信息技术管理知识讲解

1、第十二章 信息技术治理第一节 企业中的信息需求 一、信息需求概论 数据是指依照经验、观看、实验、计算机内部程序以及一组假设条件所收集到的事实集合体。数据包含数字、词语以及映像，尤其是一组变量的测度或观看的结果。一般认为，数据是形成信息和知识的最底层来源。而信息是通过处理以后的数据，关于使用者来讲更有意义。 在现实的商业社会和企业治理概念中，信息被视作一种专门有价值的资源，是追求竞争优势的关键工具。信息技术和信息系统的要紧作用是想治理层提供所需的合适种类和数量的信息，以关心治理者选择、执行和操纵经营战略。因此，信息战略要和商业战略相匹配。 信息的可用性、及时性以及质量已成为企业成功的重要因素。例

2、如，下列业务活动对信息具有高度依靠性： 1.生产者在特定市场开发新产品之前，需要运用信息分析目标客户的支出行为、偏好以及对产品的预期。2.保险经纪人只有在取得了投保人的详细风险评估资料，以及承保人情愿为此风险所开出的价格的条件下，才能报出具有竞争力的保费。 二、信息的层次企业需要不同类型的信息系统来为一定范围内的不同职能领域提供不同层次的信息。大企业需要一个覆盖面专门广的系统来分析信息。战略规划、治理操纵和运营操纵等信息层级就类似于决策的层次结构。 （一）战略规划 战略规划来源于信息系统，与企业的长期进展方向相关。高层治理人员有责任考虑各种阻碍其战略规划的因素，包括明确企业所面临的挑战、确定信

3、息技术解决方案，以及为确认和猎取所需资源而设计行动打算。在制定为期3-5年的战略规划时，企业必须确保战略规划与企业的总体目标相一致。这些系统所提供的信息包括总体盈利能力、不同业务单位的盈利能力、以后市场前景、筹备新资金的可能性和成本以及总现金需求。这些系统的要紧功能是确保为高层治理人员及时提供战略规划所需的各种相关信息。 (二)治理操纵 治理操纵系统能够关心中层治理人员进行监督和操纵。治理操纵系统产生的信息包括生产效率、预算操纵或方差分析报告、特定部门的预测和工作结果，以及短期的采购需求。治理操纵系统检测一切是否顺利。 (三)运营操纵。 运营系统针对运营常规问题进行操纵，并对交易进行处理和追踪

4、。这些信息能够关心运营治理人员追踪特定的日常经营活动和交易。 三、信息的质量 为了提高信息的用途和价值，我们必须关注信息的质量。高质量信息的关键要素具有以下特征: 1.完整性。信息必须包含所有应包括的内容，例如，相关可作比较的外部数据或不同时期的可比较信息。 2.准确性。应该对数据进行合计，四舍五入的程度应该是适当的，不得有打字错误，各个项目应该按适当类不划分，应该指明与不确定信息相关的假设。 3.相关性。应该删除作决策时无需考虑的信息，不管其是多么有味。只有对决策有关心的信息才应保留，以便使用者更容易地作出有效的定案。 4.针对使用者的需要。应当始终记住使用者的需要，例如，高级经理需要的可能

5、是摘要，而初级治理者需要的可能是详情。 5.权威性。信息来源必须是可靠的。 6.及时性。在需要时，可及时获得信息。 7.易于使用。信息应该明确清晰，可不能过分冗长，而且发送时采纳了正确的媒介和交流渠道，减少信息在发送过程中的遗失。 8.成本效益。获得该信息的成本应该不超过可从该信息中获得的益处。信息提供者应提供有效的信息收集和分析方法去处理信息，并以简单易明白的方式表达信息，使用者们无需费时来琢磨信息的含义。第二节 信息技术在企业中的战略应用 一、信息战略的类型 与信息相关的战略包括:信息系统、信息技术、信息治理。 (一)信息系统战略 信息系统战略确定了一个企业的长期信息要求，同时对可能存在的

