欢迎各位 Nice to Meet U

Copyright 2004 by Tang Dongping Email:[email protected]

欢迎各位Nice to Meet U


主讲人：唐东平


第 6 章人力资源管理信息系统的项目实施

主要章节

6.1 系统实施阶段的任务 6.2 物理系统的实施 6.3 软件实施 6.4 系统运行与维护 6.5 系统安全性与审计

3


• 数据或信息的安全与保密 • 软件（包括程序和资料）

的安全 • 硬件设备的安全 • 运行安全 • 引起信息系统安全性问题

的原因

• 数据或信息的安全与保密 • 软件（包括程序和资料）

的安全 • 硬件设备的安全 • 运行安全 • 引起信息系统安全性问题

的原因

6.5系统的安全性与审计

6.5.1 系统的安全性

•自然现象或电源不正常引起的软硬件损坏与数据损坏；• 操作失误导致的数据破坏；•病毒侵扰导致的软件、硬件与数据的破坏；•人为对系统软硬件及数据所作的破坏

•自然现象或电源不正常引起的软硬件损坏与数据损坏；• 操作失误导致的数据破坏；•病毒侵扰导致的软件、硬件与数据的破坏；•人为对系统软硬件及数据所作的破坏


信息安全

保护信息使之免受损害。备份或丢失信息被窃病毒因特网的漏洞


信息系统的安全

IS的安全是指 IS的系统资源及信息资源不受自然和人为的破坏与威胁。

IS安全的主要内容实体安全（环境、设备、存储介质、各种灾害）软件安全数据的安全（信息的完整、有效性，合法使用）


IS 安全的管理策略

制订安全目标（安全工作的基础）制订安全管理制度制订应急计划制订信息保护策略风险分析加强检查宣传，定期审计


IS 安全的技术策略

用户名 / 口令体系的设置与使用开机口令网络用户名、口令应用系统用户名、口令

权限控制网络用户权限设置应用系统用户权限设置


防火墙技术 - 基于硬件的防火墙 - 基于软件的防火墙

计算机病毒防治 - 硬件隔离 - 服务器存取控制 - 采用防病毒硬件 - 采用防病毒软件

系统备份 - 硬件备份 - 系统备份 - 应用系统备份 - 数据备份

数据加密 - 文件 - 记录 - 字段加密


计算机犯罪

有些犯罪将计算机作为工具（也就是伪造记录、钱和文档、通过通信连接进行欺诈活动，未经授权就进行电子货币转帐）。另一些犯罪以计算机系统作业目标，这包括犯法黑客非法访问计算机系统，病毒（系统型、应用型和文件型的）改变和破坏数据和程序以及盗取计算机资源。


病毒病毒是一种将自身附在其他程序上的程序。蠕虫是一种独立的程序，当它破坏其他系统和程序或中断计算机系统和网络的运行时才复制自身程序。应用型病毒感染可执行文件，系统型病毒感染操作系统程序。文件型病毒攻击文档文件。逻辑炸弹设计成在一个特定时间和日期爆发或执行。

