欢迎各位 Nice to Meet U

1. 欢迎各位Nice to Meet U

2. 人力资源管理信息系统 HRMIS 主讲人：唐东平

3. 第6章 人力资源管理信息系统的项目实施 主要章节 6.1 系统实施阶段的任务 6.2 物理系统的实施 6.3 软件实施 6.4 系统运行与维护 6.5 系统安全性与审计 3

4. 6.5系统的安全性与审计 6.5.1 系统的安全性 自然现象或电源不正常引起的软硬件损坏与数据损坏； 操作失误导致的数据破坏； 病毒侵扰导致的软件、硬件与数据的破坏； 人为对系统软硬件及数据所作的破坏 • 数据或信息的安全与保密 • 软件（包括程序和资料）的安全 • 硬件设备的安全 • 运行安全 • 引起信息系统安全性问题的原因

5. 信息安全 • 保护信息使之免受损害。 • 备份或丢失 • 信息被窃 • 病毒 • 因特网的漏洞

6. 信息系统的安全 • IS的安全是指IS的系统资源及信息资源不受自然和人为的破坏与威胁。 • IS安全的主要内容 • 实体安全（环境、设备、存储介质、各种灾害） • 软件安全 • 数据的安全（信息的完整、有效性，合法使用）

7. IS 安全的管理策略 • 制订安全目标（安全工作的基础） • 制订安全管理制度 • 制订应急计划 • 制订信息保护策略 • 风险分析 • 加强检查宣传，定期审计

8. IS 安全的技术策略 • 用户名/口令体系的设置与使用 • 开机口令 • 网络用户名、口令 • 应用系统用户名、口令 • 权限控制 • 网络用户权限设置 • 应用系统用户权限设置

9. 防火墙技术 • -基于硬件的防火墙 • -基于软件的防火墙 • 计算机病毒防治 • -硬件隔离 • -服务器存取控制 • -采用防病毒硬件 • -采用防病毒软件 • 系统备份 • -硬件备份 • -系统备份 • -应用系统备份 • -数据备份 • 数据加密 • -文件 -记录 -字段加密

10. 计算机犯罪 • 有些犯罪将计算机作为工具（也就是伪造记录、钱和文档、通过通信连接进行欺诈活动，未经授权就进行电子货币转帐）。另一些犯罪以计算机系统作业目标，这包括犯法黑客非法访问计算机系统，病毒（系统型、应用型和文件型的）改变和破坏数据和程序以及盗取计算机资源。

11. 病毒 • 病毒是一种将自身附在其他程序上的程序。蠕虫是一种独立的程序，当它破坏其他系统和程序或中断计算机系统和网络的运行时才复制自身程序。应用型病毒感染可执行文件，系统型病毒感染操作系统程序。文件型病毒攻击文档文件。逻辑炸弹设计成在一个特定时间和日期爆发或执行。 • 病毒扫描软件辩认并清除有害程序。

12. 6.5系统的安全性与审计 6.5.2 信息系统的审计 1、信息系统审计的目的 （1）系统的审计是在系统投入运行后定期或不定期进行的，是为了确保系统数据的安全与正确，使系统正常运行所采取的监督审查措施。 （2）对系统实际运行情况进行集中分析和评价，管理信息系统审计是在平时管理工作的基础上进行的。 （3）审计目的： • 检查系统是否达到了预期目标 • 检查系统中各种资源的利用率 • 提出系统改进和扩充的方向

13. 6.5系统的安全性与审计 6.5.2 信息系统的审计 2、信息系统审计的内容 （1）组织管理 • 组织管理包括管理信息系统在组织中的地位、人员构成情况、计划情况等。 （2）系统运行 • 系统运行包括人员对系统的总印象、操作是否方便、系统可靠性、应用项目的数量与质量等。 （3）经济情况 • 经济情况包括系统预算、计划外开支情况、环境条件对开支的影响等。

14. 6.5系统的安全性与审计 6.5.2 信息系统的审计 2、信息系统审计的内容 （4）技术情况 • 技术情况主要包括主机时间占用情况、各终端联机的时间数利用是否充分、系统软件情况、数据的传输率能否满足处理的要求、外存储器是否够用等。 （5）审计评估 • 作为审计的结果，审计小组应向领导或管理信息系统主管人员提出对系统运行状态的评价与改进建议，这种建议可能是对现行系统进行某些修改，也可能是放弃现行系统，重新设计一个新系统。

15. 6.5系统的安全性与审计 6.5.2 信息系统的审计 3、信息系统审计的过程

16. 6.5系统的安全性与审计 6.5.2 信息系统的审计 4、信息系统审计的方法 （1）调查表法 • 调查的基本形式有：选择性问题，是非性问题，意见性问题，打分平均。 （2）间接审计 • 间接审计的方法原理 把计算机系统和程序作为一个黑盒子，调查其输入、输出报告来达到审计目的的方法，审计员选一些输入数据，测试想要的输出，如果结果吻合、精确度有效，认为系统工作合理。