6、不同信息技术提供了一把爱护伞。信息系统战略应遵循企业的经营战略，同时必须确保在经营战略实施(如财务、非财务、竞争和人力资源方面的战略实施)的过程中，可获得、保存、共享和使用恰当的信息。 信息系统包括所有涉及信息收集、储存、产生和分配的系统和程序。信息系统可分为七类:事务处理系统、治理信息系统、企业资源打算系统、战略性企业治理、决策支持系统、经理信息系统和专家系统。 1.事务处理系统 事务处理系统执行和处理常规事务。它收集与商业交易相关的源数据，如顾客订单、销售、采购和库存变动等相关数据。它会定期对这些信息进行报告。事务处理报告对操纵和审计而言是专门重要的，然而只能提供专门少量的治理决策信息。

7、2 .治理信息系统 治理信息系统将要紧来自内部的数据转化成综合性的信息，如摘要报告和异常报告。这些信息使治理层能对与自己所负责的活动领域有关的打算、指导和操纵及时作出有效的决策。它从事务处理系统获得数据并生成报告。这些报告往往是标准报告，然而其中的信息通常需要再进行其他处理。在将信息从标准报告中摘录出来，并转移到电子表中供治理层进行处理和分析的过程中，信息技术是十分常用的。在打算层面上，治理信息系统并不是特不有用。 3.企业资源打算系统 企业资源打算系统有助于整合数据流和访问与整个公司范围的活动有关的信息。企业资源打算系统通常记录用于会计处理的事务数据、操作型数据和客户及供应商数据，同时可通过

8、数据仓库获得这些数据，并在此基础上生成自定义的报告。系统包括财务预测、生产能力、调整资源调度等方面的功能，能配合企业实现存货全面治理、质量治理和生产资源调度治理及辅助决策。企业资源打算系统是企业进行生产治理及决策的平台工具。换言之，企业资源打算系统是基于以企业整体系统化的治理为依据，为企业合理调配资源，最大化地制造价值，实现企业内部决策和治理的应用信息系统平台。企业资源打算系统中的数据可用于更新平衡记分卡系统中的业绩指标，也可用于作业成本核算、股东价值分析、战略打算、客户关系治理和供应链治理。企业资源打算系统的进展有三个方向:(1)面向供应商，满足供应链的需要; (2)面向客户，具有客户关系治

9、理功能; (3)面向治理层，通过战略性企业治理系统(如下文第 4点所述)，来满足治理层的信息需求和决策需要。 4.战略性企业治理 战略性企业治理是一种为战略治理过程提供所需支持的信息系统。信息技术是以储存在数据仓库的数据为基础的，这些数据同时又能被应用于一系列分析工具中，如股东价值治理、作业成本核算和平衡记分卡系统。战略性企业治理可成为企业业绩的重要驱动力，因为它能使企业各个层次的决策过程变得更快更完善。 5.决策支持系统 决策支持系统包含了一些数据分析模式，这些分析模式能使治理层模拟并提出假如发生了某事，应该如何办?的问题，从而使治理层在决策过程中能考虑到不同的选项并获得对决策有关心的信息。

10、决策支持系统可被包含在一张电子表或复杂的软件包中。一个较简单的决策支持系统例子能够是一份包括戚本、销量和利润数据在内的电子表，治理层能够在对定价和产品盈利性的决策过程中修改售价以观看其对销量和利润的阻碍。又例如，一份包含预期现金流、支持资本投资评估的电子表是较复杂的决策支持系统。在使用概率论的过程中可采纳现金流折现技术来生成不同资本成本下的现金流预测报告。 6.经理信息系统 经理信息系统是提供决策支持的系统，它包含了对摘要数据(通常是图表格式)的访问，使高层经理能对与企业及其环境有关的信息进行评价。经理信息系统采纳向下钻取功能，从总计数据下移到更具体详细的层次(如客户、产品、业务单位)。通常也

11、能够从外部来源(如公共数据库中)猎取信息。易于使用是经理信息系统的一个重要特点，如此能够在无需对基础数据结构有深入了解的情况下进行信息查询。 7.专家系统 专家系统储存从专家处获得的与专门领域相关的数据，同时将其保存在结构化的格式或知识库中。专家系统为那些需要酌情推断的问题提供解决方案。用户通过图表式的用户界面来向系统提问，系统会要求提供更多的信息。然后，专家系统采纳各种规则作出决策。专家系统的最佳实例是用于信用批准。依照提示，将邮编、电话号码、年龄和士作经历等信息输入系统，系统将这些信息与信用资料机构拥有的机密数据进行比较，对申请者的信用可靠性和信用额度分配自动作出推断。 (二)信息技术战略