病毒扫描软件辩认并清除有害程序。


1 、信息系统审计的目的（ 1 ）系统的审计是在系统投入运行后定期或不定期进

行的，是为了确保系统数据的安全与正确，使系统正常运行所采取的监督审查措施。

（ 2 ）对系统实际运行情况进行集中分析和评价，管理信息系统审计是在平时管理工作的基础上进行的。

（ 3 ）审计目的：• 检查系统是否达到了预期目

标• 检查系统中各种资源的利用

率• 提出系统改进和扩充的方向

1 、信息系统审计的目的（ 1 ）系统的审计是在系统投入运行后定期或不定期进

行的，是为了确保系统数据的安全与正确，使系统正常运行所采取的监督审查措施。

（ 2 ）对系统实际运行情况进行集中分析和评价，管理信息系统审计是在平时管理工作的基础上进行的。

（ 3 ）审计目的：• 检查系统是否达到了预期目

标• 检查系统中各种资源的利用

率• 提出系统改进和扩充的方向


6.5.2 信息系统的审计


2 、信息系统审计的内容（ 1 ）组织管理• 组织管理包括管理信息系统在组织中的地位、人员

构成情况、计划情况等。（ 2 ）系统运行• 系统运行包括人员对系统的总印象、操作是否方便、

系统可靠性、应用项目的数量与质量等。（ 3 ）经济情况• 经济情况包括系统预算、计划外开支情况、环境条

件对开支的影响等。

2 、信息系统审计的内容（ 1 ）组织管理• 组织管理包括管理信息系统在组织中的地位、人员

构成情况、计划情况等。（ 2 ）系统运行• 系统运行包括人员对系统的总印象、操作是否方便、

系统可靠性、应用项目的数量与质量等。（ 3 ）经济情况• 经济情况包括系统预算、计划外开支情况、环境条

件对开支的影响等。




2 、信息系统审计的内容（ 4 ）技术情况• 技术情况主要包括主机时间占用情况、各终端联机

的时间数利用是否充分、系统软件情况、数据的传输率能否满足处理的要求、外存储器是否够用等。

（ 5 ）审计评估• 作为审计的结果，审计小组应向领导或管理信息系

统主管人员提出对系统运行状态的评价与改进建议，这种建议可能是对现行系统进行某些修改，也可能是放弃现行系统，重新设计一个新系统。

2 、信息系统审计的内容（ 4 ）技术情况• 技术情况主要包括主机时间占用情况、各终端联机

的时间数利用是否充分、系统软件情况、数据的传输率能否满足处理的要求、外存储器是否够用等。

（ 5 ）审计评估• 作为审计的结果，审计小组应向领导或管理信息系

统主管人员提出对系统运行状态的评价与改进建议，这种建议可能是对现行系统进行某些修改，也可能是放弃现行系统，重新设计一个新系统。






综观系统综观系统

开始开始

满意吗？满意吗？

发调查表发调查表

评价监理系统评价监理系统

拟出审计范围拟出审计范围

选择审计方法选择审计方法

审计审计

满意吗？满意吗？

提出建议提出建议提出审计报告提出审计报告

采纳否？采纳否？

提出不满意见提出不满意见

3 、信息系统审计的过程3 、信息系统审计的过程


4 、信息系统审计的方法（ 1 ）调查表法• 调查的基本形式有：选择性问题，是非性问题，意

见性问题，打分平均。（ 2 ）间接审计• 间接审计的方法原理把计算机系统和程序作为一个黑盒子，调查其输

入、输出报告来达到审计目的的方法，审计员选一些输入数据，测试想要的输出，如果结果吻合、精确度有效，认为系统工作合理。

4 、信息系统审计的方法（ 1 ）调查表法• 调查的基本形式有：选择性问题，是非性问题，意

见性问题，打分平均。（ 2 ）间接审计• 间接审计的方法原理把计算机系统和程序作为一个黑盒子，调查其输

入、输出报告来达到审计目的的方法，审计员选一些输入数据，测试想要的输出，如果结果吻合、精确度有效，认为系统工作合理。




计算机计算机处理处理

业务数据业务数据

计算机处理计算机处理

老文件老文件

新文件新文件输出报告输出报告

选出测试业务数据选出测试业务数据

比较精确性和有效性比较精确性和有效性

与测试有关的输出报告与测试有关的输出报告

人工处理人工处理

系统操作系统操作审计测试审计测试

4 、信息系统审计的方法4 、信息系统审计的方法




4 、信息系统审计的方法（ 2 ）间接审计• 间接审计方法特点有一定的合理性，不管计算机如何处理，但是不能

满足审计要求，在批处理中比较实用。

4 、信息系统审计的方法（ 2 ）间接审计• 间接审计方法特点有一定的合理性，不管计算机如何处理，但是不能

满足审计要求，在批处理中比较实用。




（ 3 ）直接审计• 直接审计方法的基本任务主要强调测试计算机系统本身，而不是输出。测试计算机系统数据处理是否准确测试计算机程序逻辑和监理情况审查业务原始数据实际测试计算机程序逻辑和监理情况

（ 3 ）直接审计• 直接审计方法的基本任务主要强调测试计算机系统本身，而不是输出。测试计算机系统数据处理是否准确测试计算机程序逻辑和监理情况审查业务原始数据实际测试计算机程序逻辑和监理情况




