資訊部門之管理與經營本章大綱第一節資訊部門營運管理第二節電腦安全管理與稽核第三節資訊部門管理控制第四節資訊科技投資的評價第五節資訊部門之經營資訊部門之營運管理資訊部門營運管理策略考量資訊科技架構系統設計與操作考慮外部服務來源之壓力與挑戰資訊服務供應來源之決策權資訊科技之規劃電腦中心之作業電腦操作的管理–電腦操作的管理應注意以下二點:明文規定電腦操作員應執行的功能訓練操作員如何使用及維護硬體軟體資訊部門之營運管理(續)電腦中心之作業網路通訊管理–網路系統管理功能範疇應涵蓋五部分:組態管理(Configurationmanagement)障礙管理(Faultmanagement)效能管理(Performancemanagement)安全管理(Securitymanagement)帳務管理(Accountingmanagement)生產工作流程管理與資料準備媒體管理監控電腦執行績效圖17-1管制組工作使用者組織準備資料電腦中心電腦房管制組外部資料服務中心資訊部門之營運管理(續1)系統容量之衡量與管理資訊人員之管理資訊專業晉升路線利基專業能力考量資訊人員的人性因素圖17-2資訊技能需求調查排名2002年對該技能需求的公司排名2002年對該技能需求的公司Web技能網路1.Java39%1.TCP/IP35%2.XML37%2.SNA6%3.HTML37%3.IPX6%4.ActiveServerPages37%5.VisualBasic33%語言資料庫管理系統1.Java36%1.Oracle34%2.C++26%2.MicrosoftSQLServer25%3.C20%3.MicrosoftAccess12%4.Cobol10%4.DB210%5.SybaseAdaptiveServer6%開發工具作業系統1.VisualBasic26%1.WindowsNT37%2.OracleDeveloper200020%2.Solaris18%3.VisualC++17%3.Linux11%4.PowerBuilder10%4.HP-UX11%5.OtherUnix9%圖17-2資訊技能需求調查(續)排名2002年對該技能需求的公司排名2002年對該技能需求的公司網路連結企業應用系統1.Routing12%1.Oracle19%2.GigabitEthernet10%2.SAP8%3.Ethernetswitching8%3.Peoplesoft7%4.10Base-TSwitching6%4.Siebel5%5.J.D.Edwards3%區域網路管理系統軟體及支援1.MicrosoftNTServer22%1.Internetapplicationdevelopment30%2.Ethernet10%3.HTTP10%2.ECapplicationdevelopment28%4.NovellNetWare6%3.Webserveradministration23%辦公室自動化/群組軟體1.MicrosoftExchange21%4.Projectmanagement20%2.LotusNotes7%5.Datawarehousing/mining18%3.CC:Mail2%4.NovellGroupWise2%電腦安全管理網路分散環境之威脅與挑戰現存電腦安全管理問題電腦病毒的種類與防範電腦安全管理與稽核防範企業經營中斷網路分散環境之威脅與挑戰現今整個電腦環境因為網際網路的蓬勃發展,對安全產生無比的挑戰,因為:有更多破解功能強大的網路入侵工具電腦病毒橫行大量連接點需要監測跨平台管理系統及網路的複雜度管理人員對於安全概念參差不齊市面上企業安全管理方案太多圖17-3電腦安全管理範圍網路通訊安全系統軟體安全人事安全實體安全電腦作業安全應用軟體與資料安全現存電腦安全管理問題電腦安全政策的執行與管理由個人或由一個部門單獨承擔。一般資訊單位人員與管理當局常從技術面來看電腦安全問題,並以為加強軟硬體設備即可解決安全弱點與缺失。殊不知電腦安全是有關人的問題,並且需要全員參與,而非僅是資訊部門人員之參與。主管電腦安全的人員不易說服高階主管瞭解電腦安全對日常營運的重大影響,以爭取電腦安全管理所需之資源。現存電腦安全管理問題(續)電腦安全問題常被列為次要的考慮。高階主管未激勵其員工遵守並執行電腦安全措施與規定。員工不瞭解組織有關電腦安全之政策、程序、準則與懲戒措施。員工並沒有定期接受有關電腦安全之訓練與課程。高階主管不瞭解員工有了良好安全觀念與態度對公司所可能產生之價值。現存電腦安全管理問題(續1)管理系統與資料之權利與義務沒有清楚之界定。諸如到底是哪個部門或哪個人擁有資料檔案所有權、誰有權使用、誰應負擔電腦處理費用、由誰操作、誰負責安全措施、由誰負責控制事宜,以及由誰負責維修等。未適當地在聘雇員工前徵信員工過去記錄。