信息系统应用中的风险控制

信息系统应中风险控制

引言： 事IT行业年早期作开发工作做ERP实施负责完成型企业ERP项目目前转入甲方单位做项目理工作长期软件项目工作历中接触客户中少表现出信息系统风险错误认识存误解企业普通员工企业领导 信息系统风险系统应伴生风险永远客观存样防范风险样控制风险企业信息化建设程中必须应问题文中结合事IT行业历验面实施信息系统已建设信息系统企业信息系统风险理中问题提出观点相应解决办法 正文： 前行业企业部项信息化工作开展火荼ERP电子商务CRM建设工作点面业务运营企业理单应综合治理企业部层面逐步展开系统建设已初具规模企业信息化框架逐步确立信息化企业营带明显济效益企业理改革提供力支持 事具两面性企业收获信息化成果时应该信息化带巨风险应该类风险安排适控制措施工作历中数客户特IT建设刚刚起步企业风险问题表现出程度漠视者错误认识纳种错误观点： 1认信息系统应该达安全否开发商水高 2求系统提供商承诺软件系统功差错 3求系统提供商承担系统错误造成损失影响 信息系统风险分析： 面提种观点根认信息系统做安全实际信息系统风险问题错误认识 信息系统身具脆弱性信息系统赖硬件信息系统应IT技术（软件方面）信息系统建设程存着量风险素类风险客观长期存形风险（设备环境）形风险（行道德） 面角度分析信息系统常见风险素： 1系统硬件环境风险 信息系统运赖特定硬件环境例服务器网络等等环境赖量硬件设备设备身存定障率类障发生时必然影响信息系统正常运行类障较常见数理解 2信息系统技术带风险 信息系统建设总利定技术手段进行实现例DotNETJ2EEVB数库应服务器等技术手段然商业化身信息产品受制信息系统建设客观素然根出现错误产品厂商推广中强调安全性性更表现种营销宣传根购买合中进行明确承诺（供应商会合中采责限制条款样风险进行规避）技术手段构建信息系统然会受风险影响3信息系统建设程中隐藏风险 信息系统建设程建采购必然历需求调研分析系统规划设计系统开发测试系统实施等程程中存导致日系统出现错误造成损失风险例： 需求调研阶段技术员需求认识局限性造成未系统局限性日系统应程中种局限性条件满足时系统产生影响 系统开发测试阶段项功技术员编写程序代码实现项工作繁琐复杂非机器错误绝避免开发质量需测试工作保证测试工作模拟未方式验证系统系统进行全方位验证系统出错性永远存外作项工作参者责心样道德风险视 4信息系统维护程中风险 信息系统终价值通发挥出系统中操作员操作造成错误系统维护中维护员力验欠缺系统引入新错误导致损失发生风险 5信息系统应集中动化程度提高风险扩 信息系统年发展初单机单点应演变现网络化应数集中逻辑集中应方式早期简单记录功目前动化处理技术发展方企业理变革求集中降低信息化建设成增强系统灵活性动化降低企业运营成否认风险相应增错误会影响整企业正常营 6网络风险 信息技术发展天网络伟技术创新目前企业应系统基网络进行构建部办公网电子商务财务系统网结算网络成保险公司提升服务质量扩宽营销渠道重手段网络量应带量风险例黑客病毒等等 综合面分析信息系统建设程程相关环境素中存着量导致损失风险素风险信息系统建设身特点决定客观讲风险完全消信息系统风险科学态度应样降低风险发生概率？样控制风险带损失？果损失发生样偿付减损失？