信息资源管理优秀课件.ppt

《信息资源管理优秀课件.ppt》由会员分享，可在线阅读，更多相关《信息资源管理优秀课件.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息资源管理第1页，本讲稿共31页信息资源的信息资源的安全管理安全管理 一一.系统授权系统授权 系系统统授授权权是用是用户户存取存取权权限的定限的定义义。利用系。利用系统统授授权权来控制主体来控制主体（用户）（用户）对对客体客体（存取存取对对象象）的的访问访问，可以有效地提高系可以有效地提高系统统的安全性。系的安全性。系统统授授权权是保是保护护系系统统安安全运行的一全运行的一项项重要技重要技术术措施。通常系措施。通常系统统将授将授权权清清单经编单经编译译后存后存储储在系在系统统的数据字典中，每当用的数据字典中，每当用户发户发出存取数据出存取数据的的请请求后，系求后，系统查统查找数据字典，根据用

2、找数据字典，根据用户户授授权权表表对对用用户户请请求求进进行合法行合法权检查权检查，若用，若用户户的的请请求超求超过过了定了定义义的的权权限，限，系系统统拒拒绝绝用用户户的的请请求。授求。授权编译权编译程序和合法程序和合法权检查权检查机制机制一起一起组组成了授成了授权权安全子系安全子系统统。第2页，本讲稿共31页信息资源的信息资源的安全管理安全管理 二二.数据加密数据加密 数据加密，就是按照数据加密，就是按照预预先先约约定的定的变换规则变换规则（加（加密算法）密算法）对对需要保需要保护护的数据（明文）的数据（明文）进进行行转换转换，使，使其成其成为难为难以以识读识读的数据（密文）。由密文按的数

3、据（密文）。由密文按对应对应的的解密解密变换变换方法（解密算法）恢复出明文的方法（解密算法）恢复出明文的过过程称程称为为数据解密。数据解密。数据加密技数据加密技术术在体制上分在体制上分为单为单密密钥钥体制体制（常常规规密密钥钥密密码码体制体制 ）和双密和双密钥钥体制体制（公开密公开密钥钥密密码码体制体制）。单单密密钥钥体制体制的的加密密加密密钥钥和解密密和解密密钥钥是相同的是相同的，最常用的最常用的加密算法是由加密算法是由IBMIBM公司研制公司研制的的DESDES；双密双密钥钥体制体制的的加密加密和解密使用不同的密和解密使用不同的密钥钥，最有名的是由美国麻省理工最有名的是由美国麻省理工学院提

4、出的学院提出的RSARSA 。第3页，本讲稿共31页信息资源的信息资源的安全管理安全管理 三三.防范防范计计算机犯罪算机犯罪 计计算机犯罪是一种新的社会犯罪算机犯罪是一种新的社会犯罪现现象，它具有象，它具有犯罪方法新犯罪方法新、作案作案时间时间短短、不留痕迹不留痕迹、内部人内部人员员犯犯罪的比例在增加罪的比例在增加、犯罪区域广犯罪区域广、利用保密制度不健全利用保密制度不健全和存取控制机制不和存取控制机制不严严的漏洞作案的漏洞作案等等明明显显特征特征。进进入九入九十年代以来，十年代以来，计计算机犯罪已算机犯罪已严严重的威重的威胁胁到信息到信息资资源源的安全，造成的安全，造成许许多重大多重大损损失

5、，失，现现已成已成为为日益日益严严重的重的社会社会问题问题。防范防范计计算机犯罪，要从数据算机犯罪，要从数据输输入控制入控制、通信控制通信控制、数据数据处处理控制理控制、数据存数据存储储控制控制、访问访问控制控制等等各个各个环节环节上加上加强强安全控制安全控制。第4页，本讲稿共31页信息资源的信息资源的安全管理安全管理 四四.计计算机病毒防范算机病毒防范 计计算机病毒是一种特殊形式的算机病毒是一种特殊形式的计计算机犯罪，算机犯罪，它它是人是人为为制制造的、能造的、能够够通通过过某一途径潜伏在某一途径潜伏在计计算机的存算机的存储储介介质质（或可（或可执执行程序、数据文件）中，达到某种条件具行程序

