面臨的挑戰(zhàn)是相同的���,產(chǎn)品管理同樣面臨怎樣保證產(chǎn)品適應(yīng)市場的變化����、客戶的需求����,同時(shí)還要在長期的應(yīng)用中保持穩(wěn)定���。要達(dá)到這樣的要求����,從本質(zhì)上講����,規(guī)劃是根本,但從日常管理上講�����,完備的配置管理是保障�。
軟件配置管理的目的是在軟件系統(tǒng)的整個(gè)生存周期過程中建立和維護(hù)軟件項(xiàng)目產(chǎn)品的完整性和一致性。具體講���,涉及三個(gè)方面:版本管理、變更管理和過程支持��,有效地版本管理要能夠的標(biāo)示系統(tǒng)的變化,變化要可追溯����;變更管理要記錄每次變化的原因,或是Bug����,或是需求,建立變更和系統(tǒng)版本之間的聯(lián)系�,保證系統(tǒng)的變更是受控的。
3�����、 信息系統(tǒng)建設(shè)中應(yīng)規(guī)劃風(fēng)險(xiǎn)控制支持功能
企業(yè)在引入信息系統(tǒng)時(shí)�����,應(yīng)將信息系統(tǒng)作為一個(gè)風(fēng)險(xiǎn)源�,對業(yè)務(wù)流程規(guī)劃時(shí),應(yīng)考慮其影響����,根據(jù)效益原則進(jìn)行風(fēng)險(xiǎn)控制。在建設(shè)信息系統(tǒng)時(shí)����,需明確提出建立必要的風(fēng)險(xiǎn)控制措施�����,或從制度��、或從信息系統(tǒng)自身���。例如:系統(tǒng)對外報(bào)出的數(shù)據(jù),在報(bào)出前完成和原始數(shù)據(jù)的核對�����;自動處理的業(yè)務(wù)����,階段性的進(jìn)行核查。相應(yīng)的信息系統(tǒng)要提供合適的功能支持完成此類工作�。
有了這樣的手段,在各部門崗位中再輔以恰當(dāng)?shù)膷徫宦氊?zé)認(rèn)定���,業(yè)務(wù)崗位工作職責(zé)中納入風(fēng)險(xiǎn)控制要求�,業(yè)務(wù)部門對業(yè)務(wù)執(zhí)行結(jié)果負(fù)責(zé)��。信息系統(tǒng)建設(shè)和業(yè)務(wù)部門日常工作之間建立責(zé)任推動機(jī)制�����,相互配合�,相互促進(jìn),實(shí)現(xiàn)信息系統(tǒng)風(fēng)險(xiǎn)控制工作的良性發(fā)展���。
4�、 建立企業(yè)信息安全審計(jì)制度
上面討論的方法僅僅是一些針對性的辦法�����、措施����,上升到整個(gè)企業(yè)的高度,依然無法有效地保證企業(yè)的信息安全��。因?yàn)檫@些辦法都體現(xiàn)為部門的行為��,行為的選擇具有主觀性����、靈活性的特征�,只有通過企業(yè)的制度建設(shè)來約束行為����,才能夠保證行為方向的一致和有效,因此企業(yè)的信息安全保障需要通過建立一套有效的控制制度來實(shí)現(xiàn)����。
在制度建設(shè)上,企業(yè)信息系統(tǒng)審計(jì)制度是個(gè)比較好的選擇�����,其中就包括了信息安全的審計(jì)����。企業(yè)可在適當(dāng)?shù)臅r(shí)機(jī),逐步引入審計(jì)制度�,通過第三方或內(nèi)部獨(dú)立的審計(jì)機(jī)構(gòu)對企業(yè)的信息安全工作周期性的進(jìn)行審計(jì),出具審計(jì)報(bào)告����,形成對信息安全的客觀評價(jià),根據(jù)評價(jià)來指導(dǎo)���、監(jiān)督信息安全的建設(shè)����。
這個(gè)方面業(yè)界已經(jīng)有了成熟的信息管理審計(jì)的標(biāo)準(zhǔn)和方法,影響力比較大主要有COBIT和ISO17799��。COBIT是信息系統(tǒng)審計(jì)與控制協(xié)會公布的標(biāo)準(zhǔn)��,全稱叫“Control Objectives for Information and Related Technology”�����。COBIT將IT過程��、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來�,形成一個(gè)三維的體系結(jié)構(gòu)���。ISO17799的前身是英國國家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實(shí)踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》�,目的是幫助銀行在組織中建立一個(gè)初步的�、易于實(shí)施和維護(hù)的安全管理框架。后來BS7799-1已被國際標(biāo)準(zhǔn)化組織采納成為ISO17799�����。該標(biāo)準(zhǔn)包含100多個(gè)安全控制措施來幫助組織識別在運(yùn)作過程中對信息安全有影響的元素。這100多個(gè)控制措施被分成10個(gè)方面�����,成為組織實(shí)施信息安全管理的實(shí)用指南��,這10個(gè)方面分別是:方針����、安全組織、信息分類與控制��、人事安全��、物理與環(huán)境安全���、通信與運(yùn)營安全�、訪問控制�、系統(tǒng)開發(fā)與維護(hù)、商務(wù)可持續(xù)運(yùn)營����、法律符合。
這些相關(guān)標(biāo)準(zhǔn)對系統(tǒng)安全管理分析得比較透徹�����。個(gè)人觀點(diǎn),全面引入標(biāo)準(zhǔn)在企業(yè)中實(shí)施���,難度非常大��,可行的辦法是:參照標(biāo)準(zhǔn)�,基于企業(yè)現(xiàn)狀���,又針對性的選擇加強(qiáng)管理的措施,由點(diǎn)及面�����,逐步推行應(yīng)用��。大家有興趣的話���,可以學(xué)習(xí)一下��。
總結(jié):
信息化是企業(yè)改革的一把利器��,可以制敵�����,同樣也可傷己����。企業(yè)在引入信息系統(tǒng)同時(shí),迫切需要加強(qiáng)自身能力的建設(shè)���,唯此才可達(dá)到信息化建設(shè)的目的——推動企業(yè)發(fā)展��。轉(zhuǎn)貼于:http://opto-elec.com.cn