12、信息技术管理

1、第十二章信息技术管理第一节企业中信息需求一、信息需求概论数据是指根据经验、观察、 实验、 计算机内部程序以及一组假设条件所收集到事实集合体。数据包含数字、词语以及映像，尤其是一组变量测度或观察结果。一般认为，数据是形成信息和知识最底层来源。而信息是经过处理以后数据，对于使用者来说更有意义。在现实商业社会和企业管理概念中，信息被视作一种很有价值资源，是追求竞争优势关键工具。信息技术和信息系统主要作用是想管理层提供所需合适种类和数量信息，以帮助管理者选择、执行和控制经营战略。因此，信息战略要和商业战略相匹配。信息可用性、及时性以及质量已成为企业成功重要因素。例如，下列业务活动对信息具有高度依赖性：

2、1. 生产者在特定市场开发新产品之前，需要运用信息分析目标客户支出行为、偏好以及对产品预期。2. 保险经纪人只有在取得了投保人详细风险评估资料，以及承保人愿意为此风险所开出价格条件下，才能报出具有竞争力保费。、信息层次企业需要不同类型信息系统来为一定范围内不同职能领域提供不同层次信息。大企业需要一个覆盖面很广系统来分析信息。战略规划、管理控制和运营控制等信息层级就类似于决策层次结构。（一）战略规划战略规划来源于信息系统，与企业长期发展方向相关。高层管理人员有责任考虑各种影响其战略规划因素，包括明确企业所面临挑战、确定信息技术解决方案，以及为确认和获取所需资源而设计行动计划。在制定为期3-5 年

3、战略规划时，企业必须确保战略规划与企业总体目标相一致。这些系统所提供信息包括总体盈利能力、不同业务单位盈利能力、未来市场前景、筹备新资金可能性和成本以及总现金需求。这些系统主要功能是确保为高层管理人员及时提供战略规划所需各种相关信息。（ 二 ） 管理控制管理控制系统能够帮助中层管理人员进行监督和控制。管理控制系统产生信息包括生产效率、预算控制或方差分析报告、特定部门预测和工作结果，以及短期采购需求。管理控制系统检测一切是否顺利。（ 三 ） 运营控制。运营系统针对运营常规问题进行控制，并对交易进行处理和追踪。这些信息能够帮助运营管理人员追踪特定日常经营活动和交易。、信息质量为了提高信息用途和价值

4、，我们必须关注信息质量。高质量信息关键要素具有以下特征:1. 完整性。信息必须包含所有应包括内容，例如，相关可作比较外部数据或不同时期可比较信息。2. 准确性。应该对数据进行合计，四舍五入程度应该是适当，不得有打字错误，各个项目应该按适当类别划分，应该指明与不确定信息相关假设。3. 相关性。应该删除作决策时无需考虑信息，无论其是多么" 有趣 " 。只有对决策有帮助信息才应保留，以便使用者更容易地作出有效定案。4. 针对使用者需要。应当始终记住使用者需要，例如，高级经理需要可能是摘要，而初级管理者需要可能是详情。5. 权威性。信息来源必须是可靠。6. 及时性。在需要时，可及时

5、获得信息。7. 易于使用。信息应该明确清晰，不会过分冗长，而且发送时采用了正确媒介和交流渠道，减少信息在发送过程中遗失。8. 成本效益。获得该信息成本应该不超过可从该信息中获得益处。信息提供者应提供有效信息收集和分析方法去处理信息，并以简单易懂方式表达信息，使用者们无需费时来琢磨信息含义。第二节信息技术在企业中战略应用、信息战略类型与信息相关战略包括: 信息系统、信息技术、信息管理。( 一 ) 信息系统战略信息系统战略确定了一个企业长期信息要求，并且对可能存在不同信息技术提供了一把保护伞。信息系统战略应遵循企业经营战略，并且必须确保在经营战略实施( 如财务、非财务、竞争和人力资源方面战略实施)