12、 信息技术战略定义了满足企业信息需要所必需的特定系统，包括硬件、软件、操作系统等。每个信息技术系统必须能够猎取、处理、概括和报告必要信息。企业必须有信息技术战略，其缘故如下：（1）信息技术一般涉及高成本，而信息技术战略能对预算进行分配和操纵 ；（2）信息技术对企业的成功至关重要，因此信息技术系统必须在任何时候差不多上可靠和可访问的；（3）要形成和保持竞争优势，离不开信息技术，例如，要对目标客户进行营销，必须用到客户信息；（4）信息技术可降低成本，例如，使用电子邮件可降低邮费和电话费；（5）信息技术提供用于打算、决策和操纵的信息，有助于治理者进行企业治理。 (三)信息治理战略 信息治理战略、涉及

13、信息的储存及访问方式。它会考虑中间接口文件或关系数据库的使用方式、数据库创建和备份功能等等。该战略能确保将信息提供给用户，同时可不能生成多余的信息。总括而言，信息系统战略重点关注各个信息业务单元，使它们能满足内部或外部的信息用户需求。信息技术战略以供应信息为导向，它重点关注供应信息活动以及支持这些活动所需的技术。信息治理战略在整个企业层次上以治理为导向。这三个战略会随着企业目标的改变、新信息技术的进展、软件硬件的更新以及企业的进展和多样化而变化。 二、信息系统的评价 对信息进行收集、处理、分析和报告可能需要高额的成本，而且必须注意要确保所获得的信息的价值要高于其戚本。信息的成本可能包含计算机硬

14、件和软件、实现成本(如项目小组的戚本)以及与新系统开发相关的培训戚本等。与信息系统相关的日常戚本包括工资、办公室设施费用、折旧费或租金、水电费、易耗品费用、融资费用等。要量化信息的成本，企业应当可能可能产生的成本，并运用折现现金流量法、投资回收期法或投资回报率法等方法。在评价信息系统时，需要认真进行成本效益分析。信息系统的效益包括: 1.运用自动化系统提高生产能力和新技术所减少的成本。自动化系统和新技术减少了手工处理和分析数据所需的人力成本。 2.通过改进的数据收集、存储和分析工具可能会带来往常不明白的销售机会。这些工具包括数据挖掘软件，它能够发觉往常没有注意到的数据关系。 3.改善客户服务和

15、提高产品/服务质量。计算机系统能够产生更加准确、及时的信息。例如，银行客户能够上网查询自己的银行账户和投资组合而不必亲自前往银行。这能够提高客户中意度，从而带来竞争优势。 4.改进决策制定过程。完整、可靠、准确、及时的信息能够关心企业决策者作出正确合理的推断。信息能够关心企业治理者进行准确预测，以更好地规划企业结构，进行融资，并取得长期成功。还能够评价现有项目和关键投资决策，特不是需要大投入的资本支出项目。 量化信息系统的效益可能比量化戚本难，因为它要求治理层对以下方面进行推断:市场增长、市场份额、竞争优势以及信息对销售和利润的阻碍。 三、信息和网络 (一)互联网 互联网的名字起源于一项技术，

16、这项技术使得任何一台计算机都能够与其他达到配置标准的计算机发生通信链接以发送和接收信息。互联网技术提供了将任务交由企业并进行自动化处理的机会，而这项工作的开展不需要专门大的成本。用户只需要简单地点击相应的按钮、词语或屏幕图像就能够接触和分享大部分以文本和图表形式表示的及时信息。网址是互联网中的点，创建人希望能够为搜索者提供信息，并期望从信息提供或交易中获利。 互联网由计算机、网络服务器、通信线路和通信软件组成，能够让用户通过万维网 (www)在多台计算机之间存取数据。要紧的互联网标准是TCP/IP (Transmission control protocolllnternet protocol