17. 6.5系统的安全性与审计 6.5.2 信息系统的审计 4、信息系统审计的方法

18. 6.5系统的安全性与审计 6.5.2 信息系统的审计 4、信息系统审计的方法 （2）间接审计 • 间接审计方法特点 有一定的合理性，不管计算机如何处理，但是不能满足审计要求，在批处理中比较实用。

19. 6.5系统的安全性与审计 6.5.2 信息系统的审计 （3）直接审计 • 直接审计方法的基本任务 主要强调测试计算机系统本身，而不是输出。 测试计算机系统数据处理是否准确 测试计算机程序逻辑和监理情况 审查业务原始数据 实际测试计算机程序逻辑和监理情况

20. 6.5系统的安全性与审计 6.5.2 信息系统的审计 （3）直接审计 • 直接审计方法的原理

21. 6.5系统的安全性与审计 6.5.2 信息系统的审计 • 直接审计方法的特点 可以测出正常情况的结果，也可以测出各种不同条件下的状态。 • 直接审计实例 一个考勤系统中考勤数据有各种情况： 考勤数是正常的 考勤数是负的 考勤项不存在 考勤数大于上班数

22. 6.5系统的安全性与审计 6.5.2 信息系统的审计 • 直接审计的关键 • 组织一系列的数据测试组，这些数据与正常业务数据一样由计算机处理。测试数据要有针对性，保证不向系统加进附加信息。

23. 6.5系统的安全性与审计 6.5.2 信息系统的审计 • 直接审计与间接审计的比较

24. 6.5系统的安全性与审计 6.5.2 信息系统的审计 5、审查程序主要做的工作 • 熟悉编程和各种报告的标准以及程序员的习惯 • 首先选典型而简单的程序解剖分析 • 从当前使用的程序库中复制出源程序 • 查阅程序说明书 • 确定输入/输出文件

25. 6.5系统的安全性与审计 6.5.2 信息系统的审计 5、审查程序主要做的工作 • 打出若干月文件的记录格式，与设计的格式相比较 • 检查程序逻辑 • 检查程序中PERFORM语句和GOTO 语句 • 检查程序中IF判断、错误和问题 • 查看ACCEPT语句 • 借助计算机对程序进一步了解

26. IT治理 • 据国外一份统计数据表明企业中IT系统出现故障有几大原因： • 1、恶意代码攻击 ; • 2、缺乏有效的监控制度和手段; • 3、IT设备本身的性能问题; • 4、应用系统/数据本身存在问题; • 5、员工缺少技能培训; • 6、不同部门的IT人员之间缺乏协调; • 7、缺少运营管理方法论的指导; • 8、员工不按规足/流程操作。 • 可以看到在这些原因中都和管理与流程存在很大关系，要做好组织中的IT风险控制和信息安全离不开IT治理。

27. 何谓IT治理？ • IT governance(IT治理)是国际IT领域中的新概念，用于描述企业或政府是否采用有效的机制使IT的应用能够完成组织赋予它的使命,同时,平衡信息技术与过程的风险,确保实现组织的战略目标.

28. IT治理的范围 IT治理范围可从不同角度划分： 1、从治理的组织范围看：覆盖企业全部范围，包括最高管理层、执行管 理层，乃至虚拟组织、战略联盟，等 2、从治理的内容范围看：包括治理目标、治理结构、组织的整体战略、 组织运营管理、风险与价值、成本与控制、审计与监督、服务 标准和规范等方面的内容。

29. IT治理的关键问题 IT治理的关键问题表现在： 1、 IT投资是否与企业经营在战略目标(Strategy)，策略(Tactic)和运 营(即operation)层面相融合，从而构筑必要的核心竞争力； 2、IT治理是否有助于合理的制度安排真正发挥其作用； 3、在长期的IT应用中，是否持续地创造商业价值； 4、是否有有效的风险管理机制。 其中最关键的问题是第一点：IT治理应体现以“组织战略目标为中心”思想。

30. 搞好IT治理必须解决的问题： 1、IT关键领域谁做决策和如何决策。 5个IT关键领域：A、信息技术原则；B、信息技术结构； C、信息技术基础设施；D、企业应用需要； E、信息技术投资及优先顺序。 2、信息化中的责、权、利问题； 3、信息化建设中的风险评估和绩效评价问题； 4、信息系统控制与信息技术管理体系问题。

31. 信息化建设中的风险管理及评估流程： 1) 确立可承受的IT风险损失价值； 2) IT风险识别；（列举清单法、专家判断法、工作分解分析法、信息检索 法、访谈法、流程图和鱼刺图法） 3) IT风险预测； 4) IT风险日常管理与控制； 5) IT盈利与损失统计； 6) 风险再评级。 绩效评价方法（业绩衡量）——IT平衡计分卡法。主要从以下几个方面衡量： (1) IT价值贡献；(2) 客户满意度；(3) 内部处理过程；(4) 学习与创新。