6、 过程中，可获得、保存、共享和使用恰当信息。信息系统包括所有涉及信息收集、储存、 产生和分配系统和程序。信息系统可分为七类: 事务处理系统、管理信息系统、企业资源计划系统、战略性企业管理、决策支持系统、经理信息系统和专家系统。1. 事务处理系统事务处理系统执行和处理常规事务。它收集与商业交易相关源数据，如顾客订单、销售、采购和库存变动等相关数据。它会定期对这些信息进行报告。事务处理报告对控制和审计而言是很重要，但是只能提供很少量管理决策信息。2. . 管理信息系统管理信息系统将主要来自内部数据转化成综合性信息，如摘要报告和异常报告。这些信息使管理层能对与自己所负责活动领域有关计划、指导和控制及

7、时作出有效决策。它从事务处理系统获得数据并生成报告。这些报告往往是标准报告，但是其中信息通常需要再进行其他处理。在将信息从标准报告中摘录出来，并转移到电子表中供管理层进行处理和分析过程中，信息技术是十分常用。在计划层面上，管理信息系统并不是特别有用。3. 企业资源计划系统企业资源计划系统有助于整合数据流和访问与整个公司范围活动有关信息。企业资源计划系统通常记录用于会计处理事务数据、操作型数据和客户及供应商数据，同时可通过数据仓库获得这些数据，并在此基础上生成自定义报告。系统包括财务预测、生产能力、调整资源调度等方面功能，能配合企业实现存货全面管理、质量管理和生产资源调度管理及辅助决策。企业资源

8、计划系统是企业进行生产管理及决策平台工具。换言之，企业资源计划系统是基于以" 企业整体" 系统化管理为依据，为企业合理调配资源，最大化地创造价值，实现企业内部决策和管理应用信息系统平台。企业资源计划系统中数据可用于更新平衡记分卡系统中业绩指标，也可用于作业成本核算、股东价值分析、战略计划、客户关系管理和供应链管理。企业资源计划系统发展有三个方向:(1)面向供应商，满足供应链需要; (2) 面向客户，具有客户关系管理功能; (3) 面向管理层，通过战略性企业管理系统 (如下文第4 点所述 )，来满足管理层信息需求和决策需要。4. 战略性企业管理战略性企业管理是一种为战略管理过

9、程提供所需支持信息系统。信息技术是以储存在数据仓库数据为基础，这些数据同时又能被应用于一系列分析工具中，如股东价值管理、作业成本核算和平衡记分卡系统。战略性企业管理可成为企业业绩重要驱动力，因为它能使企业各个层次决策过程变得更快更完善。5. 决策支持系统决策支持系统包含了一些数据分析模式，这些分析模式能使管理层模拟并提出" 如果发生了某事，应该怎么办 ?" 问题，从而使管理层在决策过程中能考虑到不同选项并获得对决策有帮助信息。决策支持系统可被包含在一张电子表或复杂软件包中。一个较简单决策支持系统例子可以是一份包括戚本、销量和利润数据在内电子表，管理层可以在对定价和产品盈利性

10、决策过程中修改售价以观察其对销量和利润影响。又例如，一份包含预期现金流、支持资本投资评估电子表是较复杂决策支持系统。在使用概率论过程中可采用现金流折现技术来生成不同资本成本下现金流预测报告。6. 经理信息系统经理信息系统是提供决策支持系统，它包含了对摘要数据（ 通常是图表格式） 访问，使高层经理能对与企业及其环境有关信息进行评价。经理信息系统采用" 向下钻取" 功能，从总计数据下移到更具体详细层次（ 如客户、产品、 业务单位） 。 通常也可以从外部来源（ 如公共数据库中） 获取信息。易于使用是经理信息系统一个重要特点，这样可以在无需对基础数据结构有深入了解情况下进行信息查询