6、、数据文件）中，达到某种条件具备备后即被激活，后即被激活，对对信息信息资资源具有破坏作用的一种程序或指令的集合。源具有破坏作用的一种程序或指令的集合。计计算机病算机病毒毒具有具有可可传传染性染性、潜伏性潜伏性、可触可触发发性性、欺欺骗骗性性、衍生性衍生性和和破坏性破坏性等等特征特征。预预防防计计算机病毒的技算机病毒的技术术手段主要包括手段主要包括软软件件预预防和硬件防和硬件预预防。防。软软件件预预防采用防病毒防采用防病毒软软件来防御病毒的入侵件来防御病毒的入侵，它，它是是病毒防御系病毒防御系统统的第一道防的第一道防线线,其任其任务务是使病毒无法是使病毒无法进进行行传传染和破坏。硬件染和破坏。硬

7、件预预防采用防病毒卡等硬件来防御病毒的入侵。防采用防病毒卡等硬件来防御病毒的入侵。第5页，本讲稿共31页信息资源的信息资源的安全管理安全管理 五五.信息资源安全管理与审计信息资源安全管理与审计 实现信息资源安全，不仅靠先进的技术，而且也实现信息资源安全，不仅靠先进的技术，而且也要靠严格的安全管理、安全教育和法律约束。要实现要靠严格的安全管理、安全教育和法律约束。要实现严格的安全管理，应建立相应的信息资源安全管理办严格的安全管理，应建立相应的信息资源安全管理办法，加强内部管理，建立合理的安全管理系统，建立法，加强内部管理，建立合理的安全管理系统，建立安全审计和跟踪体系，提高整体安全意识。安全审计

8、和跟踪体系，提高整体安全意识。审计是记录用户使用系统进行所有活动的过程，审计是记录用户使用系统进行所有活动的过程，是提高安全性的重要措施。入侵检测是一种信息识别是提高安全性的重要措施。入侵检测是一种信息识别与检测技术。一般将审计跟踪、攻击检测系统作为信与检测技术。一般将审计跟踪、攻击检测系统作为信息安全的最后一道防线。息安全的最后一道防线。第6页，本讲稿共31页信息资源的信息资源的安全管理安全管理 六六.计算机软件的安全管理计算机软件的安全管理 在信息资源安全中，软件具有二重性：软件既是安全保在信息资源安全中，软件具有二重性：软件既是安全保护的对象，是安全控制的措施，同时又是危害安全的途径和护

9、的对象，是安全控制的措施，同时又是危害安全的途径和手段。因此，软件的安全是保证信息资源安全的重要内容。手段。因此，软件的安全是保证信息资源安全的重要内容。软件安全的基本要求是要禁止非法的拷贝和使用以及防止软件安全的基本要求是要禁止非法的拷贝和使用以及防止非法阅读和修改。为设计安全软件而采取的技术措施应实现防非法阅读和修改。为设计安全软件而采取的技术措施应实现防拷贝、防静态分析和防动态跟踪，它们是每一个加密软件都必拷贝、防静态分析和防动态跟踪，它们是每一个加密软件都必须具备的三个基本功能。这三个功能是相互依存、相辅相成的。须具备的三个基本功能。这三个功能是相互依存、相辅相成的。实现软实现软件的加

10、密保件的加密保护护，必，必须须从从这这三方面入手，三方面入手，综综合运用，合运用，才能有效地保才能有效地保护软护软件被非法件被非法扩扩散。散。第7页，本讲稿共31页信息资源的信息资源的安全管理安全管理 1.1.系统软件的安全系统软件的安全 大多数系大多数系统软统软件中普遍采用的安全措施是安全控制件中普遍采用的安全措施是安全控制。从技从技术术上上讲讲安全控制主要有三种方法：安全控制主要有三种方法：访问访问控制、隔离控制、和控制、隔离控制、和存存储储保保护护。访问访问控制和隔离控制可以防止控制和隔离控制可以防止对对被保被保护对护对象的象的未未经许经许可的接触；存可的接触；存储储保保护护主要是避免多

11、任主要是避免多任务务之之间间的互不的互不干干扰扰。2.2.应用软件的安全应用软件的安全 应应用用软软件是直接面件是直接面对对用用户户的，所以其安全的，所以其安全设计设计是目前信息是目前信息资资源源安全中最重要却又最薄弱的部分，安全中最重要却又最薄弱的部分，因此因此在在应应用用软软件的开件的开发过发过程中，需要特程中，需要特别别注意。注意。第8页，本讲稿共31页信息资源的信息资源的安全管理安全管理 七七.数据库的安全管理数据库的安全管理 一个数据库的安全受到侵犯，主要是指未经授权的读、一个数据库的安全受到侵犯，主要是指未经授权的读、写和修改数据库中的数据，或者破坏这些存储在数据库中写和修改数据库