三方面保险领域中风险理思路致风险理三基面：风险防范损失控制风险融资 风险防范策略方法： 通面分析信息系统风险客观长期存科学方法建立效风险防范损失控制风险融资手段中信息系统风险进行融资手段限仅针硬件设备损失风险例购买保险设备托等等作探讨面重点企业身工作建设角度讨信息系统风险防范损失控制方法 1加强信息系统建设程风险理 企业信息化系统建设通采购买入企业作甲方首先负责需动承担持规划协调监控等关键职责相应信息系统风险理措施应首先身进行强化否项目终失败企业供应商处补偿两败结果前面分析信息系统建设程身存系列风险开发信息系统程决定系统风险关键素加强理措施建立活动评审审计 系统建设立项终投入包含量程活动质量监控角度需求整理项目采购项目计划系统规划应测试客户培训六项工作理重心信息系统身特殊性传统实物产品度量性差程表现行思想活动建立工作程文档实属必构成进行质量理控制风险基础 2加强信息系统存续阶段风险控制 信息系统犹辆汽车程中需进行日常保养（纠错性维护）必时需进行改造（改进性维护）便够适应业务发展求 信息系统维护工作挑战性工作难点某错误隐蔽难改样长期变化环境中样保持系统稳定工作中时常听IT员抱怨某某系统改业务员抱怨系统改正老问题带新问题者修正问题出现成维护工作常见病 专业IT公司长期事软件产品理工作IT公司软件产品理企业维护信息系统工作面挑战相产品理样面样保证产品适应市场变化客户需求时长期应中保持稳定达样求质讲规划根日常理讲完备配置理保障 软件配置理目软件系统整生存周期程中建立维护软件项目产品完整性致性具体讲涉三方面：版理变更理程支持效版理够标示系统变化变化追溯变更理记录次变化原Bug需求建立变更系统版间联系保证系统变更受控 3信息系统建设中应规划风险控制支持功 企业引入信息系统时应信息系统作风险源业务流程规划时应考虑影响根效益原进行风险控制建设信息系统时需明确提出建立必风险控制措施制度信息系统身例：系统外报出数报出前完成原始数核动处理业务阶段性进行核查相应信息系统提供合适功支持完成类工作 样手段部门岗位中辅恰岗位职责认定业务岗位工作职责中纳入风险控制求业务部门业务执行结果负责信息系统建设业务部门日常工作间建立责推动机制相互配合相互促进实现信息系统风险控制工作良性发展 4建立企业信息安全审计制度 面讨方法仅仅针性办法措施升整企业高度然法效保证企业信息安全办法体现部门行行选择具观性灵活性特征通企业制度建设约束行够保证行方致效企业信息安全保障需通建立套效控制制度实现 制度建设企业信息系统审计制度较选择中包括信息安全审计企业适时机逐步引入审计制度通第三方部独立审计机构企业信息安全工作周期性进行审计出具审计报告形成信息安全客观评价根评价指导监督信息安全建设 方面业界已成熟信息理审计标准方法影响力较COBITISO17799COBIT信息系统审计控制协会公布标准全称ControlObjectivesforInformationandRelatedTechnologyCOBITIT程IT资源信息企业策略目标联系起形成三维体系结构ISO17799前身英国国家标准局制定BS77991信息安全理实践规范BS77992信息安全理体系规范目帮助银行组织中建立初步易实施维护安全理框架BS77991已国际标准化组织采纳成ISO17799该标准包含100安全控制措施帮助组织识运作程中信息安全影响元素100控制措施分成10方面成组织实施信息安全理实指南10方面分：方针安全组织信息分类控制事安全物理环境安全通信运营安全访问控制系统开发维护商务持续运营法律符合 相关标准系统安全理分析较透彻观点全面引入标准企业中实施难度非常行办法：参标准基企业现状针性选择加强理措施点面逐步推行应家兴趣话学总结： 信息化企业改革利器制敌样伤企业引入信息系统时迫切需加强身力建设唯达信息化建设目——推动企业发展
 
文档香网(httpswwwxiangdangnet)户传

《香当网》用户分享的内容，不代表《香当网》观点或立场，请自行判断内容的真实性和可靠性！
该内容是文档的文本内容，更好的格式请下载文档