11、。7. 专家系统专家系统储存从专家处获得与专门领域相关数据，并且将其保存在结构化格式或知识库中。专家系统为那些需要酌情判断问题提供解决方案。用户通过图表式用户界面来向系统提问，系统会要求提供更多信息。然后，专家系统采用各种规则作出决策。专家系统最佳实例是用于信用批准。根据提示，将邮编、电话号码、年龄和士作经历等信息输入系统，系统将这些信息与信用资料机构拥有机密数据进行比较，对申请者信用可靠性和信用额度分配自动作出判断。（ 二 ） 信息技术战略信息技术战略定义了满足企业信息需要所必需特定系统，包括硬件、软件、操作系统等。每个信息技术系统必须能够获取、处理、概括和报告必要信息。企业必须有信息技术战

12、略，其原因如下：（ 1）信息技术一般涉及高成本，而信息技术战略能对预算进行分配和控制； （ 2） 信息技术对企业成功至关重要，所以信息技术系统必须在任何时候都是可靠和可访问；（3）要形成和保持竞争优势，离不开信息技术，例如，要对目标客户进行营销，必须用到客户信息；（4）信息技术可降低成本，例如，使用电子邮件可降低邮费和电话费；（ 5）信息技术提供用于计划、决策和控制信息，有助于管理者进行企业管理。（ 三 ） 信息管理战略信息管理战略、涉及信息储存及访问方式。它会考虑中间接口文件或关系数据库使用方式、数据库创建和备份功能等等。该战略能确保将信息提供给用户，并且不会生成多余信息。总括而言，信息系统

13、战略重点关注各个信息业务单元，使它们能满足内部或外部信息用户需求。信息技术战略以供应信息为导向，它重点关注供应信息活动以及支持这些活动所需技术。信息管理战略在整个企业层次上以管理为导向。这三个战略会随着企业目标改变、新信息技术发展、软件硬件更新以及企业发展和多样化而变化。二、信息系统评价对信息进行收集、处理、分析和报告可能需要高额成本，而且必须注意要确保所获得信息价值要高于其戚本。信息成本可能包含计算机硬件和软件、实现成本（ 如项目小组戚本） 以及与新系统开发相关培训戚本等。与信息系统相关日常戚本包括工资、办公室设施费用、折旧费或租金、水电费、易耗品费用、融资费用等。要量化信息成本，企业应当估

14、计可能产生成本，并运用折现现金流量法、投资回收期法或投资回报率法等方法。在评价信息系统时，需要仔细进行成本效益分析。信息系统效益包括:1. 运用自动化系统提高生产能力和新技术所减少成本。自动化系统和新技术减少了手工处理和分析数据所需人力成本。2. 经过改进数据收集、存储和分析工具可能会带来以前不知道销售机会。这些工具包括数据挖掘软件，它能够发现以前没有注意到数据关系。3. 改善客户服务和提高产品/ 服务质量。计算机系统能够产生更加准确、及时信息。例如， 银行客户能够上网查询自己银行账户和投资组合而不必亲自前往银行。这能够提高客户满意度，从而带来竞争优势。4. 改进决策制定过程。完整、可靠、准确

15、、及时信息能够帮助企业决策者作出正确合理判断。信息能够帮助企业管理者进行准确预测，以更好地规划企业结构，进行融资，并取得长期成功。还可以评价现有项目和关键投资决策，特别是需要大投入资本支出项目。量化信息系统效益可能比量化戚本难，因为它要求管理层对以下方面进行判断: 市场增长、市场份额、竞争优势以及信息对销售和利润影响。三、信息和网络( 一 ) 互联网 互联网名字起源于一项技术，这项技术使得任何一台计算机都能够与其他达到配置标准计算机发生通信链接以发送和接收信息。互联网技术提供了将任务交由企业并进行自动化处理机会，而这项工作开展不需要很大成本。用户只需要简单地点击相应按钮、词语或屏幕图像就能够接

16、触和分享大部分以文本和图表形式表示及时信息。网址是互联网中点，创建人希望能够为搜索者提供信息，并期望从信息提供或交易中获利。互联网由计算机、网络服务器、通信线路和通信软件组成，可以让用户通过万维网(www) 在多台计算机之间 存 取 数 据 。 主 要 互 联 网 标 准 是 TCP/IP (Transmission control protocolllnternet protocol) 和 HTML(Hypertext mark-up language),TCP/I协议是通信软件标准，HTML编程语言可以在万维网(www)上建立数据间联系。网页浏览器是应用软件，它能够利用超文本及搜索功能在互

