资讯部门之管理与经营ppt课件

1、資訊部門之管理與經營本章大綱第一節 資訊部門營運管理第二節 電腦平安管理與稽核第三節 資訊部門管理控制第四節 資訊科技投資的評價第五節 資訊部門之經營資訊部門之營運管理資訊部門營運管理战略考量資訊科技架構 系統設計與操作 考慮外部服務來源之壓力與挑戰 資訊服務供應來源之決策權 資訊科技之規劃 電腦中心之作業 電腦操作的管理 電腦操作的管理應留意以下二點：明文規定電腦操作員應執行的功能訓練操作員如何运用及維護硬體軟體 資訊部門之營運管理 (續 電腦中心之作業 網路通訊管理 網路系統管理功能範疇應涵蓋五部分： 組態管理(Configuration management) 障礙管理(Fault ma

2、nagement)效能管理(Performance management) 平安管理(Security management) 帳務管理(Accounting management)生產任务流程管理與資料準備 媒體管理 監控電腦執行績效 圖17-1 控制組任务运用者組織準備資料電腦中心電腦房控制組外部資料服務中心資訊部門之營運管理(續1) 系統容量之衡量與管理資訊人員之管理 資訊專業晉升路線 利基專業才干 考量資訊人員的人性要素 圖17-2 資訊技艺需求調查排名2002年對該技艺需求的公司排名2002年對該技艺需求的公司Web技艺網路1.Java39%1.TCP/IP35%2.XML37%2.

3、SNA6%3.HTML37%3.IPX6%4.Active Server Pages37%5.Visual Basic33%語言資料庫管理系統1.Java36%1.Oracle34%2.C+26%2.Microsoft SQL Server25%3.C20%3.Microsoft Access12%4.Cobol10%4.DB210%5.Sybase Adaptive Server6%開發工具作業系統1.Visual Basic26%1.Windows NT37%2.Oracle Developer 200020%2.Solaris18%3.Visual C+17%3.Linux11%4.Po

4、werBuilder10%4.HP-UX11%5.Other Unix9%圖17-2 資訊技艺需求調查(續)排名2002年對該技艺需求的公司排名2002年對該技艺需求的公司網路連結企業應用系統1.Routing12%1.Oracle19%2.Gigabit Ethernet10%2.SAP8%3.Ethernet switching8%3.Peoplesoft7%4.10 Base-T Switching6%4.Siebel5%5.J. D. Edwards3%區域網路管理系統軟體及援助1.Microsoft NT Server22%1.Internet application develop

5、ment30%2.Ethernet10%3.10%2.EC application development28%4.Novell NetWare6%3.Web server administration23%辦公室自動化/群組軟體1.Microsoft Exchange21%4.Project management20%2.Lotus Notes7%5.Data warehousing/mining18%3.CC:Mail2%4.Novell GroupWise2%電腦平安管理 網路分散環境之威脅與挑戰現存電腦平安管理問題電腦病毒的種類與防範 電腦平安管理與稽核防範企業經營中斷網路分散環境之威

6、脅與挑戰現今整個電腦環境因為網際網路的蓬勃發展，對平安產生無比的挑戰，因為：有更多破解功能強大的網路入侵工具電腦病毒橫行大量連接點需求監測跨平台管理系統及網路的複雜度管理人員對於平安概念參差不齊市面上企業平安管理方案太多圖17-3 電腦平安管理範圍網路通訊平安系統軟體平安人事平安實體平安電腦作業平安應用軟體與資料平安現存電腦平安管理問題電腦平安政策的執行與管理由個人或由一個部門單獨承擔。普通資訊單位人員與管理當局常從技術面來看電腦平安問題，並以為加強軟硬體設備即可解決平安弱點與缺失。殊不知電腦平安是有關人的問題，並且需求全員參與，而非僅是資訊部門人員之參與。主管電腦平安的人員不易說服高階主管瞭

7、解電腦平安對日常營運的艰苦影響，以爭取電腦平安管理所需之資源。 現存電腦平安管理問題(續) 電腦平安問題常被列為次要的考慮。高階主管未激勵其員工遵守並執行電腦平安措施與規定。員工不瞭解組織有關電腦平安之政策、程序、準則與懲戒措施。員工並沒有定期接受有關電腦平安之訓練與課程。高階主管不瞭解員工有了良好平安觀念與態度對公司所能够產生之價值。現存電腦平安管理問題續1 管理系統與資料之權利與義務沒有清楚之界定。諸如究竟是哪個部門或哪個人擁有資料檔案一切權、誰有權运用、誰應負擔電腦處理費用、由誰操作、誰負責平安措施、由誰負責控制事宜，以及由誰負責維修等。未適當地在聘雇員工前徵信員工過去記錄。員工離職程序