12、中的数据，或者破坏这些存储在数据库中的信息。由于数据库中存放大量的信息，可供众多的用户的信息。由于数据库中存放大量的信息，可供众多的用户访问，数据库的安全问题日益突出。访问，数据库的安全问题日益突出。数据数据库库安全的基本要求安全的基本要求是是数据数据库库完整完整、数据元素的完整数据元素的完整、可可审计审计、存取控制存取控制、用用户认证户认证及及并并发发控制控制。数据数据库库安全运行的保安全运行的保护护机制有操作系机制有操作系统统和数据和数据库库管理系管理系统统两两个个层层次。操作系次。操作系统统从外部从外部为为数据数据库库提供安全运行的提供安全运行的环环境，而数据境，而数据库库管理系管理系统

13、则统则从内部从内部强强化数据化数据库库的安全操作功能。的安全操作功能。数据数据库库的安全控制技的安全控制技术术主要有：口令保主要有：口令保护护、数据加密、数、数据加密、数据据库库加密、数据加密、数据验证验证等。等。第9页，本讲稿共31页信息资源的信息资源的安全管理安全管理 八八.计算机网络的安全管理计算机网络的安全管理 网络提供了资源的共享性，通过分散工作负荷提高了工作效网络提供了资源的共享性，通过分散工作负荷提高了工作效率和信息系统的可扩充性，因此网络安全问题越来越突出。率和信息系统的可扩充性，因此网络安全问题越来越突出。网网络络系系统统的安全功能是达到安全目的安全功能是达到安全目标标所需具

14、所需具备备的功能和的功能和规规定。定。OSIOSI定定义义了五种安全功能：了五种安全功能：对对象象认证认证、访问访问控制控制、数据保密数据保密、数数据可据可审查审查、不可抵不可抵赖赖。网络安全管理是网络安全、高效、稳定运行的必要手网络安全管理是网络安全、高效、稳定运行的必要手段。它通过规划、监视、分析、扩充和控制网络来保证网段。它通过规划、监视、分析、扩充和控制网络来保证网络服务的有效实现，是整个网络系统不可缺少的重要部分。络服务的有效实现，是整个网络系统不可缺少的重要部分。目前目前较较常用的保常用的保证证网网络络安全的安全的措施措施主要有：数据加密主要有：数据加密、网网络络中密中密钥钥的管理

15、的管理、网网络络中的中的访问访问控制控制、鉴别鉴别机制机制、数字数字签签名名、防火防火墙墙技技术术、网网络络的安全管理的安全管理等。等。第10页，本讲稿共31页信息资源的信息资源的安全管理安全管理九九.信息系统的安全信息系统的安全 信息系信息系统统具有的开放特性和具有的开放特性和资资源共享特性，使源共享特性，使它存在潜在的威它存在潜在的威胁胁和容易受到攻和容易受到攻击击。这这主要表主要表现现在在两个方面：两个方面：对实对实体的威体的威胁胁和攻和攻击击；对对信息的威信息的威胁胁和和攻攻击击。信息系信息系统统采取的安全策略主要包括四个方面：采取的安全策略主要包括四个方面：法法规规保保护护、行政管理

16、、安全教育和技、行政管理、安全教育和技术术措施措施，其中，其中技技术术措施是信息系措施是信息系统统安全的重要保障。信息系安全的重要保障。信息系统统的安全的安全技技术术主要包括主要包括实实体安全、数据安全、体安全、数据安全、软软件安全、运行安件安全、运行安全、防病毒破坏或干全、防病毒破坏或干扰扰、防、防计计算机犯罪等。安全技算机犯罪等。安全技术术措措施施应贯应贯穿于系穿于系统统分析、分析、设计设计、运行和、运行和维护维护及管理的各个及管理的各个阶阶段。段。第11页，本讲稿共31页信息资源的信息资源的安全管理安全管理十十.电子商务安全电子商务安全 电子商务是利用电子数据交换、电子邮件、电子资金转账

17、及电子商务是利用电子数据交换、电子邮件、电子资金转账及InternetInternet技术在个人、企业间和政府间进行无纸化的业务信息的交换。电子商务的技术在个人、企业间和政府间进行无纸化的业务信息的交换。电子商务的重要技术特征是利用重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：交易环境的安全和交易过程安全。全从整体上可分为两大部分：交易环境的安全和交易过程安全。交易环境是针对计算机网络本身可能存在的安全问题，实施网络安全交易环境是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身

