资源描述
按一下以編輯母片標題樣式,按一下以編輯母片本文樣式,第二階層,第三階層,第四階層,第五階層,*,資訊部門之管理與經營,本章大綱,第一節 資訊部門營運管理,第二節 電腦安全管理與稽核,第三節 資訊部門管理控制,第四節 資訊科技投資的評價,第五節 資訊部門之經營,資訊部門之管理與經營本章大綱,1,資訊部門之營運管理,資訊部門營運管理策略考量,資訊科技架構,系統設計與操作,考慮外部服務來源之壓力與挑戰,資訊服務供應來源之決策權,資訊科技之規劃,電腦中心之作業,電腦操作的管理,電腦操作的管理應注意以下二點:,明文規定電腦操作員應執行的功能,訓練操作員如何使用及維護硬體軟體,資訊部門之營運管理資訊部門營運管理策略考量,2,資訊部門之營運管理,(,續),電腦中心之作業,網路通訊管理,網路系統管理功能範疇應涵蓋五部分:,組態管理(,Configuration management),障礙管理(,Fault management),效能管理(,Performance management),安全管理(,Security management),帳務管理(,Accounting management),生產工作流程管理與資料準備,媒體管理,監控電腦執行績效,資訊部門之營運管理(續)電腦中心之作業,3,圖17-1 管制組工作,使用者,組織,準備資料,電腦中心,電腦房,管制組,外部資料服務中心,圖17-1 管制組工作使用者組織準備資料電腦中心電腦房管制組,4,資訊部門之營運管理,(,續,1),系統容量之衡量與管理,資訊人員之管理,資訊專業晉升路線,利基專業能力,考量資訊人員的人性因素,資訊部門之營運管理(續1)系統容量之衡量與管理,5,圖17-2 資訊技能需求調查,排名,2002年對該技能需求的公司,排名,2002年對該技能需求的公司,Web,技能,網路,1.,Java,39%,1.,TCP/IP,35%,2.,XML,37%,2.,SNA,6%,3.,HTML,37%,3.,IPX,6%,4.,Active Server Pages,37%,5.,Visual Basic,33%,語言,資料庫管理系統,1.,Java,36%,1.,Oracle,34%,2.,C+,26%,2.,Microsoft SQL Server,25%,3.,C,20%,3.,Microsoft Access,12%,4.,Cobol,10%,4.,DB2,10%,5.,Sybase Adaptive Server,6%,開發工具,作業系統,1.,Visual Basic,26%,1.,Windows NT,37%,2.,Oracle Developer 2000,20%,2.,Solaris,18%,3.,Visual C+,17%,3.,Linux,11%,4.,PowerBuilder,10%,4.,HP-UX,11%,5.,Other Unix,9%,圖17-2 資訊技能需求調查排名2002年對該技能需求的公司,6,圖17-2 資訊技能需求調查,(,續,),排名,2002年對該技能需求的公司,排名,2002年對該技能需求的公司,網路連結,企業應用系統,1.,Routing,12%,1.,Oracle,19%,2.,Gigabit Ethernet,10%,2.,SAP,8%,3.,Ethernet switching,8%,3.,Peoplesoft,7%,4.10,Base-T Switching,6%,4.,Siebel,5%,5.,J.D.Edwards,3%,區域網路管理,系統軟體及支援,1.,Microsoft NT Server,22%,1.,Internet application development,30%,2.,Ethernet,10%,3.,HTTP,10%,2.,EC application development,28%,4.,Novell NetWare,6%,3.,Web