shù)據(jù)轉(zhuǎn)換把握、用戶培訓(xùn)等?！踩嘲踩卫淼年P(guān)鍵把握點(diǎn)和主要把握措施安全治理的目標(biāo)是保障信息系統(tǒng)安全，信息系統(tǒng)安全是指信息系遭到破壞、更改和泄漏，信息系統(tǒng)能夠連續(xù)正常運(yùn)行。這一環(huán)節(jié)的主要風(fēng)險是：第一，硬件設(shè)備分布物理圍廣，設(shè)備種類繁多，安全治理難度大，可能導(dǎo)致設(shè)備生命周期短。其次，業(yè)務(wù)部門信息安全意識薄惡意濫用系統(tǒng)資源，造成系統(tǒng)運(yùn)行效率降低。第三，對系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠，導(dǎo)致患病黑客攻擊，造成信息泄露。第四，罪。主要把握措施是：管把握度，對于關(guān)鍵信息設(shè)備〔例如銀行的核心數(shù)據(jù)庫效勞器〕，未經(jīng)授權(quán)，不得接觸。其次，企業(yè)應(yīng)成立特地的信息系統(tǒng)安全治理機(jī)構(gòu)，由企業(yè)主要領(lǐng)議。企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)安全制度和泄密責(zé)任追究制度。第三，企業(yè)應(yīng)當(dāng)依據(jù)國家相關(guān)法律法規(guī)以及信息安全技術(shù)標(biāo)準(zhǔn)，制定信息系統(tǒng)安全實(shí)施細(xì)則。依據(jù)業(yè)務(wù)性質(zhì)、重要程度、涉密狀況等使用者崗位職務(wù)的變遷進(jìn)展調(diào)整。第四，企業(yè)應(yīng)當(dāng)有效利用IT數(shù)修改嚴(yán)加把握。例如，企業(yè)可利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)供給的安全機(jī)制，設(shè)置安全參數(shù)，保證系統(tǒng)訪問安全；對于重要的者轉(zhuǎn)變軟件系統(tǒng)配置，并定期對上述狀況進(jìn)展檢查。第五，企業(yè)托付專業(yè)機(jī)構(gòu)進(jìn)展系統(tǒng)運(yùn)行與維護(hù)治理的，應(yīng)當(dāng)嚴(yán)格同和協(xié)議。第六，企業(yè)應(yīng)當(dāng)實(shí)行安裝安全軟件等措施防信息系統(tǒng)受到病毒等的防護(hù)；對于存在網(wǎng)絡(luò)應(yīng)用的企業(yè)，應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，承受容過濾、漏洞掃描、入侵檢測等軟件技術(shù)加強(qiáng)網(wǎng)絡(luò)安遞的性、準(zhǔn)確性、完整性。第七，企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等容。系統(tǒng)首次上線運(yùn)行時應(yīng)份。數(shù)據(jù)正本與備份應(yīng)分別存放于不同地點(diǎn)，防止因火災(zāi)、水災(zāi)、地震等事故產(chǎn)生不利影響。企業(yè)可綜合承受磁盤、磁帶、光盤等備份存儲介質(zhì)。第八，企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)等環(huán)節(jié)的崗位責(zé)信息系統(tǒng)不相容職務(wù)涉及的人員可以分為三類：系統(tǒng)開發(fā)建設(shè)人員、系統(tǒng)治理和維護(hù)人員擔(dān)當(dāng)密碼保管、授權(quán)、系統(tǒng)變更等關(guān)鍵任務(wù)，假設(shè)不同崗位，包括業(yè)務(wù)數(shù)據(jù)錄入、數(shù)據(jù)檢查、業(yè)務(wù)批準(zhǔn)等，在他們之間賬號進(jìn)展批閱，避開存在授權(quán)不當(dāng)或非授權(quán)賬號。對于超級用戶，企進(jìn)展監(jiān)控或?qū)徲?jì)。第九，企業(yè)應(yīng)樂觀開展信息系統(tǒng)風(fēng)險評估工作，定期對信息系統(tǒng)進(jìn)展安全評估，準(zhǔn)時覺察系統(tǒng)安全問題并加以整改?！菜摹?/p>