18、的安全性为目标。交易过程安全则紧紧增强方案，以保证计算机网络自身的安全性为目标。交易过程安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，即实现电子商务的保密全的基础上，如何保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。因此，电子商务对安性、完整性、可鉴别性、不可伪造性和不可抵赖性。因此，电子商务对安全的要求有：有效性全的要求有：有效性、保密性、保密性、完整性、完整性、不可抵赖性、不可抵赖性/可鉴别性可鉴别性、审查、

19、审查能力能力。第12页，本讲稿共31页信息资源的信息资源的安全管理安全管理1.1.安全交易安全交易协议标协议标准准 安全套接层协议安全套接层协议SSLSSL是是NetscapeNetscape公司提供的一种基于公司提供的一种基于RSARSA和和保密密保密密钥钥的用于的用于浏览浏览器和器和WebWeb服服务务器之器之间间的安全的安全连连接技接技术术，它它提供加密、认证服务和报文完整性管理。提供加密、认证服务和报文完整性管理。安全电子交易协议安全电子交易协议SET涵盖了信用卡在电子商务交易中的交涵盖了信用卡在电子商务交易中的交易协定、信息加密、资料完整管理、数字凭证、数字认证及数字签易协定、信息加

20、密、资料完整管理、数字凭证、数字认证及数字签名等内容。名等内容。SET协议是针对开放网络上安全、有效的银行卡交易，协议是针对开放网络上安全、有效的银行卡交易，为为Internet上卡支付交易提供高层的安全和反欺诈保证。上卡支付交易提供高层的安全和反欺诈保证。SET协协议为电子交易提供的安全措施。议为电子交易提供的安全措施。SET协议保证了电子交易的协议保证了电子交易的保密性、可审查性、身份的合法性和抗否认性。保密性、可审查性、身份的合法性和抗否认性。第13页，本讲稿共31页信息资源的信息资源的安全管理安全管理2.2.安全交易技安全交易技术术 一个完善的一个完善的电电子商子商务务系系统统在保在保

21、证证其其计计算机网算机网络络硬件平台和系硬件平台和系统软统软件平台安件平台安全的基全的基础础上，上，应该还应该还具具备备以下特点：以下特点：强强大的加密保大的加密保证证、使用者和数据的、使用者和数据的识别识别和和鉴别鉴别、存、存储储和加密数据的保密、和加密数据的保密、联联网交易和支付的可靠、方便的密网交易和支付的可靠、方便的密钥钥管理、数管理、数据的完整和防止抵据的完整和防止抵赖赖。数字认证可用电子方式证明信息发送者和接收者身份、文件的完整性、以及数据媒数字认证可用电子方式证明信息发送者和接收者身份、文件的完整性、以及数据媒体的有效性。体的有效性。建立安全的建立安全的认证认证中心（中心（CAC

22、A）是）是电电子商子商务务的中心的中心环节环节。其目的是加。其目的是加强强数字数字证书证书和和密密钥钥的管理工作，增的管理工作，增强强网上交易各方的互相信任，提高网上网上交易各方的互相信任，提高网上购购物和网上交易的安全，物和网上交易的安全，控制交易的控制交易的风险风险。虚虚拟拟专专用用网网（VPNVPN）是是用用于于InternetInternet交交易易的的一一种种专专用用网网络络，可可以以在在两两个个系系统统之之间间建建立立安安全全的的信信道道（或或隧隧道道），用用于于电电子子数数据据交交换换。VPNVPN中中双双方方的的数数据据通通信信量量非非常常大大，通通信信双双方方彼彼此此很很熟熟

23、悉悉，可可以以使使用用复复杂杂的的专专用用加加密密和和认认证证技技术术，不不必必为为所所有有的的VPNVPN进进行行统统一的加密和一的加密和认证认证。第14页，本讲稿共31页第八章第八章 信息系统的管理信息系统的管理 信息资源中的信息、信息技术、信息人员等要素不能单独信息资源中的信息、信息技术、信息人员等要素不能单独发挥作用，必须按一定的原则加以配置构成一个有机的整体发挥作用，必须按一定的原则加以配置构成一个有机的整体信息系统，才能显现其价值。信息系统是以信息基础信息系统，才能显现其价值。信息系统是以信息基础设施为基本运行环境，由人、信息技术设备、运行规程设施为基本运行环境，由人、信息技术设备

