《信息系统开发与管理》第10章 信息系统的运行管理

第十章信息系统的运行管理本章内容第一节运行管理的组织与制度第二节日常运行管理第三节系统维护第四节安全管理第五节系统审计与评价第一节运行管理的组织与制度机构人员制度一、企业的信息系统部门企业的信息系统部门二、信息系统管理部门的人员机房管理制度身份登记与验证出入带入带出物品检查专人负责启动、关闭计算机系统跟踪并详细记录运行信息不运行来历不明的软件，不越权运行程序其他管理制度密码管理通信安全管理病毒防治管理人员调离的安全管理备份管理三、系统运行的管理制度第二节日常运行管理数据的收集例行的信息处理和信息服务设备管理与维护系统运行情况的记录信息系统工作数量系统工作的效率提供服务的质量系统的故障情况系统维护修改情况第三节系统维护“变化”是不变的真理信息系统不是“一劳永逸”的产品：难免有缺陷和不完善的地方需求的不完善环境的不断变化维护成本高，90%专业人员从事维护工作一、系统维护的目的意义系统维护——在信息系统的整个使用期中，有计划、有组织地对系统进行必要的改动，使系统处于最好的工作状态。可维护性——评价信息系统质量的重要指标之一。一个可维护性好的系统，其结构、接口、内部过程应当容易理解，容易对系统进行测试和诊断，有良好的文档，系统的模块化程度高因而容易修改。二、系统维护的对象(一)应用程序的维护(二)数据维护(三)代码维护(四)硬件设备维护软件维护的类型(一)纠错性维护(二)完善性维护这是为了改善系统功能，或者是应用户的要求而增加新的功能而进行的维护工作。在整个维护工作中，这类维护约占50%。(三)适应性维护为使系统适应环境的变化而进行的维护工作。一方面是信息技术的发展带来的另一方面是系统外部环境的变化带来的(四)预防性维护三、系统维护的管理维护的特点代价高对维护人员要求高维护要遵照严格步骤进行。第四节安全管理1994年我国国务院发布了《中华人民共和国计算机信息系统安全保护条例》。信息系统的安全性主要体现在以下几个方面：1．保密性2．可控制性3．可审查性4．抗攻击性一、信息系统的脆弱性信息系统的脆弱性主要表现为以下几个方面：软件缺陷系统配置不当脆弱性口令信息泄漏设计缺陷二、信息系统面临的威胁和攻击对实体的威胁和攻击对信息的威胁和攻击计算机犯罪计算机病毒三、信息系统的安全策略和实施信息系统的安全不是单纯的技术问题，而是信息社会所面临的社会问题，先进的安全技术只有在正确有效管理控制下才能得到有效的实施。安全管理60%物理20%技术10%法律10%（1）制定安全策略进行安全需求分析评估系统资源进行风险分析，明确保护的重点目标和普通目标。确定内部信息对外开放的种类和方式，确定各用户的权限和责任，如账户使用方式、访问权限、保密义务等。明确系统管理人员的责任和义务，如环境安全、系统配置、账户设置与管理、口令管理、网络监控等。确定针对潜在风险采取的安全保护措施，以及制定安全存取、访问规则等管理制度。（2）安全管理的实施安全管理原则：多人负责任期有限职责分离安全管理工作：制定安全制度和操作规程重视系统维护的安全管理，严格执行系统维护工作的程序。制定紧急恢复措施，以便在紧急情况下迅速恢复系统运行。加强人员管理用户安全管理物理安全管理实体访问控制第五节系统审计与评价信息系统审计信息系统评价一、信息系统审计信息系统审计的内涵：信息系统运行审计内部控制制度审计应用程序审计数据文件审计处理系统综合审计信息系统开发审计信息系统审计师信息系统审计师资格CertifiedInformationSystemAuditor——CISACISA考试内容：信息系统审计准则与安全、信息系统的安全与控制实务信息系统的组织与管理信息系统的处理过程信息系统的完整、保密和有效信息系统软件的开发、实施与维护二、信息系统运行评价系统功能：预定的系统开发目标实际完成情况系统功能的实用性和有效性系统运行结果对各部门的支持程度系统的分析、预测、控制建议的有效性各级管理人员的满意程度人机交互的友善程序系统性能系统运行的稳定可靠程度系统的故障恢复性能系统运行效