17、联网上邀游。最常见浏览器是微软Internet Explorer 和 Mozilla Firefox 。用户可以通过五联网服务提供商在互联网上进行浏览。据估计，全球约有数亿网民。除了网页浏览，电子邮件和聊天室是最受欢迎。( 二 ) 内部网和外部网除五联网外，大多数企业常利用内联网和外联网来传播信息。内联网就像一个迷你版互联网，可以让公司员工获得保存在服务器上电话簿、程序操作指南、参考资料等信息，用户操作界面与互联网类似。内部网需要利用网页浏览器、超文本、电子邮件软件和一个可用网络，实现对所有用户在内部网上' 快速数据传递。外联网是获得批准外部人员使用有效用户名和密码即可访问内联网，它主

18、要用于商业伙伴之间信息交换。外联网可用于共享库存情况、交货状态等。世密和系统间兼容性是应用外部网时必须面对难题。( 三 ) 电子商务电子商务是指通过互联网进行商品买卖和金融服务。企业可以利用互联网确立其公共关系，进行信息传递和扩展其零售渠道。1. 公共关系确立。网站可能包含有关该企业详细信息，包括其产品、职员、财务信息等，它们也可以被用来与其他企业进行交易。2. 信息传递。公司网页里有电子产品/ 服务手册文件，这些文件也可以被用户作为一个单独文件进行下载，许多公司在它们网站上储存PDF 格式非常详细报告。3. 扩展零售途径渠道。用户可以通过互联网进行商品预订和购买。电子商务主要好处是可以通过全

19、球市场使销售量出现潜在增长，相比其他销售方式减少了交易成本。然而，允许他人进入计算机系统并允许远程实时处理，需要额外控制，并要防范安全问题。四、数据收集方法大多数数据收集是计算机系统交易记录副产品。以零售业为例，最常利用数据收集方法方面有: 电子销售点、电子资金转账、互联网购物、电子数据交换和文件成像。1. 电子销售点(Electronic point of sale ,简称EPOS)。利用条形码扫描定价商品，并减少存货量，通过售价和戚本价确定利润额。在一个时间段（ 每天、 每周或每月） 内， 从这一系统信息输出包括现金收据、业务量 （ 客户数量、销售项目数量等）分析，产品盈利能力和对库存需求

20、重新排序。此外，EPOS可提供包括每天高峰销售时间、需要打折商品信息、商品销售地点信息，以及需要加大销售商品信息等。2. 电子资金转账（ EFTPOS。） 电子资金转账能使客户用借记卡或信用卡来为其购买商品付款。虽然银行对这种服务向零售商收取一定费用，但零售商避免了处理大量现金成本和风险。3. 互联网购物。在互联网上购买商品和服务，客户可以进行一些以前是由零售商自己员工来完成数据处理。客户作出自己选择，提供交付，细节，通过借记卡或信用卡进行支付。零售商会自动获得一份客户消费习惯详细记录，以重新进行其业务营销定位。网上购物实例有书籍、食品、服装、旅行等等。4. 电子数据交换（EDI） 。在企业间

21、产品销售中，通过电子数据交换在互联网上进行交易。供应商和顾客系统由一种共同数据格式相连，以便顾客购买订单能被自动转化成销售商销售订单。例如，在汽车制造业，车辆制造商向零件供应商投入订单，这些订单将被严格准时地交付。EDI 交易使零件供应商确认能够完成订单，零件供应商货物发送时间及地点可以通过物流公司进行条形码追踪。多个组分按预定顺序准确交付以满足车辆装配生产线要求。任何延误和组分无序都可以使装配线停止。供应商可通过EDI 自动生成发票，物流供应商生成追踪交付单，装配线生成货物收据，直至最终付款给供应商。5. 文件成像。企业内纸张使用减少能够提高效率和降低成本。文件影像处理系统可以通过扫描图像，