24、、运行规程组成，目的是及时、正确地收集、加工、存储、传递和组成，目的是及时、正确地收集、加工、存储、传递和提供信息，实现组织中各项活动的管理、调节和控制。提供信息，实现组织中各项活动的管理、调节和控制。人人类类开开发发信息系信息系统统的目的，就是的目的，就是为为了了实现组织实现组织的目的目标标，对对整个整个组织组织的信息的信息资资源源进进行行综综合管理、合理配置和有效利合管理、合理配置和有效利用，用，进进而提高管理决策的水平。而提高管理决策的水平。第15页，本讲稿共31页信息系统的管理信息系统的管理 一一.信息系统与信息资源的关系信息系统与信息资源的关系 信息信息资资源管理是源管理是对对包括信

25、息、信息技包括信息、信息技术术、信息、信息设备设备和信和信息人息人员员等在内的信息等在内的信息资资源的管理，其源的管理，其实质实质是以信息是以信息资资源和信源和信息活息活动为对动为对象的管理。象的管理。人类开发信息系统的目的，是为了更好地利用信息人类开发信息系统的目的，是为了更好地利用信息资源，提高管理决策的水平。管理决策者借助于信息系资源，提高管理决策的水平。管理决策者借助于信息系统获得各级管理决策必需的信息，又通过信息系统对管统获得各级管理决策必需的信息，又通过信息系统对管理对象进行控制，实施决策。因此信息系统是开发和利理对象进行控制，实施决策。因此信息系统是开发和利用信息资源的有效的系统

26、化手段，是实现信息资源管理用信息资源的有效的系统化手段，是实现信息资源管理的表现形式。的表现形式。第16页，本讲稿共31页信息系统的管理信息系统的管理 二二.信息系统开发管理信息系统开发管理 信息系信息系统统的建的建设设是一是一项项复复杂杂的系的系统统工程，工程，涉及面广，技涉及面广，技术难术难度大，需要投入大量的人力、度大，需要投入大量的人力、物力、物力、财财力、力、时间时间，对对整个整个组织组织的改革与的改革与发发展展会会产产生很大的影响。生很大的影响。对对信息系信息系统统的整个建的整个建设过设过程按照系程按照系统统的的观观点使用点使用项项目管理的思想、方法目管理的思想、方法进进行控制，可

27、以以行控制，可以以较较小的投入，得到小的投入，得到较较好的效好的效果。果。第17页，本讲稿共31页信息系统的管理信息系统的管理 1 1.项目管理项目管理 项目管理是保证整个项目顺利、高效的完成的一种过程项目管理是保证整个项目顺利、高效的完成的一种过程管理技术，贯穿于系统开发的整个生命周期。管理技术，贯穿于系统开发的整个生命周期。信息系信息系统统开开发发的的项项目管理分目管理分为为两个阶段：两个阶段：立立项项与可行性与可行性论证阶论证阶段、段、项项目目实实施管理施管理阶阶段。段。保保证证信息系信息系统统开开发发工作的工作的顺顺利开始，首先要建立一个利开始，首先要建立一个项项目目组组。项项目目组组

28、可以由可以由负责项负责项目管理和开目管理和开发发的不同方面的的不同方面的人人员组员组成，由成，由项项目目组长组长或或项项目目经经理理领导领导。可以根据。可以根据项项目目规规模、复模、复杂杂程度和周期程度和周期长长短来确定短来确定过过程管理小程管理小组组、项项目支持目支持小小组组、质质量保量保证证小小组组、系、系统统工程小工程小组组、系、系统统开开发发与与测试测试小小组组、系、系统统集成与集成与测试测试小小组组等。等。第18页，本讲稿共31页信息系统的管理信息系统的管理 2.2.文档管理文档管理 信息系信息系统统的文档是描述系的文档是描述系统统从无到有整个从无到有整个发发展与演展与演变过变过程程

29、各个状各个状态态的文字的文字资资料。信息系料。信息系统实际统实际上由系上由系统实统实体及与此体及与此对应对应的文档两大部分的文档两大部分组组成，系成，系统统的开的开发发要以文档的描述要以文档的描述为为依据，系依据，系统实统实体的运行与体的运行与维护维护更需要文档来支持。更需要文档来支持。为为了保了保证证系系统统建建设设的的质质量必量必须须充分重充分重视视文档的地位和作用，并在信息系文档的地位和作用，并在信息系统统建建设设中中强强化文档的管理。化文档的管理。文档管理文档管理应应从以下几个方面着手从以下几个方面着手进进行行：文档文档标标准化、准化、规规范化范化；维护维护文档的一致性文档的一致性；维