server administration,23%,辦公室自動化/群組軟體,1.,Microsoft Exchange,21%,4.,Project management,20%,2.,Lotus Notes,7%,5.,Data warehousing/mining,18%,3.,CC:Mail,2%,4.,Novell GroupWise,2%,圖17-2 資訊技能需求調查(續)排名2002年對該技能需求,7,電腦安全管理,網路分散環境之威脅與挑戰,現存電腦安全管理問題,電腦病毒的種類與防範,電腦安全管理與稽核,防範企業經營中斷,電腦安全管理 網路分散環境之威脅與挑戰,8,網路分散環境之威脅與挑戰,現今整個電腦環境因為網際網路的蓬勃發展,對安全產生無比的挑戰,因為:,有更多破解功能強大的網路入侵工具,電腦病毒橫行,大量連接點需要監測,跨平台管理,系統及網路的複雜度,管理人員對於安全概念參差不齊,市面上企業安全管理方案太多,網路分散環境之威脅與挑戰現今整個電腦環境因為網際網路的蓬勃,9,圖17-3 電腦安全管理範圍,網路通訊安全,系統軟體安全,人事安全,實體安全,電腦作業安全,應用軟體與,資料安全,圖17-3 電腦安全管理範圍網路通訊安全系統軟體安全人事安全,10,現存電腦安全管理問題,電腦安全政策的執行與管理由個人或由一個部門單獨承擔。,一般資訊單位人員與管理當局常從技術面來看電腦安全問題,並以為加強軟硬體設備即可解決安全弱點與缺失。殊不知電腦安全是有關人的問題,並且需要全員參與,而非僅是資訊部門人員之參與。,主管電腦安全的人員不易說服高階主管瞭解電腦安全對日常營運的重大影響,以爭取電腦安全管理所需之資源。,現存電腦安全管理問題電腦安全政策的執行與管理由個人或由一個部,11,現存電腦安全管理問題,(,續,),電腦安全問題常被列為次要的考慮。,高階主管未激勵其員工遵守並執行電腦安全措施與規定。,員工不瞭解組織有關電腦安全之政策、程序、準則與懲戒措施。,員工並沒有定期接受有關電腦安全之訓練與課程。,高階主管不瞭解員工有了良好安全觀念與態度對公司所可能產生之價值。,現存電腦安全管理問題(續)電腦安全問題常被列為次要的考慮。,12,現存電腦安全管理問題(續1),管理系統與資料之權利與義務沒有清楚之界定。諸如到底是哪個部門或哪個人擁有資料檔案所有權、誰有權使用、誰應負擔電腦處理費用、由誰操作、誰負責安全措施、由誰負責控制事宜,以及由誰負責維修等。,未適當地在聘雇員工前徵信員工過去記錄。,員工離職程序之管理不完備,一般組織在員工離職前不僅應要求繳回名牌與鑰匙,並撤銷通行證與密碼,且應詢問員工對於重要事項之看法,例如系統安全上之弱點,可能被誤用或濫用之情況,或任何應改進之建議等。,現存電腦安全管理問題(續1)管理系統與資料之權利與義務沒有,13,現存電腦安全管理問題(續2),有關電腦犯罪、舞弊或偷竊等事件通常沒有向有關主管單位報告。,在應用系統發展與維護階段,系統之可控制性、適用性、可稽核性、可維修性等問題,常沒有考慮週詳。因此,發展出來的系統難以使用、維修、稽核、測試、轉換及不具彈性等。,使用部門與高階主管人員對於資訊人員在發展應用系統方面,常有不切實際之期待,因此常以外行領導內行的方式,造成資訊部門相當大的壓力,由於沒有充分的配合與支援,使得發展出的應用系統為急就章之產品,而沒有適當之文書手冊、安全控制等。,現存電腦安全管理問題(續2)有關電腦犯罪、舞弊或偷竊等事件,14,電腦病毒的種類與防範,開機型病毒(,Boot Sector Virus),程式型病毒(,Program Virus),隱藏型病毒(,Stealth Virus),巨集型病毒,網際網路電腦病毒,電腦病毒的種類與防範開機型病毒(Boot Sector Vi,15,電腦安全管理與稽核,資產之確認與評價,威脅來源之確認與發生機率之估計,損失分析,重新調整電腦安全控制,電腦安全控制方法,電腦安全管理與稽核資產之確認與評價,16,資產之確認與評價,負責電腦安全之主管人員應調查以下六種主要之資產類別:,人員,包括如分析師、程式設計師、操作員、文書人員、警衛等。