22、创建一个电子文件而对顾客定单进行处理，这能对顾客进行快速响应，提高服务水平，减少人力成本，可以更快地存取记录和减少丢失文件造成错误。五、管理信息数据结果（ 一 ） 定期报告向用户提供管理信息最常见形式是硬盘拷贝报告，由计算机生成报告列出交易（ 交易报告） 、 例外 （ 例外报告）或定期总结报告。然而，以图解方法通过屏幕显示主要绩效数据变得越来越普遍。1. 交易报告。该报告包含了在一段时间内所有交易详细清单如一天之内发生所有交易。2. 例外报告。是指根据提前确定规则找出例外。例如，按照未在付款到期日前支付债务人或长期拖欠一年多债务人来分类。3. 定期总结报告。这是指固定周期，通常每周或每月进行报

23、告，包括财务报告（ 如损益表、资产负债表、库存分析等） 和非财务报告（ 如生产率、客户投资组合报告） 。制定定期报告主要问题在于其内容主要是量化，关注短期表现，忽视外部因素，难以从提出数据中区分出主要绩效信息。（ 二 ） 简报管理层对利用与企业目有关信息来确定关键发展趋势需求越来越大。简报包含关键财务或非财务信息一系列月度单页总结，确定趋势，通常以图解形式简要说明预算变化和趋势。然而简报内容常常取决于信息提供者，而不是用户，因此，可能不包括主要绩效信息，其内容对公司不同部门、不同水平管理人员可能是不相关，或包括过时信息。在线信息产生满足了管理人员对信息特定需求，因为信息用户可以通过经理信息系统

24、获得最新整体信息，而不是依赖信息提供者标准报告格式。第三节信息系统设计与实施一、信息系统外包和管理（ 一 ） 信息系统外包 随着计算机影响力增强，其体积缩小，成本不断下降。公司拥有了自己计算机系统，并培训出自己内部信息技术专家。同时，有些企业把非核心部分和技术支持活动外包也越来越普遍，尤其是在提供信息技术服务方面，当把技术支持工作外包给相关专业公司后，企业可以集中精力于他们核心活动。信息技术外包范围广泛，可以是整个信息技术部门或具体内容，如计算机编程，维护和数据恢复是最普遍外包业务。外包服务商提供服务基础是以商定服务水平、时间和成本作为依据。信息技术外包主要优点是:1. 外包服务供应商对不断变

25、化技术有更好了解。2. 能进行最准确成本预测，因此可以进行更准确预算控制。3. 专业外包供应商服务能够提供更高标准和质量服务。4. 公司减轻了管理专业人员负担. 企业可按需要要求提供服务，不用长期在企业中保留信息技术部门。信息技术外包主要缺点是从长远战略考虑上来看，这种戚本节约是短期。当外包服务不再受公司控制时，就失去了灵活性，企业不能根据环境改变作出迅速反应。另外，外包增加了成本，很难更换外包服务商或回到一个企业内部供应。供应商在质量和服务方面也有可能存在一定风险，即外包服务商提供服务质量能否令人满意斗虽然在很多情况下企业与外包服务商会有一个服务级别协议，但要在协议上明确每一方义务是难以实现

26、。( 二 ) 设施管理设施管理(Facilities management) 是外包发展一种形式，通过外方来管理和运作公司信息技术服务一部分或全部。外部职员常通过设施管理安排，在客户允许前提下，外方可以在客户办公处应用其信息技术设备进行工作。企业通过竞标程序进行外包或设施管理，井遵循信息系统发展流程去实施。外包和设施管理风险可通过保留一小部分内部信息技术专家进行监督和与外包供应商一起工作而部分抵消。企业也可通过建立长期伙伴关系或进行合资来减小风险。另一种选择是签订一个外购合同，供应商一员留守于客户公司，成为客户和外包商之间一个永久联络员。这种做法有时被称为“植入”。二、信息技术共享服务中心共享