30、维持文档的可追踪性持文档的可追踪性；文档管文档管理的制度化理的制度化。第19页，本讲稿共31页信息系统的管理信息系统的管理 三三.信息系统的运行管理信息系统的运行管理 运行管理工作是对信息系统的运行进行控制，记录运行管理工作是对信息系统的运行进行控制，记录其运行状态，进行必要的修改与扩充，使信息系统在其其运行状态，进行必要的修改与扩充，使信息系统在其生命周期内保持良好的可运行状态，保证其功能的发挥，生命周期内保持良好的可运行状态，保证其功能的发挥，真正符合管理决策的需要，为管理决策者服务。真正符合管理决策的需要，为管理决策者服务。信息系统的运行管理工作是系统研制工作的继续，信息系统的运行管理工

31、作是系统研制工作的继续，主要包括日常运行的管理、运行情况的记录以及对系统主要包括日常运行的管理、运行情况的记录以及对系统的运行情况进行检查与评价。做好运行管理工作，信息的运行情况进行检查与评价。做好运行管理工作，信息系统就能够如预期的那样，为管理工作提供所需的信息。系统就能够如预期的那样，为管理工作提供所需的信息。反之，系统就不能如预期的那样发挥作用，而且系统本反之，系统就不能如预期的那样发挥作用，而且系统本身也会崩溃而无法使用。身也会崩溃而无法使用。第20页，本讲稿共31页信息系统的管理信息系统的管理 1.1.信息系统运行的组织信息系统运行的组织 有效地组织好系统运行对提高管理信息系统的运行

32、有效地组织好系统运行对提高管理信息系统的运行效率是十分重要的。系统运行组织的建立是与信息系统效率是十分重要的。系统运行组织的建立是与信息系统在企业中的地位分不开的。目前我国各企业、组织中负在企业中的地位分不开的。目前我国各企业、组织中负责系统运行的大多是信息中心、计算中心、信息处等信责系统运行的大多是信息中心、计算中心、信息处等信息管理职能部门。息管理职能部门。为了进一步加强对信息资源的管理和利用，目前许多大为了进一步加强对信息资源的管理和利用，目前许多大的企业或集团的信息中心主任往往由组织中的高层领导直接的企业或集团的信息中心主任往往由组织中的高层领导直接担任。人员配置包括：系统主管人员；数

33、据收集人员；数据担任。人员配置包括：系统主管人员；数据收集人员；数据校验人员（或数据控制人员）；录入人员；系统操作人员；校验人员（或数据控制人员）；录入人员；系统操作人员；程序员等。程序员等。第21页，本讲稿共31页信息系统的管理信息系统的管理 2.2.信息系统的评价信息系统的评价 信息系统建成并运行一段时间后，要对其进行技术性能信息系统建成并运行一段时间后，要对其进行技术性能及经济效益等方面的评价。评价的目的是检查系统是否达到及经济效益等方面的评价。评价的目的是检查系统是否达到预期的目标，技术性能是否达到设计要求，系统的各种资源预期的目标，技术性能是否达到设计要求，系统的各种资源是否得到充分

34、利用，经济效益是否理想，指出系统的长处与是否得到充分利用，经济效益是否理想，指出系统的长处与不足，为以后的改进与扩展提出意见。不足，为以后的改进与扩展提出意见。对对信息系信息系统统的的评评价可以从定性和定量两个方面价可以从定性和定量两个方面进进行，行，目前一般采用多指目前一般采用多指标评标评价体系，价体系，这这种方法先提出信息系种方法先提出信息系统统的若干的若干评评价指价指标标，然后，然后对对各指各指标评标评出表示系出表示系统优统优劣程度的劣程度的值值，最后用加，最后用加权权等方法将各指等方法将各指标进标进行行综综合。合。第22页，本讲稿共31页信息系统的管理信息系统的管理 四四.信息系统的审