17、)和HTML(Hypertext mark-up language),TCP/I协议是通信软件的标准，HTML编程语言能够在万维网 (www)上建立数据间的联系。网页扫瞄器是应用软件，它能够利用超文本及搜索功能在互联网上邀游。最常见的扫瞄器是微软的Internet Explorer和Mozilla Firefox。用户能够通过五联网服务提供商在互联网上进行扫瞄。据可能，全球约有数亿网民。除了网页扫瞄，电子邮件和谈天室是最受欢迎的。 (二)内部网和外部网 除五联网外，大多数企业常利用内联网和外联网来传播信息。内联网就像一个迷你版的互联网，能够让公司职员获得保存在服务器上的电话簿、程序操作指南、参

18、考资料等信息，用户操作界面与互联网类似。内部网需要利用网页扫瞄器、超文本、电子邮件软件和一个可用网络，实现对所有用户在内部网上快速的数据传递。外联网是获得批准的外部人员使用有效的用户名和密码即可访问的内联网，它要紧用于商业伙伴之间信息的交换。外联网可用于共享库存情况、交货状态等。世密和系统间的兼容性是应用外部网时必须面对的难题。 (三)电子商务 电子商务是指通过互联网进行商品买卖和金融服务。企业能够利用互联网确立其公共关系，进行信息传递和扩展其零售渠道。 1.公共关系的确立。网站可能包含有关该企业的详细信息，包括其产品、职员、财务信息等，它们也能够被用来与其他企业进行交易。 2.信息传递。公司

19、的网页里有电子产品/服务手册文件，这些文件也能够被用户作为一个单独的文件进行下载，许多公司在它们的网站上储存 PDF格式的特不详细的报告。 3.扩展零售途径渠道。用户能够通过互联网进行商品的预订和购买。 电子商务的要紧好处是能够通过全球市场使销售量出现潜在增长，相比其他销售方式减少了交易成本。然而，同意他人进入计算机系统并同意远程实时处理，需要额外的操纵，并要防范安全问题。 四、数据收集方法 大多数数据收集是计算机系统交易记录的副产品。以零售业为例，最常利用数据收集方法的方面有:电子销售点、电子资金转账、互联网购物、电子数据交换和文件成像。 1.电子销售点(Electronic point o

20、f sale，简称 EPOS)。利用条形码扫描定价商品，并减少存货量，通过售价和戚本价确定利润额。在一个时刻段(每天、每周或每月)内，从这一系统的信息输出包括现金收据、业务量(客户的数量、销售项目的数量等)的分析，产品的盈利能力和对库存需求的重新排序。此外， EPOS可提供包括每天的高峰销售时刻、需要打折的商品信息、商品的销售地点信息，以及需要加大销售的商品信息等。 2.电子资金转账（EFTPOS)。电子资金转账能使客户用借记卡或信用卡来为其购买的商品付款。尽管银行对这种服务向零售商收取一定的费用，但零售商幸免了处理大量现金的成本和风险。 3.互联网购物。在互联网上购买商品和服务，客户能够进行

21、一些往常是由零售商自己的职员来完成的数据处理。客户作出自己的选择，提供交付，细节，通过借记卡或信用卡进行支付。零售商会自动获得一份客户消费适应的详细记录，以重新进行其业务的营销定位。网上购物的实例有书籍、食品、服装、旅行等等。 4.电子数据交换（EDI）。在企业间产品的销售中，通过电子数据交换在互联网上进行交易。供应商和顾客系统由一种共同的数据格式相连，以便顾客的购买订单能被自动转化成销售商的销售订单。例如，在汽车制造业，车辆制造商向零件供应商投入订单，这些订单将被严格准时地交付。 EDI交易使零件供应商确认能够完成订单，零件供应商的物资发送时刻及地点能够通过物流公司进行条形码追踪。多个组分按