27、服务中心为企业内大部分或所有部门提供所需服务。信息技术共享服务中心独特属性是它们在企业内 提供共同信息技术服务，包括系统设计、数据处理、信息技术安全性、报告生成等。事实上，共享服务中心不 同于传统集中活动，其服务体现于顾客或用户指定要求。传统集中服务主要关注控制和集中需求，其中政策和 方向是由总部制定。共享服务中心性质是不同，它聚焦于质量和客户服务，并集中资源以实现共同目标。如同 外包服务，可与共享服务中心通过服务级别协议建立质量和服务要求。共享服务中心不同于外包，是因为在外包中，供应商和客户之间是被割裂，而共享服务中心信息技术服务 则保留在企业内部。三、信息系统开发框架( 一 ) 信息系统项

28、目管理在商业持续变化和新兴信息技术大环境下，企业常常需要改善或改变。然而，信息系统开发很大风险在于所开发系统过时，不能满足信息用户需求，或者超出成本预算。因此，对系统开发进行控制是非常重要，信息系统项目管理重要环节包括:(1) 项目计划和定义；(2) 管理支持；(3) 成立项目小组: 决定指导委员会、项目委员会和项目经理作用和责任；(4) 资源规划和分配；(5) 质量控制和进展监督；( 6)风险管理( 风险识别、评估和管理) ； (7) 系统设计和审批；(8) 系统测试和执行；(9) 用户参与使用和介入；(10) 沟通与协调；(11) 用户教育和培训。( 二 ) 信息系统设计和控制设计信息系统

29、一种方法是利用系统开发周期，这包括:1. 可行性研究。通过辨认当前问题确定系统需求和目标，从技术上，对可操作性和经济可行性提出解决方案。应当清楚新系统目标、交付使用情况，以及成本和完成时间。2. 系统分析。通过对问题进行有条不紊调查和确定，有必要对系统进行规范，通过更多信息对替代方法进行排序，并在内部和外包供应商之间作出选择。3. 系统设计。一个可行设计包括源数据、输入布局、文件结构与其他系统接口等。许多企业越来越多地应用计算机辅助软件工程工具来进行系统分析和设计。现阶段，有关数据安全性和授权水平需要制定相应规则，以进行系统测试。在实施之前，必须有系统开发程序员、用户和内部审计员进行全面系统测

30、试。4. 执行阶段。使用项目管理技术，从现有系统硬件、软件测试、文献、培训和系统转换方面进行。在这一阶段，需要对培训内容和相关文献、文件转换和操作问题（ 如人员如何分配和监督） 进行回顾。成立指导委员会十分重要，它集合以下专业人才:（1） 项目主办者。参与项目审批并致力于项目成功高级管理人员； （2） 项目经理。负责项目每日交付；（3） 专业信息技术工作人员。负责提供项目；（4） 用户代表。负责接受系统；（5） 内部审计代表。与用户协力保证足够内部控制和系统测试。指导委员会参照计划来监督系统实施并确保该系统符合规定质量、时间和成本上所负全部责任。5. 系统操作与维护。系统开始运转之后，其维护包

31、括系统校正和改进。（三）系统执行计划与实施后回顾系统执行计划包括并行运行，即新系统与现有系统一起运行，直到新系统被证明达到了两个系统工作时相一致结果，用户满意新系统，对停止现有系统应用新系统充满信心。如果没有并行运行，实施之前测试就变得非常重要，另外，在实施早期阶段需要进行额外检测。从现有系统进行数据转换需要特别注意。这需要正确计划，并要分配充足资源进行数据转换。有必要实施适当控制以确保数据连续性，因为这些数据传输于不同系统中。在传输过程中，识别可能出现数据重复或遗漏。在新系统实施后，应由项目小组对其进行详尽复核，以确定系统是否按计划运行，能否令用户满意。实施后复核包括：（ 1）确定新系统是否