35、计信息系统的审计 信息系信息系统审计统审计是指按一定的是指按一定的标标准准（开开发发的成本、的成本、进进度度和和绩绩效效计计划等划等）对对信息系信息系统项统项目的目的进进展和表展和表现进现进行比行比较较，以，以发现发现存在的存在的问题问题，从而，从而为为系系统统管理中的各种决策提供依据。管理中的各种决策提供依据。信息系信息系统审计应该统审计应该尽量做到：能尽量做到：能够够充分地分析和考充分地分析和考虑虑那那些所有与系些所有与系统统有关的事有关的事实实（或数据），全面、系（或数据），全面、系统统、客、客观观地地评评价系价系统统。系。系统审计统审计的的结结果必果必须让须让系系统统的主管机构（系的主

36、管机构（系统发统发包包单单位）和所有系位）和所有系统统参与者都感到具有可信性。因此，信息参与者都感到具有可信性。因此，信息系系统审计统审计必必须须与系与系统统本身一本身一样样小心小心谨谨慎地慎地进进行全行全过过程控制。程控制。第23页，本讲稿共31页信息系统的管理信息系统的管理 1.1.信息系统审计的对象信息系统审计的对象 主要包括以下四个方面：主要包括以下四个方面：对对信息系信息系统统的的经济经济性性审计审计：对对信息系信息系统统的可靠性的可靠性审计审计；对对信息系信息系统统的效率性的效率性审计审计；对对信息系信息系统统效益性的效益性的审计审计；第24页，本讲稿共31页信息系统的管理信息系统

37、的管理 2.2.信息系统审计的范围信息系统审计的范围 信息系统项目审计不同于一般的财务审计。财务审计信息系统项目审计不同于一般的财务审计。财务审计的范围有限，它主要集中在机构资产的使用和维持保值方的范围有限，它主要集中在机构资产的使用和维持保值方面。而信息系统项目审计的范围却几乎涉及到了系统的所面。而信息系统项目审计的范围却几乎涉及到了系统的所有方面。有方面。信息系信息系统项统项目目审计审计可能会涉及系可能会涉及系统统开开发发管理的各个方面，管理的各个方面，但它不是但它不是传统传统的管理的管理审计审计。管理管理审计审计主要在于确保某一机构主要在于确保某一机构的管理系的管理系统统到位并运行正常。

38、而到位并运行正常。而项项目目审计则审计则超出了此范超出了此范围围，它将它将项项目的目的财务财务、管理、技、管理、技术术、人、人员员等方面作等方面作为为一个整体，一个整体，对对于具体于具体发发包机构的具体包机构的具体项项目，目，进进行具体的分析研究。行具体的分析研究。第25页，本讲稿共31页信息系统的管理信息系统的管理 3.3.信息系统审计的方法信息系统审计的方法 信息系信息系统审计统审计的方法的方法应该应该尽量做到：能尽量做到：能够够充分地分充分地分析和考析和考虑虑那些所有与系那些所有与系统统有关的事有关的事实实（或数据），全面、（或数据），全面、系系统统、客、客观观地地评评价系价系统统。系。

39、系统审计统审计的的结结果必果必须让须让系系统统的的主管机构（系主管机构（系统发统发包包单单位）和所有系位）和所有系统统参与者都感到具参与者都感到具有可信性。因此，信息系有可信性。因此，信息系统审计统审计必必须须与系与系统统本身一本身一样样小小心心谨谨慎地慎地进进行全行全过过程控制。程控制。信息系信息系统审计统审计的方法主要有三种：的方法主要有三种：检验检验、评评估、咨估、咨询询。第26页，本讲稿共31页信息系统的管理信息系统的管理 五五.信息系统的项目控制信息系统的项目控制 随着信息技术的高度发展，管理信息系统的规模越来随着信息技术的高度发展，管理信息系统的规模越来越大，内容也越来越复杂，由于

40、信息系统项目的风险性和越大，内容也越来越复杂，由于信息系统项目的风险性和艰巨性，在项目开发与运行过程中实行有效的控制，是实艰巨性，在项目开发与运行过程中实行有效的控制，是实现系统目标的基本前提和保证。控制的目的是使系统按预现系统目标的基本前提和保证。控制的目的是使系统按预定的目标运行和实现。考虑到管理信息系统项目的系统性、定的目标运行和实现。考虑到管理信息系统项目的系统性、开放性、协调性和复杂性，在对项目进行控制管理时应坚开放性、协调性和复杂性，在对项目进行控制管理时应坚持以系统科学理论为指导的思想。持以系统科学理论为指导的思想。第27页，本讲稿共31页信息系统的管理信息系统的管理 1.项目控