测试数据测试数据计算机程序计算机程序

文件文件记录记录

处理结果处理结果

审计进行结果比较审计进行结果比较

预期结果预期结果

调出所需数据以便调出所需数据以便确定预期结果确定预期结果

（ 3 ）直接审计• 直接审计方法的原理（ 3 ）直接审计• 直接审计方法的原理




• 直接审计方法的特点可以测出正常情况的结果，也可以测出各种不同条

件下的状态。• 直接审计实例一个考勤系统中考勤数据有各种情况：考勤数是正常的考勤数是负的考勤项不存在考勤数大于上班数

• 直接审计方法的特点可以测出正常情况的结果，也可以测出各种不同条

件下的状态。• 直接审计实例一个考勤系统中考勤数据有各种情况：考勤数是正常的考勤数是负的考勤项不存在考勤数大于上班数




• 直接审计的关键• 组织一系列的数据测试组，这些数据与正常业务数

据一样由计算机处理。测试数据要有针对性，保证不向系统加进附加信息。

• 直接审计的关键• 组织一系列的数据测试组，这些数据与正常业务数

据一样由计算机处理。测试数据要有针对性，保证不向系统加进附加信息。




• 直接审计与间接审计的比较• 直接审计与间接审计的比较



对数据的影响

审计员的技术要求

要求审计员对系统了解

审计复杂性

费用使用计算机作审计工具

测试数据范围

审计的预防性

间接审计

无低无简单

低无窄事后的预防性差

直接审计

测试过程中应加以注意

高有复杂

占机时费用高

效率高较广预防性较好


5 、审查程序主要做的工作

• 熟悉编程和各种报告的标准以及程序员的习惯• 首先选典型而简单的程序解剖分析• 从当前使用的程序库中复制出源程序• 查阅程序说明书• 确定输入 / 输出文件


• 熟悉编程和各种报告的标准以及程序员的习惯• 首先选典型而简单的程序解剖分析• 从当前使用的程序库中复制出源程序• 查阅程序说明书• 确定输入 / 输出文件





• 打出若干月文件的记录格式，与设计的格式相比较

• 检查程序逻辑• 检查程序中 PERFORM语句和 GOTO 语句• 检查程序中 IF判断、错误和问题• 查看 ACCEPT语句• 借助计算机对程序进一步了解


• 打出若干月文件的记录格式，与设计的格式相比较

• 检查程序逻辑• 检查程序中 PERFORM语句和 GOTO 语句• 检查程序中 IF判断、错误和问题• 查看 ACCEPT语句• 借助计算机对程序进一步了解




IT治理据国外一份统计数据表明企业中 IT系统出现故障有几大原因： 1 、恶意代码攻击 ; 2 、缺乏有效的监控制度和手段 ; 3 、 IT设备本身的性能问题 ; 4 、应用系统 / 数据本身存在问题 ; 5 、员工缺少技能培训 ; 6 、不同部门的 IT人员之间缺乏协调 ; 7 、缺少运营管理方法论的指导 ; 8 、员工不按规足 / 流程操作。

可以看到在这些原因中都和管理与流程存在很大关系，要做好组织中的 IT风险控制和信息安全离不开 IT治理。


何谓 IT治理？

IT governance(IT治理 ) 是国际 IT领域中的新概念，用于描述企业或政府是否采用有效的机制使 IT的应用能够完成组织赋予它的使命 , 同时 , 平衡信息技术与过程的风险 , 确保实现组织的战略目标 .


IT 治理的范围 IT 治理范围可从不同角度划分： 1 、从治理的组织范围看：覆盖企业全部范围，包括最高管理层、执行管理层，乃至虚拟组织、战略联盟，等 2 、从治理的内容范围看：包括治理目标、治理结构、组织的整体战略、组织运营管理、风险与价值、成本与控制、审计与监督、服务标准和规范等方面的内容。


IT 治理的关键问题

IT 治理的关键问题表现在： 1 、 IT 投资是否与企业经营在战略目标 (Strategy) ，策略 (Tactic) 和运营 (即 operation) 层面相融合，从而构筑必要的核心竞争力； 2、 IT 治理是否有助于合理的制度安排真正发挥其作用； 3 、在长期的 IT 应用中，是否持续地创造商业价值； 4 、是否有有效的风险管理机制。其中最关键的问题是第一点： IT 治理应体现以“组织战略目标为中心”思

想。


搞好 IT 治理必须解决的问题： 1、 IT 关键领域谁做决策和如何决策。 5个 IT 关键领域： A 、信息技术原则； B 、信息技术结构； C 、信息技术基础设施； D 、企业应用需要； E 、信息技术投资及优先顺序。 2 、信息化中的责、权、利问题； 3 、信息化建设中的风险评估和绩效评价问题； 4 、信息系统控制与信息技术管理体系问题。


信息化建设中的风险管理及评估流程： 1) 确立可承受的 IT 风险损失价值； 2) IT 风险识别；（列举清单法、专家判断法、工作分解分析法、信息检索法、访谈法、流程图和鱼刺图法） 3) IT 风险预测； 4) IT 风险日常管理与控制； 5) IT 盈利与损失统计； 6) 风险再评级。绩效评价方法（业绩衡量）—— IT 平衡计分卡法。主要从以下几个方面衡量： (1) IT 价值贡献； (2) 客户满意度； (3) 内部处理过程； (4) 学习与创新。


(1) IT 价值贡献：主要用于评价 IT 投资对企业的价值综合影响， IT 是否满足企业的战略

需要以及是否支付预期的财务收益，评价 IT 价值贡献度的时候，需要考虑以下问题： ?IT 战略和组织战略需要集成的程度； ? 整体 IT 组合如何很好地进行管理； ?IT 花费是否与预期指出集成； ? 最大化业务价值和 IT 成本——效益。 (2) 客户满意度；主要从用户的视角评价 IT 提供的服务与支持在满足用户方面达到的水平。在评估 IT 对客户满意度的影响的时候，需要考虑如下问题： ? 业务单元与 IT 人员是否很好地集成到信息系统开发与获取的项目中； ? 客户对支付的 IT产品与服务是否满意； ? 用户对 IT 应用的接收和掌握情况。