22、预定的顺序准确交付以满足车辆装配生产线的要求。任何延误和组分无序都能够使装配线停止。供应商可通过 EDI自动生成发票，物流供应商生成追踪交付单，装配线生成物资收据，直至最终付款给供应商。 5.文件成像。企业内纸张使用的减少能够提高效率和降低成本。文件影像处理系统能够通过扫描图像，创建一个电子文件而对顾客的定单进行处理，这能对顾客进行快速的响应，提高服务水平，减少人力的成本，能够更快地存取记录和减少丢失文件造成的错误。 五、治理信息数据的结果 (一)定期报告 向用户提供治理信息最常见的形式是硬盘拷贝报告，由计算机生成的报告列出交易(交易报告)、例外(例外报告)或定期总结报告。然而，以图解方法通过

23、屏幕显示要紧绩效数据变得越来越普遍。 1.交易报告。该报告包含了在一段时刻内所有交易的详细清单如一天之内发生的所有交易。 2.例外报告。是指依照提早确定的规则找出例外。例如，按照未在付款到期日前支付的债务人或长期拖欠一年多的债务人来分类。 3.定期总结报告。这是指固定周期，通常每周或每月进行报告，包括财务报告(如损益表、资产负债表、库存分析等)和非财务报告(如生产率、客户投资组合报告)。 制定定期报告的要紧问题在于其内容要紧是量化的，关注短期表现，忽视外部因素，难以从提出的数据中区分出要紧绩效信息。 (二)简报 治理层对利用与企业目的有关的信息来确定关键进展趋势的需求越来越大。简报包含关键财务

24、或非财务信息的一系列月度单页总结，确定趋势，通常以图解形式简要讲明预算变化和趋势。然而简报的内容常常取决于信息的提供者，而不是用户，因此，可能不包括要紧的绩效信息，其内容对公司不同部门、不同水平的治理人员可能是不相关的，或包括过时的信息。在线信息的产生满足了治理人员对信息的特定需求，因为信息用户能够通过经理信息系统获得最新的整体信息，而不是依靠信息提供者的标准报告格式。第三节 信息系统设计与实施 一、信息系统外包和治理 (一)信息系统外包 随着计算机阻碍力增强，其体积缩小，成本不断下降。公司拥有了自己的计算机系统，并培训出自己内部的信息技术专家。同时，有些企业把非核心部分和技术支持活动的外包也

25、越来越普遍，尤其是在提供信息技术服务方面，当把技术支持工作外包给相关的专业公司后，企业能够集中精力于他们的核心活动。信息技术的外包范围广泛，能够是整个信息技术部门或具体的内容，如计算机编程，维护和数据恢复是最普遍的外包业务。外包服务商提供服务的基础是以商定的服务水平、时刻和成本作为依据。信息技术外包的要紧优点是: 1.外包服务供应商对不断变化的技术有更好的了解。 2.能进行最准确的成本预测，因此能够进行更准确的预算操纵。 3.专业外包供应商的服务能够提供更高标准和质量的服务。 4.公司减轻了治理专业人员的负担.企业可按需要要求提供服务，不用长期在企业中保留信息技术部门。 信息技术外包的要紧缺点

26、是从长远的战略考虑上来看的，这种戚本节约是短期的。当外包服务不再受公司的操纵时，就失去了灵活性，企业不能依照环境的改变作出迅速的反应。另外，外包增加了成本，专门难更换外包服务商或回到一个企业的内部供应。供应商在质量和服务方面也有可能存在一定风险，即外包服务商提供的服务质量能否令人中意斗尽管在专门多情况下企业与外包服务商会有一个服务级不协议，但要在协议上明确每一方的义务是难以实现的。 (二)设施治理 设施治理 (Facilities management)是外包进展的一种形式，通过外方来治理和运作公司信息技术服务的一部分或全部。外部职员常通过设施治理的安排，在客户同意的前提下，外方能够在客户的办

27、公处应用其信息技术设备进行工作。企业通过竞标程序进行外包或设施治理，井遵循信息系统进展流程去实施。外包和设施治理的风险可通过保留一小部分内部信息技术专家进行监督和与外包供应商一起工作而部分抵消。企业也可通过建立长期伙伴关系或进行合资来减小风险。另一种选择是签订一个外购合同，供应商的一员留守于客户的公司，成为客户和外包商之间一个永久的联络员。这种做法有时被称为“植入”。 二、信息技术共享服务中心 共享服务中心为企业内大部分或所有部门提供所需服务。信息技术共享服务中心独特的属性是它们在企业内提供共同的信息技术服务，包括系统设计、数据处理、信息技术安全性、报告生成等。事实上，共享服务中心不同于传统的