,網路及硬體設備,CPU、,磁碟機、印表機、終端機、通訊設備。,應用軟體,ERP,系統、應付帳款、應收帳款、總帳系統、薪工系統等。,資產之確認與評價 負責電腦安全之主管人員應調查以下六種主要之,17,資產之確認與評價(續),系統軟體,網路管理通訊軟體、編譯軟體、公用程式,,DBMS、,直譯軟體、作業系統。,資料,主檔、交易檔、歷史檔、備份檔案。,耗材,磁碟片、磁帶、空白帳單、憑證、影印紙、報表紙等。,資產之確認與評價(續)系統軟體,18,威脅來源之確認與發生機率之估計,威脅乃指因某些事件或行動而導致損失之發生,如:,天然災害,火災、水災、風災、雷擊、地震等。,不可靠的系統,不可靠的系統威脅來源例如硬體經常當機,或操作不良,常常必須由工程師隨時搶修。又如軟體必須常常重新執行,而使得人員產生挫折,這種情況易使得控制鬆懈威脅有機可乘。,人為因素,如電腦犯罪、洩密、蓄意破壞。,威脅來源之確認與發生機率之估計 威脅乃指因某些事件或行動而導,19,威脅來源之確認與發生機率之估計(續),操作失誤,如對設備、資料、應用軟體、系統軟體等之操作錯誤。,資源中斷,如因停電、停水、通訊中斷、電源干擾等。,電波及輻射,如電磁干擾、非離子輻射等。,威脅來源之確認與發生機率之估計(續)操作失誤,20,圖17-4 預期損失之情境,圖17-4 預期損失之情境,21,電腦安全控制方法,小心任用人選,警覺到員工之不滿,適切分工,限制系統使用權限,用密碼及磁卡保護資源,將資訊及程式加密,確實瞭解網路安全所需,監控系統交易,電腦安全控制方法 小心任用人選,22,防範企業經營中斷,使用內部資源,多個電腦中心,分散式處理,通訊設備的備援,區域網路,使用外部資源,防範企業經營中斷使用內部資源,23,圖17-5 資訊系統稽核目標,處理,程式,原始,資料,輸出,資料檔,6.,整體安全,4.,開發程式,5.,修改程式,2.,處理正確完整,1.,原始資料正確合法,3.,檔案正確、完整、安全,圖17-5 資訊系統稽核目標處理程式原始輸出資料檔6.整體安,24,資訊系統稽核,電腦稽核師應具備之知識如下:,稽核標準、程序及技術,組織與管理,資訊處理作業,邏輯安全、實體安全與環境控制,電腦作業之管理控制措施,系統軟體發展、取得與維護,應用系統開發、取得與維護,應用系統稽核,資訊系統稽核 電腦稽核師應具備之知識如下:,25,資訊部門預算與持有資訊資源之總成本,資訊部門預算之目的主要為:,資源分配,成本控制,衡量資訊服務預算之品質,衡量資訊服務績效,協助長程策略規劃,資訊部門預算與持有資訊資源之總成本 資訊部門預算之目的主要為,26,資訊部門績效衡量,資訊功能必須定期地評估其績效與價值。此種評估通常是由一個委員會來執行,同時此項評估的主要目的亦是評估資訊主管之績效。此項評估涵括下列幾項:,定期的績效報告,使用者調查報告,系統績效,預警訊息,整體效果衡量,資訊部門績效衡量 資訊功能必須定期地評估其績效與價值。此種評,27,資訊科技投資的評價,IT,投資評估困難的原因:,通常,IT,的投資都連結了一串其他投資決策,其中包含了過去與未來的投資,這是,IT,投資不易評估的最主要原因。,由擴充原有,IT,平台所伴隨而來的相關成本,以及教育訓練等其他成本不易估算。,IT,基礎建設(,IT infrastructure),的成本可能會跨越組織的疆界,產生計算上的困難。,在專案開始之際,有太多的不確定因素,導致難以評估。,資訊科技投資的評價 IT投資評估困難的原因:,28,資訊科技投資的評價(續),在評估一個,IT,平台是否值得投資時,可從,IT,平台的投資是否有益於公司,及時間有多長來評估。而其中的效益可由以下幾個方向來考慮:,是否有直接的效益?,是否可對公司的未來產生效益?,是否有使公司產生競爭優勢的效益?,是否為策略必
展开阅读全文