面临的挑战是相同的,产品管理同样面临怎样保证产品适应市场的变化、客户的需求,同时还要在长期的应用中保持稳定。要达到这样的要求,从本质上讲,规划是根本,但从日常管理上讲,完备的配置管理是保障。
软件配置管理的目的是在软件系统的整个生存周期过程中建立和维护软件项目产品的完整性和一致性。具体讲,涉及三个方面:版本管理、变更管理和过程支持,有效地版本管理要能够的标示系统的变化,变化要可追溯;变更管理要记录每次变化的原因,或是Bug,或是需求,建立变更和系统版本之间的联系,保证系统的变更是受控的。
3、 信息系统建设中应规划风险控制支持功能
企业在引入信息系统时,应将信息系统作为一个风险源,对业务流程规划时,应考虑其影响,根据效益原则进行风险控制。在建设信息系统时,需明确提出建立必要的风险控制措施,或从制度、或从信息系统自身。例如:系统对外报出的数据,在报出前完成和原始数据的核对;自动处理的业务,阶段性的进行核查。相应的信息系统要提供合适的功能支持完成此类工作。
有了这样的手段,在各部门岗位中再辅以恰当的岗位职责认定,业务岗位工作职责中纳入风险控制要求,业务部门对业务执行结果负责。信息系统建设和业务部门日常工作之间建立责任推动机制,相互配合,相互促进,实现信息系统风险控制工作的良性发展。
4、 建立企业信息安全审计制度
上面讨论的方法仅仅是一些针对性的办法、措施,上升到整个企业的高度,依然无法有效地保证企业的信息安全。因为这些办法都体现为部门的行为,行为的选择具有主观性、灵活性的特征,只有通过企业的制度建设来约束行为,才能够保证行为方向的一致和有效,因此企业的信息安全保障需要通过建立一套有效的控制制度来实现。
在制度建设上,企业信息系统审计制度是个比较好的选择,其中就包括了信息安全的审计。企业可在适当的时机,逐步引入审计制度,通过第三方或内部独立的审计机构对企业的信息安全工作周期性的进行审计,出具审计报告,形成对信息安全的客观评价,根据评价来指导、监督信息安全的建设。
这个方面业界已经有了成熟的信息管理审计的标准和方法,影响力比较大主要有COBIT和ISO17799。COBIT是信息系统审计与控制协会公布的标准,全称叫“Control Objectives for Information and Related Technology”。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。ISO17799的前身是英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,目的是帮助银行在组织中建立一个初步的、易于实施和维护的安全管理框架。后来BS7799-1已被国际标准化组织采纳成为ISO17799。该标准包含100多个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这10个方面分别是:方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合。
这些相关标准对系统安全管理分析得比较透彻。个人观点,全面引入标准在企业中实施,难度非常大,可行的办法是:参照标准,基于企业现状,又针对性的选择加强管理的措施,由点及面,逐步推行应用。大家有兴趣的话,可以学习一下。
总结:
信息化是企业改革的一把利器,可以制敌,同样也可伤己。企业在引入信息系统同时,迫切需要加强自身能力的建设,唯此才可达到信息化建设的目的——推动企业发展。转贴于:http://www.leadge.com