28、集中活动，其服务体现于顾客或用户的指定要求。传统的集中服务要紧关注操纵和集中需求，其中政策和方向是由总部制定的。共享服务中心的性质是不同的，它聚焦于质量和客户服务，并集中资源以实现共同的目标。如同外包服务，可与共享服务中心通过服务级不协议建立质量和服务的要求。 共享服务中心不同于外包，是因为在外包中，供应商和客户之间是被割裂的，而共享服务中心的信息技术服务则保留在企业内部。 三、信息系统开发框架 (一)信息系统项目治理 在商业持续变化和新兴信息技术的大环境下，企业常常需要改善或改变。然而，信息系统开发专门大的风险在于所开发的系统过时，不能满足信息用户需求，或者超出成本预算。因此，对系统开发进行

29、操纵是特不重要的，信息系统项目治理的重要环节包括:(1)项目打算和定义；(2)治理支持； (3)成立项目小组:决定指导委员会、项目委员会和项目经理的作用和责任；(4)资源规划和分配；(5)质量操纵和进展监督；（6）的风险治理(风险识不、评估和治理)；(7)系统的设计和审批；(8)系统测试和执行；(9)用户参与使用和介入；(10)沟通与协调；(11)用户教育和培训。 (二)信息系统设计和操纵 设计信息系统的一种方法是利用系统开发周期，这包括: 1.可行性研究。通过辨认当前问题确定系统的需求和目标，从技术上，对可操作性和经济可行性提出解决方案。应当清晰新系统的目标、交付使用情况，以及成本和完成时刻

30、。 2.系统分析。通过对问题进行有条不紊的调查和确定，有必要对系统进行规范，通过更多的信息对替代的方法进行排序，并在内部和外包供应商之间作出选择。 3.系统设计。一个可行的设计包括源数据、输入布局、文件结构与其他系统的接口等。许多企业越来越多地应用计算机辅助软件工程工具来进行系统分析和设计。现时期，有关数据安全性和授权水平需要制定相应的规则，以进行系统测试。在实施之前，必须有系统开发程序员、用户和内部审计员进行全面的系统测试。 4.执行时期。使用项目治理技术，从现有系统硬件、软件测试、文献、培训和系统转换方面进行。在这一时期，需要对培训内容和相关文献、文件转换和操作问题(如人员如何分配和监督)

31、进行回忆。成立指导委员会十分重要，它集合以下专业人才:(1)项目的主办者。参与项目的审批并致力于项目成功的高级治理人员 ；(2)项目经理。负责项目的每日交付；(3)专业的信息技术工作人员。负责提供项目；(4)用户代表。负责同意系统；(5)内部审计代表。与用户协力保证足够的内部操纵和系统测试。指导委员会参照打算来监督系统的实施并确保该系统符合规定的质量、时刻和成本上所负的全部责任。5.系统操作与维护。系统开始运转之后，其维护包括系统的校正和改进。（三）系统执行打算与实施后的回忆系统执行打算包括并行运行，即新系统与现有系统一起运行，直到新系统被证明达到了两个系统工作时相一致的结果，用户中意新系统，

32、对停止现有系统应用新系统充满信心。假如没有并行运行，实施之前测试就变得特不重要，另外，在实施的早期时期需要进行额外的检测。从现有系统进行数据转换需要特不注意。这需要正确的打算，并要分配充足的资源进行数据转换。有必要实施适当的操纵以确保数据的连续性，因为这些数据传输于不同的系统中。在传输过程中，识不可能出现的数据重复或遗漏。在新系统实施后，应由项目小组对其进行详尽的复核，以确定系统是否按打算运行，能否令用户中意。实施后的复核包括：（1）确定新系统是否满足用户的需要；（2）与系统规范相比，评价系统的实际绩效；（3）提出改进意见；（4）确定系统实施治理质量和以后的项目值得学习的地点；（5）对系统开发