32. (1) IT价值贡献： 主要用于评价IT投资对企业的价值综合影响，IT是否满足企业的战略需 要以及是否支付预期的财务收益，评价IT价值贡献度的时候，需要考 虑以下问题： ?IT战略和组织战略需要集成的程度； ?整体IT组合如何很好地进行管理； ?IT花费是否与预期指出集成； ?最大化业务价值和IT成本——效益。 (2) 客户满意度； 主要从用户的视角评价IT提供的服务与支持在满足用户方面达到的水 平。在评估IT对客户满意度的影响的时候，需要考虑如下问题： ?业务单元与IT人员是否很好地集成到信息系统开发与获取的项目中； ?客户对支付的IT产品与服务是否满意； ?用户对IT应用的接收和掌握情况。

33. (3) 内部处理过程 IT内部过程关注IT部门 两个基本过程的改进和度量：系统开发过程以及 系统运营过程，此外也关注其他过程，如问题管理、用户教育、人员管 理、通信渠道的使用等。在评价IT内部过程，主要考虑以下问题： ?交付的产品质量是否符合通用标准； ?交付的产品是否使用可普遍接受的方法与工具； ?用于支持主要过程改进的IT资源是否充分； ?基础设施是否为业务需要提供了可靠支持； ?企业IT基础设施是否得到维护。 (4) 学习与创新 主要用于评价IT组织的技能水平以及持续学习和革新的能力。在评价IT 学习与革新能力的时候，主要考虑以下问题： ?是否有正确的技能与人员来保证质量； ?是否追踪对企业业务发展有重要意义的新技术的方向； ?是否使用认可的方法来构建与管理IT项目； ?是否为员工提供适当的工具、培训、执行任务的动机。

34. IT治理缺失的症状 1、各自为政，缺乏统一、全局的IT战略规划； 2、信息化建设领导者错位，IT应用方案和企业业务需求之间逻辑错位； 3、决策的技术经济论证不足； 4、信息资源的合理应用是信息化的薄弱环节； 5、利益冲突和信息的不透明； 6、IT安全治理和风险管理缺位； 7、非技术性的障碍； 8、重硬件购买，轻软件和咨询服务； 9、信息化建设找不到重心。

35. 建立有效的IT治理需从5个领域进行： 1、IT战略一致性； 2、IT价值交付； 3、IT资源管理； 4、IT风险管理； 5、IT性能评价。

36. IT治理标准 有关IT治理的标准主要有： 1、信息及其相关技术的管理体系模型和最佳实务一COBIT ； 2、IT基础架构库ITIL (Information Technology Infrastructure Library) ； 3、ISO/IEC17799:2000（信息安全管理实务准则 ） 4、PRINCE2（有关项目管理支持服务标准） 5、TICKIT（软件质量管理系统保证标准）； 6、NIST80O（公认安防信息技术系统原则和实务）； 7、COSO综合性框架； 三种较为流行的IT治理评价方法： CobIT成熟度模型、PW方法 、 CBSO法

38. COBIT简介： COBIT（信息及相关技术的控制目标），是有关IT治理的一个开放标准。 该标准是国际公认的最先进、最权威的安全与信息技术管理和控制的标准。 该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准。 该标准为组织有效的利用信息资源，有效管理、控制与信息相关的风险提 供指导。 COBIT将IT 过程，IT资源及信息与企业的策略与目标联系起来，形成一个 三维的体系结构 COBIT的体系框架包括四大部分：控制目标、管理指南、审计指南、工具集

40. 4个指标简介： 1、成熟度模型CMM 功能：确定IT控制的基准。从而认清企业所处的行业地位，如何测定和 比较 2、关键成功因素CSF 功能：勾画IT控制轮廓。从而描绘重要的、控制的关键成功因素 3、关键目标指标KGI 功能：识别IT处理过程的目标。从而认识哪些是必须做到的，不能达成 目标的风险有哪些 4、关键性能指标KPI 功能：测定IT处理过程的性能。从而评价IT输出和实际绩效，评价处理 过程执行好坏的程度

41. IT治理审计的实施： 1、审核文挡 文档包括：信息技术战略、计划和预算； 安全政策文档； 组织/职能图； 工作描述； 指导委员会报告； 系统开发和程序变更流程； 操作程序； 人力资源手册。 审核要点：完整、合理、合法合规 审核目的：检查相关文挡存在哪些问题和不足？哪些需要改进完善？

42. 2、对被审核文挡进行进一步评估 主要包括：文挡是否如实反映了管理层的思想，并得到了授权； 文挡是否适用于当前状况，并能得到及时更新。 审核目的：通过证实文挡的真实可靠性、有效性等进一步获取有关审 计证据，以便为对企业的IT治理状况进行分析、评价提供 依据。 3、现场调查（面谈和观察） 主要包括：通过面谈从中了解有关信息系统的实际情况； 通过观察对信息系统的真实情况进行证实、判断 调查目的：证实文挡与实际的一致性； 发现实际存在问题； 进一步获取相关证据。 4、得出结论，提出审计建议 依据：IT治理相关标准、模型等 企业战略目标、公司治理目标等

43. 谢谢各位祝各位事业成功 • 交流产生思想 • 合作创造价值