(3) 内部处理过程 IT 内部过程关注 IT 部门两个基本过程的改进和度量：系统开发过程以及系统运营过程，此外也关注其他过程，如问题管理、用户教育、人员管理、通信渠道的使用等。在评价 IT 内部过程，主要考虑以下问题： ?交付的产品质量是否符合通用标准； ?交付的产品是否使用可普遍接受的方法与工具； ? 用于支持主要过程改进的 IT 资源是否充分； ? 基础设施是否为业务需要提供了可靠支持； ? 企业 IT 基础设施是否得到维护。 (4) 学习与创新主要用于评价 IT 组织的技能水平以及持续学习和革新的能力。在评价 IT 学习与革新能力的时候，主要考虑以下问题： ? 是否有正确的技能与人员来保证质量； ? 是否追踪对企业业务发展有重要意义的新技术的方向； ? 是否使用认可的方法来构建与管理 IT项目； ? 是否为员工提供适当的工具、培训、执行任务的动机。


IT 治理缺失的症状 1 、各自为政，缺乏统一、全局的 IT 战略规划； 2 、信息化建设领导者错位， IT 应用方案和企业业务需求之间逻辑错位； 3 、决策的技术经济论证不足； 4 、信息资源的合理应用是信息化的薄弱环节； 5 、利益冲突和信息的不透明； 6、 IT 安全治理和风险管理缺位； 7 、非技术性的障碍； 8 、重硬件购买，轻软件和咨询服务； 9 、信息化建设找不到重心。


建立有效的 IT 治理需从 5 个领域进行： 1、 IT 战略一致性； 2、 IT 价值交付； 3、 IT 资源管理； 4、 IT 风险管理； 5、 IT性能评价。


IT 治理标准有关 IT 治理的标准主要有： 1 、信息及其相关技术的管理体系模型和最佳实务一 COBIT ； 2、 IT 基础架构库 ITIL (Information Technology Infrastructure Library) ； 3、 ISO/IEC17799:2000 （信息安全管理实务准则） 4、 PRINCE2 （有关项目管理支持服务标准） 5、 TICKIT （软件质量管理系统保证标准）； 6、 NIST80O （公认安防信息技术系统原则和实务）； 7、 COSO 综合性框架；三种较为流行的 IT 治理评价方法： CobIT 成熟度模型、 PW 方法、 CBSO 法



COBIT简介： COBIT （信息及相关技术的控制目标），是有关 IT 治理的一个开放标准。该标准是国际公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为 IT 的治理、安全与控制提供了一个一般适用的公认的标准。该标准为组织有效的利用信息资源，有效管理、控制与信息相关的风险提供指导。 COBIT将 IT 过程， IT 资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构 COBIT 的体系框架包括四大部分：控制目标、管理指南、审计指南、工具集



4 个指标简介： 1 、成熟度模型 CMM

功能：确定 IT 控制的基准。从而认清企业所处的行业地位，如何测定和

比较 2 、关键成功因素 CSF

功能：勾画 IT 控制轮廓。从而描绘重要的、控制的关键成功因素 3 、关键目标指标 KGI

功能：识别 IT 处理过程的目标。从而认识哪些是必须做到的，不能达成

目标的风险有哪些 4 、关键性能指标 KPI

功能：测定 IT 处理过程的性能。从而评价 IT输出和实际绩效，评价处理

过程执行好坏的程度


IT 治理审计的实施： 1 、审核文挡文档包括：信息技术战略、计划和预算；安全政策文档；组织 /职能图；工作描述；指导委员会报告；系统开发和程序变更流程；操作程序；人力资源手册。审核要点：完整、合理、合法合规审核目的：检查相关文挡存在哪些问题和不足？哪些需要改进完善？


2 、对被审核文挡进行进一步评估主要包括：文挡是否如实反映了管理层的思想，并得到了授权；文挡是否适用于当前状况，并能得到及时更新。审核目的：通过证实文挡的真实可靠性、有效性等进一步获取有关审计证据，以便为对企业的 IT 治理状况进行分析、评价提供依据。 3 、现场调查（面谈和观察）主要包括：通过面谈从中了解有关信息系统的实际情况；通过观察对信息系统的真实情况进行证实、判断调查目的：证实文挡与实际的一致性；发现实际存在问题；进一步获取相关证据。 4 、得出结论，提出审计建议依据： IT 治理相关标准、模型等企业战略目标、公司治理目标等


谢谢各位祝各位事业成功

•交流产生思想•合作创造价值

欢迎各位 Nice to Meet U

Documents