員工離職程序之管理不完備,一般組織在員工離職前不僅應要求繳回名牌與鑰匙,並撤銷通行證與密碼,且應詢問員工對於重要事項之看法,例如系統安全上之弱點,可能被誤用或濫用之情況,或任何應改進之建議等。現存電腦安全管理問題(續2)有關電腦犯罪、舞弊或偷竊等事件通常沒有向有關主管單位報告。在應用系統發展與維護階段,系統之可控制性、適用性、可稽核性、可維修性等問題,常沒有考慮週詳。因此,發展出來的系統難以使用、維修、稽核、測試、轉換及不具彈性等。使用部門與高階主管人員對於資訊人員在發展應用系統方面,常有不切實際之期待,因此常以外行領導內行的方式,造成資訊部門相當大的壓力,由於沒有充分的配合與支援,使得發展出的應用系統為急就章之產品,而沒有適當之文書手冊、安全控制等。電腦病毒的種類與防範開機型病毒(BootSectorVirus)程式型病毒(ProgramVirus)隱藏型病毒(StealthVirus)巨集型病毒網際網路電腦病毒電腦安全管理與稽核資產之確認與評價威脅來源之確認與發生機率之估計損失分析重新調整電腦安全控制電腦安全控制方法資產之確認與評價負責電腦安全之主管人員應調查以下六種主要之資產類別:人員–包括如分析師、程式設計師、操作員、文書人員、警衛等。網路及硬體設備–CPU、磁碟機、印表機、終端機、通訊設備。應用軟體–ERP系統、應付帳款、應收帳款、總帳系統、薪工系統等。資產之確認與評價(續)系統軟體–網路管理通訊軟體、編譯軟體、公用程式,DBMS、直譯軟體、作業系統。資料–主檔、交易檔、歷史檔、備份檔案。耗材–磁碟片、磁帶、空白帳單、憑證、影印紙、報表紙等。威脅來源之確認與發生機率之估計威脅乃指因某些事件或行動而導致損失之發生,如:天然災害–火災、水災、風災、雷擊、地震等。不可靠的系統–不可靠的系統威脅來源例如硬體經常當機,或操作不良,常常必須由工程師隨時搶修。又如軟體必須常常重新執行,而使得人員產生挫折,這種情況易使得控制鬆懈威脅有機可乘。人為因素–如電腦犯罪、洩密、蓄意破壞。威脅來源之確認與發生機率之估計(續)操作失誤–如對設備、資料、應用軟體、系統軟體等之操作錯誤。資源中斷–如因停電、停水、通訊中斷、電源干擾等。電波及輻射–如電磁干擾、非離子輻射等。圖17-4預期損失之情境威脅:操作員惡意損壞伺服器已有之控制:1.永遠有二個操作員同時在場2.在聘雇操作員之前皆先作過背景調查控制之弱點:沒有正式且定期地評估操作員的心理狀況可能發生之情況:當另一個操作員暫離電腦室時,精神狀況不太穩定的操作員可能會破壞伺服器。或者,這個精神不太穩定的操作員會強迫另一個操作員破壞電腦。發生之機率:一年小於萬分之一。所導致之損失:$400,000──重置伺服器之成本。評估:當調整控制之成本小於$40($400,000×1/10,000),則可以接受。電腦安全控制方法小心任用人選警覺到員工之不滿適切分工限制系統使用權限用密碼及磁卡保護資源將資訊及程式加密確實瞭解網路安全所需監控系統交易防範企業經營中斷使用內部資源多個電腦中心分散式處理通訊設備的備援區域網路使用外部資源圖17-5資訊系統稽核目標處理程式原始資料輸出資料檔6.整體安全4.開發程式5.修改程式2.處理正確完整1.原始資料正確合法3.檔案正確、完整、安全資訊系統稽核電腦稽核師應具備之知識如下:稽核標準、程序及技術組織與管理資訊處理作業邏輯安全、實體安全與環境控制電腦作業之管理控制措施系統軟體發展、取得與維護應用系統開發、取得與維護應用系統稽核資訊部門預算與持有資訊資源之總成本資訊部門預算之目的主要為:資源分配成本控制衡量資訊服務預算之品質衡量資訊服務績效協助長程策略規劃資訊部門績效衡量資訊功能必須定期地評估其績效與價值。此種評估通常是由一個委員會來執行,同時此項評估的主要目的亦是評估資訊主管之績效。此項評估涵括下列幾項:定期的績效報告使用者調查報告系統績效預警訊息整體效果衡量資訊科技投資的評價IT投資評估困難的原因:通常IT的投資都連結了一串其他投資決策,其中包含了過去與未來的投資,這是IT投資不易評估的最主要原因。由擴充原有IT平台所伴隨而來的相關成本,以及教育訓練等其他成本不易估算。IT基礎建設(ITinfrastructure)的成本可能會跨越組織的疆界,產生計算上的困難。在專案開始之際,有太多的不確定因素,導致難以評估。資訊科技投資的評價(續)在評估一個IT平台是否值得投資時,可從IT平台的投資是否有益於公司,及時間有多長來評估。而其中的「效益」可由以下幾個方向來考慮:是否有直接的效益?是否可對公司的未來產生效益?是否有使公司產生競爭優勢的效益?是否為策略必要(strategicnecessity)上需求的效益?資訊部門之經營資訊服務的產品面資訊服務的消費者資訊服務的配銷通路資訊服務的促銷資訊服務的訂價資訊部門之經營(續)資訊服務的配銷通路評估考量之風險供應商是否能不斷更新資訊產品?供應商財務健全與永續經營能力為何?消費者可能沒有能力控管資訊權限以致於資訊資源被濫用。低估委外的成本,忽略長期的成本因素。