33、程序提出改进建议；（6）比较实际成本和项目预算费用，确定是否已取得效益。第四节 与信息技术和信息系统相关的风险操纵及其治理 一、信息技术与信息系统相关的凤险操纵 系统和数据专门容易因以下的缘故受到损失，即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾难(如火灾、水灾、爆炸和闪电)。因此，信息安全特不重要。为了爱护公司的信息资源，需要进行风险评估和操纵来减轻这些风险，信息技术行业有许多不同的操纵方式。 (一)信息安全操纵 安全操纵能够从以下四个方面进行界定，以发挥其特性。 1.预测性。确定可能的问题并提出适当的操纵。 2.预防性。将发生风险的可能降至最低，例如，防火墙能够防止未

34、经授权的访问。 3.侦察性。日志能够保存那些未经授权的访问记录。 4.矫正性。对未经授权的访问造成的后果提出修正的方法。 (二)信息技术/信息系统操纵类型 信息系统中的操纵可分为两大类:一般操纵和应用操纵。而信息技术操纵要紧用于软件和网络的操纵。 1.一般操纵。从总体上确保企业对其信息系统操纵的有效性。一般操纵的目标是保证计算机系统的正确使用和安全性，防止数据丢失。一般操纵在人员操纵、逻辑访问操纵、设备和业务连续性这些方面进行操纵。 (1)人员操纵 涉及人员招募、训练和监督的人员操纵必须确保程序和数据职责完成。人员操纵包括部门内部职责的分离和数据处理部门的分离。例如，企业应立即停止已离开公司职

35、员所有的访问权限。 (2)逻辑访问操纵 逻辑访问操纵对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码，可对密码定义其格式、长度、加密和常规的变化。 (3)设备操纵 设备操纵是对计算机设备进行物理爱护，如把他们锁在一间爱护室或爱护柜中，并使用报警系统，假如计算机从其位置上发生移动，报警系统将被激活。 (4)业务连续性 在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下，业务持续性或灾难恢复打算可从信息系统中恢复关键的业务信息。 2.应用操纵 应用操纵与治理政策配合，对程序和输入、处理和输出数据进行适当的操纵，能够弥补一般操纵的某些不足。 (1)输入操纵 输入操纵的目的是发觉和防止错

36、误的交易数据的录人，其中包括: 交易前的数据录人，如在发票与收到的物资，文件和采购订单相匹配后，核准供应商的发票。 数据输入屏幕的规定格式令使用者不得跃过强制输入字段。 输入体系内容的合理检查，如检查给予顾客的折扣是否在同意的限度内。 (2)过程操纵 过程操纵确保过程的发生按照公司的要求进行，没有被忽略或处理不当的交易发生。最常见的操纵是交易记录、分批平衡和总量操纵系统。 (3)输出操纵 输出操纵确保输入和处理活动差不多被执行，而且生成的信息可靠并分发给用户。要紧的输出操纵形式是交易清单和例外报告等。 3.软件操纵和软件盗版 软件受著作权法和知识产权法的爱护。软件操纵防止制作或安装未经授权的软

37、件拷贝，防止因非法使用造成经济处罚的风险。因此，从有信誉的经销商处购买正版软件是重要的操纵方式，能够减小上述风险，同时维护好所有软件的实物存盘是必不可少的。 4.网络操纵 计算机和数据安全的具体问题来自于数据处理和电子商务的增长。要紧风险是黑客、计算机病毒、电子窃听机密信息、计算机系统故障或自然灾难。基于以上缘故，操纵必须存在，以防止未经授权的访问，并确保数据的完整性。随着电子商务的增加，这一点变得尤为重要。 最常用的网络操纵措施有防火墙、数据加密、授权和病毒防护。 (1)防火墙。它包括相应的硬件和软件，存在于企业内部网和公共网络之间。它是一套操纵程序，即同意公众访问公司计算机系统的某些部分，同时限制其访问其他部分。 (2)数据加密。数据在传输前被转化成非可读格式，在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。 (3)授权。客户通过身份验证和密码进行注册。 (4)病毒防护。病毒是一种计算机程序，它能够