8、之管理不完備，普通組織在員工離職前不僅應要求繳回名牌與鑰匙，並撤銷通行證與密碼，且應詢問員工對於重要事項之看法，例如系統平安上之弱點，能够被誤用或濫用之情況，或任何應改進之建議等。現存電腦平安管理問題續2 有關電腦犯罪、舞弊或偷竊等事件通常沒有向有關主管單位報告。在應用系統發展與維護階段，系統之可控制性、適用性、可稽核性、可維修性等問題，常沒有考慮週詳。因此，發展出來的系統難以运用、維修、稽核、測試、轉換及不具彈性等。运用部門與高階主管人員對於資訊人員在發展應用系統方面，常有不切實際之等待，因此常以外行領導內行的方式，呵斥資訊部門相當大的壓力，由於沒有充分的配合與援助，使得發展出的應用系統為急

9、就章之產品，而沒有適當之文書手冊、平安控制等。電腦病毒的種類與防範開機型病毒(Boot Sector Virus)程式型病毒(Program Virus)隱藏型病毒(Stealth Virus)巨集型病毒網際網路電腦病毒電腦平安管理與稽核資產之確認與評價 威脅來源之確認與發生機率之估計 損失分析 重新調整電腦平安控制 電腦平安控制方法資產之確認與評價 負責電腦平安之主管人員應調查以下六種主要之資產類別： 人員包括如分析師、程式設計師、操作員、文書人員、警衛等。網路及硬體設備CPU、磁碟機、印表機、終端機、通訊設備。應用軟體ERP系統、應付帳款、應收帳款、總帳系統、薪工系統等。資產之確認與評價續

10、 系統軟體網路管理通訊軟體、編譯軟體、公用程式，DBMS、直譯軟體、作業系統。資料主檔、买卖檔、歷史檔、備份檔案。耗材磁碟片、磁帶、空白帳單、憑證、影印紙、報表紙等。 威脅來源之確認與發生機率之估計 威脅乃指因某些事件或行動而導致損失之發生，如： 天然災害火災、水災、風災、雷擊、地震等。不可靠的系統不可靠的系統威脅來源例如硬體經常當機，或操作不良，经常必須由工程師隨時搶修。又如軟體必須经常重新執行，而使得人員產生波折，這種情況易使得控制鬆懈威脅有機可乘。人為要素如電腦犯罪、洩密、蓄意破壞。威脅來源之確認與發生機率之估計續 操作失誤如對設備、資料、應用軟體、系統軟體等之操作錯誤。資源中斷如因停電

11、、停水、通訊中斷、電源干擾等。電涉及輻射如電磁干擾、非離子輻射等。 圖17-4 預期損失之情境電腦平安控制方法 小心任用人選警覺到員工之不滿適切分工 限制系統运用權限用密碼及磁卡保護資源將資訊及程式加密確實瞭解網路平安所需監控系統买卖防範企業經營中斷运用內部資源多個電腦中心分散式處理通訊設備的備援區域網路 运用外部資源 圖17-5 資訊系統稽核目標處理程式原始資料輸出資料檔6.整體平安4.開發程式5.修正程式2.處理正確完好1.原始資料正確合法3.檔案正確、完好、平安資訊系統稽核 電腦稽核師應具備之知識如下： 稽核標準、程序及技術組織與管理資訊處理作業邏輯平安、實體平安與環境控制電腦作業之管理

12、控制措施系統軟體發展、获得與維護應用系統開發、获得與維護應用系統稽核 資訊部門預算與持有資訊資源之總本钱 資訊部門預算之目的主要為：資源分配本钱控制衡量資訊服務預算之品質 衡量資訊服務績效 協助長程战略規劃資訊部門績效衡量 資訊功能必須定期地評估其績效與價值。此種評估通常是由一個委員會來執行，同時此項評估的主要目的亦是評估資訊主管之績效。此項評估涵括以下幾項：定期的績效報告运用者調查報告系統績效預警訊息整體效果衡量資訊科技投資的評價 IT投資評估困難的缘由：通常IT的投資都連結了一串其他投資決策，其中包含了過去與未來的投資，這是IT投資不易評估的最主要缘由。由擴充原有IT 平台所伴隨而來的相關本钱，以及教育訓練等其他本钱不易估算。IT基礎建設(IT infrastructure)的本钱能够會跨越組織的疆界，產生計算上的困難。在專案開始之際，有太多的不確定要素，導致難以評估。資訊科技投資的評價續 在評估一個IT平台能否值得投資時，可從IT平台的投資能否有益於公司，及時間有多長來評估。而其中的效益可由以下幾個方向來考慮： 能否有直接的效益？ 能否可對公司的未來產生效益？ 能否有使公司產