41、制的原理项目控制的原理 信息系统项目控制，是指在项目按预先制定的计划朝信息系统项目控制，是指在项目按预先制定的计划朝着最终目标前进的过程中，由于前期系统分析阶段工作的着最终目标前进的过程中，由于前期系统分析阶段工作的不确定性和系统实施过程中各种因素的干扰，项目的开发不确定性和系统实施过程中各种因素的干扰，项目的开发和运行会偏离预期的轨道。为此，项目管理者根据项目跟和运行会偏离预期的轨道。为此，项目管理者根据项目跟踪所提供的信息，对比原计划（或既定目标）找出偏差，踪所提供的信息，对比原计划（或既定目标）找出偏差，分析原因，研究纠偏对策，实施纠偏措施的全过程。所以，分析原因，研究纠偏对策，实施纠偏

42、措施的全过程。所以，项目控制过程是一种特定的、有选择的、能动的动态过程。项目控制过程是一种特定的、有选择的、能动的动态过程。第28页，本讲稿共31页信息系统的管理信息系统的管理 2.项目控制的方法项目控制的方法 由于信息系由于信息系统项统项目的目的规规模和复模和复杂杂程度不断上升，人程度不断上升，人员组织庞员组织庞大、大、工作性工作性质质繁繁杂杂、资资金密集、技金密集、技术术密集，要在密集，要在预预定的定的资资源源约约束条件下束条件下实现项实现项目的目目的目标标和和计计划，主要取决于划，主要取决于对项对项目信息和活目信息和活动实现动实现有效的有效的跟踪和控制方法。信息系跟踪和控制方法。信息系统

43、项统项目技目技术术含量含量较较高，高，实实施施过过程复程复杂杂，在，在对该项对该项目目进进行控制行控制时应时应充分利用信息技充分利用信息技术术，开，开发发出与出与项项目本身的目本身的进进展密切相关的展密切相关的项项目信息管理与控制系目信息管理与控制系统统。在信息系在信息系统项统项目的目目的目标标、规规模、任模、任务务、进进度等明确以后，就度等明确以后，就应该应该准准备项备项目控制所需的所有文件。目控制所需的所有文件。同时，同时，项项目目实实施期施期间间的会的会议议很很多，但有一些是与多，但有一些是与项项目控制有关的重要会目控制有关的重要会议议，控制会，控制会议议的主要内容的主要内容是是检查检查

44、和和评评估上一估上一阶阶段的工作，分析段的工作，分析问题问题，寻寻找找对对策，并明确下一策，并明确下一阶阶段的主要任段的主要任务务和目和目标标。第29页，本讲稿共31页信息系统的管理信息系统的管理 3.3.项目控制系统的设计项目控制系统的设计 信息系统项目控制的目的是保证项目开发按计划进行。因信息系统项目控制的目的是保证项目开发按计划进行。因此控制关心的是当前系统的发展现状，重点在查找和鉴定开发此控制关心的是当前系统的发展现状，重点在查找和鉴定开发相对于计划的偏离，并采取措施确保计划的实现。相对于计划的偏离，并采取措施确保计划的实现。要实现项目的有效控制，控制系统至少应包括以下五个要素：要实现

45、项目的有效控制，控制系统至少应包括以下五个要素：建立系统（目标）标准；建立系统（目标）标准；获得最新情况；获得最新情况；偏差分析、评价；偏差分析、评价；采取纠偏措施；采取纠偏措施；通知有关部门。通知有关部门。第30页，本讲稿共31页信息系统的管理信息系统的管理 五五.信息系统的项目控制信息系统的项目控制 随着信息技术的高度发展，管理信息系统的规模越来随着信息技术的高度发展，管理信息系统的规模越来越大，内容也越来越复杂，由于信息系统项目的风险性和越大，内容也越来越复杂，由于信息系统项目的风险性和艰巨性，在项目开发与运行过程中实行有效的控制，是实艰巨性，在项目开发与运行过程中实行有效的控制，是实现系统目标的基本前提和保证。控制的目的是使系统按预现系统目标的基本前提和保证。控制的目的是使系统按预定的目标运行和实现。考虑到管理信息系统项目的系统性、定的目标运行和实现。考虑到管理信息系统项目的系统性、开放性、协调性和复杂性，在对项目进行控制管理时应坚开放性、协调性和复杂性，在对项目进行控制管理时应坚持以系统科学理论为指导的思想。持以系统科学理论为指导的思想。第31页，本讲稿共31页