32、满足用户需要；（ 2）与系统规范相比，评价系统实际绩效；（ 3）提出改进意见； （ 4）确定系统实施管理质量和以后项目值得学习地方；（ 5）对系统开发程序提出改进建议；（ 6）比较实际成本和项目预算费用，确定是否已取得效益。第四节与信息技术和信息系统相关风险控制及其管理一、信息技术与信息系统相关凤险控制系统和数据很容易因以下原因受到损失，即人为错误、蓄意欺骗行为、技术性错误（ 如硬件或软件故障） 和自然灾害（ 如火灾、水灾、爆炸和闪电） 。因此，信息安全非常重要。为了保护公司信息资源，需要进行风险评估和控制来减轻这些风险，信息技术行业有许多不同控制方式。（ 一 ） 信息安全控制安全控制可以从以

33、下四个方面进行界定，以发挥其特性。1. 预测性。确定可能问题并提出适当控制。2. 预防性。将发生风险可能降至最低，例如，防火墙可以防止未经授权访问。3. 侦察性。日志能够保存那些未经授权访问记录。4. 矫正性。对未经授权访问造成后果提出修正方法。（ 二 ） 信息技术/ 信息系统控制类型信息系统中控制可分为两大类: 一般控制和应用控制。而信息技术控制主要用于软件和网络控制。1. 一般控制。从总体上确保企业对其信息系统控制有效性。一般控制目标是保证计算机系统正确使用和安全性，防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。（1） 人员控制涉及人员招募、训练和监督人

34、员控制必须确保程序和数据职责完成。人员控制包括部门内部职责分离和数据处理部门分离。例如，企业应立即停止已离开公司职员所有访问权限。（2） 逻辑访问控制逻辑访问控制对未经授权访问提供了安全防范。最普遍安全访问是使用密码，可对密码定义其格式、长度、加密和常规变化。（3） 设备控制设备控制是对计算机设备进行物理保护，如把他们锁在一间保护室或保护柜中，并使用报警系统，如果计算机从其位置上发生移动，报警系统将被激活。（4） 业务连续性在系统故障、设备操作系统、程序或数据丢失或毁坏情况下，业务持续性或灾难恢复计划可从信息系统中恢复关键业务信息。2. 应用控制应用控制与管理政策配合，对程序和输入、处理和输出

35、数据进行适当控制，可以弥补一般控制某些不足。(1) 输入控制输入控制目是发现和防止错误交易数据录人，其中包括:交易前数据录人，如在发票与收到货物，文件和采购订单相匹配后，核准供应商发票。数据输入屏幕规定格式令使用者不得跳过强制输入字段。输入体系内容合理检查，如检查给予顾客折扣是否在允许限度内。(2) 过程控制过程控制确保过程发生按照公司要求进行，没有被忽略或处理不当交易发生。最常见控制是交易记录、分批平衡和总量控制系统。(3) 输出控制输出控制确保输入和处理活动已经被执行，而且生成信息可靠并分发给用户。主要输出控制形式是交易清单和例外报告等。3. 软件控制和软件盗版软件受著作权法和知识产权法保

36、护。软件控制防止制作或安装未经授权软件拷贝，防止因非法使用造成经济处罚风险。因此，从有信誉经销商处购买正版软件是重要控制方式，可以减小上述风险，并且维护好所有软件实物存盘是必不可少。4. 网络控制计算机和数据安全具体问题来自于数据处理和电子商务增长。主要风险是黑客、计算机病毒、电子窃听机密信息、计算机系统故障或自然灾害。基于以上原因，控制必须存在，以防止未经授权访问，并确保数据完整性。随着电子商务增加，这一点变得尤为重要。最常用网络控制措施有防火墙、数据加密、授权和病毒防护。(1) 防火墙。它包括相应硬件和软件，存在于企业内部网和公共网络之间。它是一套控制程序，即允许公众访问公司计算机系统某些部分，同时限制其访问其他部分。(2) 数据加密。数据在传输前被转化成非可读格式，在传输后重新转换回来。这些数据只能被匹配解密接收器读取。(3) 授权。客户通过身份验证和密码进行注册。(4) 病毒防