美章网 资料文库 企业信息论文范文

企业信息论文范文

企业信息论文

企业信息论文范文第1篇

衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。

(一)物理存在的风险机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。

(二)网络和系统安全存在的风险石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。

(三)系统安全风险没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。

(四)安全管理存在的风险安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求[2]。

二、信息安全管理体系框架的主要构思

信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。

(一)组织体系企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。

(二)制度体系操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。

(三)技术体系管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制[3]。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”

三、信息安全管理体系相关步骤

由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。

四、结论

企业信息论文范文第2篇

1.员工信息技术程度低,导致项目实施难度高。

如前所述,农业企业因受制于往前传统的种植和生产管理模式,具体的基层管理人员甚至子公司经理的信息化技能严重欠缺,且年龄偏大。知识转移的工作量困难较大,信息化技能培训的难度较高。

2.信息化建设项目员工参与度低。

农业产业由于多年来的传统生产方式导致企业中存在一定的保守、对新事物接受程度低、接受速度慢等文化习惯,也导致企业员工在信息化建设项目中的参与意愿较低。

二、农业企业信息化建设进度影响因素分析

1.信息化项目内在因素对进度的影响。

(1)因农业企业的生产特点,导致进度受影响。在实际操作中因需求分析受以下几方面的影响:①需求提出的局限性。由于负责人职位问题,很少能够熟知全局业务运作,所提出的需求的完整性因人而异。②需求描述的复杂性。需求的完整描述不仅面面俱到,内部的关联性很强,错综复杂。③需求审查的随意性。面对如此繁杂的需求分析与描述举行的需求评审,并不能对需求描述作深入细致的分析。(2)低估了信息系统开发项目实现的条件。低估信息系统开发项目实现的条件表现在低估技术难度‘低估协调复杂度、低估环境因素这样几个方面。

2.组织保障体系对进度的影响。

(1)根本导向问题。在企业信息化建设项目开发和实施过程中,如果内部协调不力、没有形成合力,则最终很难完成信息化建设项目。这就必须要求项目管理组织必须明确工作基本准则和导向,在项目管理全过程都必需加以强调,否则,对项目管理的进度和成效将有极大的影响。(2)组织结构上的问题及其解决。作为项目管理的组织保证,项目组的组织机构对项目的成败起着关键作用,组织结构是项目管理的骨架,其功能是沟通信息、协调矛盾、控制进度、维持运转和指挥决策等。作为一个日常生产经营工作任务较重的农业企业,不可能成立项目式的项目管理组织,该项目的管理组织成员是由各部门抽调搭建成的,项目的项目组是矩阵式的组织构架,矩阵式组织构架既有项目组织注重项目的特点,而项目成员又是某一职能部门的成员,从而造成协调上的不利因素。

三、信息化建设项目进度控制的管理保障措施

1.农业企业必须做好业务流程的再造和完善。

(1)流程重组的三个阶段:初始阶段、分析设计阶段及实施阶段。首先是项目的初始阶段。这时应明确项目的内涵及意义,并由项目团队将需要改进的流程与企业的经营结果如提高利润率、降低成本等直接联系起来,使企业认识到改进流程的意义。然后,正式进入流程的分析及设计阶段。先对现有流程进行分析,可采用头脑风暴法,列出现有流程中存在的问题。其次找出现状与理想之间的差距,并在其中架设桥梁。然后据此设计出流程的各个步骤及衡量的标准。最后,提出从现状转化到理想状态的实施计划。最后,是流程的实施阶段。设计完流程并非万事大吉,实施阶段是关键。在这一阶段,要先定义实施的组织结构,与相关部门及员工沟通,并提供培训。(2)在流程改造的过程中,有几点关键因素必须注意:一是必须有高级管理层的支持,二是最好是由相关部门的代表设计,而不是完全依靠外力,这样才能保证新流程容易被接受、可实施性强。

2.组织结构上的问题及其解决。

(1)在企业内部必须明确信息化建设项目负责人与企业职能部门负责人的职责,确保项目负责人与职能部门负责人之间的权利平衡。在矩阵式项目组织结构中,项目组成员一般接受两方面的领导:项目组负责人和原所属部门负责人,一般情况下,成员对所属部门负责人的忠诚度更高,因此,必须明确项目组成员在项目组内部的汇报关系,这样有助于项目组成员对项目责任心的建立。(2)有效沟通和调节双方矛盾。为了确保项目在时间、资源、效能上的合理平衡,项目组负责人必须与相关职能部门负责人充分沟通,除了让职能部门负责人站在公司全局的高度上理解和认识企业信息化建设项目的重要性,项目组更必须帮助职能部门负责人充分了解项目各阶段所处的环境、工作任务、对资源的需求、项目进展等等,从而使职能部门对项目组和项目有充分的认识,了解项目的资源需求,从而帮助项目组的工作顺利进行。(3)确立项目管理工作的优先机制。在项目管理的实际工作中,随时都会遇到项目组和职能部门之间的矛盾,要注意到,不是所有的矛盾都是容易解决的,或者说不是所有矛盾都是可以通过沟通解决的。当两者的矛盾难以解决时,必须有一个机制来保证项目管理工作的优先性,这就从机制上确保了项目管理工作的优先性,从而保证项目管理工作的顺利进行。

四、结论

企业信息论文范文第3篇

信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:

1.1信息安全等级保护

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。

1.2网络分区和隔离

运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。

1.3终端安全防护

需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。

2.构建信息安全防护体系

电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。

2.1建立科学合理的信息安全策略体系

信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。

2.2建设先进可靠的信息安全技术防护体系

结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。

2.3设置责权统一的信息安全组织体系

在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。

2.4构建全面完善的信息安全管理体系

对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。

2.4.1用制度保证信息安全

企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。

2.4.3建设时就考虑信息安全

在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。

2.4.4实施信息安全运行保障

主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。

3.总结

企业信息论文范文第4篇

文件化是有效沟通方式的一种,尤其是在一对多的模式中。在中小企业,文件沟通不见得是最好的方式,当面沟通可能更有效。但是在大型集团企业中,甚至一国政府,当面沟通不但低效,而且存在诸多弊端,例如,信息传递过程中的失真。几乎所有的大型组织最终都会选择文件作为主要的沟通载体之一,由此便导致了“文山会海”的弊端。因此,对于文件化的信息安全管理体系设计应该遵循以下两个原则:

(一)按照组织的最小需求设计文件,降低文件数目

制度是一个广泛的概念,其中包括了明确的或隐含的规则,实际上对于制度而言,表现形式是最次要的一部分。在实践中,更表现出了这样的特点,许多法律法规文件可能效力远不如某些潜规则。组织追求庞大的文件体系,原因可能有很多。例如,主管部门为了追求“尽职,免责”。由于立法、执法和监督部门往往都是分离的1,组织内部不免会陷入相互推诿。信息安全事件发生后,负责执行的部门往往会归结为由于缺乏相应的立法,导致“无法可依”。在这种情况下,立法部门往往会尽量设计更全面的制度。但立法部门最关注的不是制度的可实施性,换句话说,他们最关心的是“有法可依”,而不是“有法必依”。国家的法律虽然繁杂,但是有专业的律师提供服务,普通人不需要了解其中的细节。但是一个组织的制度则不同,组织内部不可能提供类似律师一样的专业服务。每一个制度,原则上员工都需要了解。显然,员工不可能花太多的精力去学习更多的文件。所以,过多庞大的制度体系不但不会提升组织的正规化,反而使组织落入“制度在墙”的尴尬境界。

(二)可以由上级统一文件化的,下面不再文件化

许多制度的关键点不在于好或坏,而在于能够被统一的执行,例如,左侧行驶或者右侧行驶,没有本质的区别,重要的是,在特定的范围内能够被统一的,无差别的执行。组织内部的制度也遵循同样的道理。在大型集团企业内,如果某个制度能够被统一,应该尽量由上级统一文件化,下级机构可以据此执行,或者适当修改后执行。这样做的目的是形成统一的规则,降低不确定性带来的成本。综上所述,以上两个原则应该贯穿信息安全管理制度文件架构的始终,即(1)只在必要的时候才单独成文;(2)尽量在全集团内设计推行统一的制度文件。

二、集团企业信息安全管控模式设计

大型集团企业的整体管控模式,按照母子公司的集权分权程度,可以划分为财务管控、战略管控和运营管控三种。信息安全管控模式首先要适应整体的集团管控模式,如上所述,ISO/IEC27001:2013默认部署的范围是一个组织或者组织的一部分,并没有考虑集团企业的情况。集团企业往往是由诸多独立运营的公司所组成,这就关系到管控问题,信息安全管控模式的本质是信息安全管理制度的顶层设计。我们以大都控股集团2的组织结构为例设计管控模式,大都控股集团的组织机构如图1所示。根据《信息安全管理体系实施指南》的文件架构设计,我们将大都控股集团的文件分为四级。

三、结语

企业信息论文范文第5篇

在这个信息大爆炸的网络时代,我们的日常生活时刻受到信息化的影响,特别是企业的发展也受到了信息化的巨大影响。企业对信息进行管理,事实上就是在大量的信息中提取出所有有效的信息,在给企业的发展带来有效信息的同时,排除掉那些干扰的信息。所谓企业的信息发展战略,正是运用系统、科学的手段将单纯的信息管理工作调整为对企业的整个信息工作进行统筹规划。由于企业的全部产品销售、产品生产、市场战略等各种企业管理都需要信息管理IM战略来对其进行规划,IM战略的职能涉及不止一个部门甚至包括多个网络部门的作用。现代的企业信息管理战略正是通过对当前部门或者组织的程序和结构、部门员工职责、工作的具体内容等进行评价,来展现其重要作用。

二、企业信息管理投资内容

从办公自动化系统、电子销售系统、分销管理信息系统、客户关系系统、企业财务管理信息系统等共同组成了EIMS投资的内容,企业信息战略投资所包含的内容十分丰富,其基本系统共同构成了EIMS战略中的基础系统,这些单一的系统组成了整个企业的EIMS管理的具体内容和具体设备。同时,EI-MS能够在企业中发挥出正常的作用是必要的前提,需要先建设企业信息系统,由于不论是战略意识的发展还是系统的更新都需要完美的硬件设备的支持。因此,通过对计算机等硬件设备的投入、企业的网络管理中心建设、企业网络总体建设等硬件设备建设,最终才能达到建立企业的信息系统的目的。同时,企业的信息系统建设之所以能够在企业的战略投资管理中占有如此重要的基础地位。并不仅仅是因为它包含以上这两种系统和硬件的投资,一个企业EIMS战略的投资还必然包括其他方面的投入。简单来说,在对企业的信息进行科学性的管理之前,也会选择一些专业的信息咨询机构对企业所要进行的项目进行专业化的评估,并对于接下来的建设提供一些专业的意见建议,然后企业根据建议结合自己的想法,来决定是否需要继续进行投资,也可以大概把握自己接下来的投资有多少收益,这样一系列的工作其实是咨询投资,这也是企业EIMS战略投资的一部分。

三、企业信息管理投资技术

投资战略,具体包括三个方面:前期的投资内容、投资方式以及后期的投资价值评估。随着信息时代的发展壮大,信息技术在工业的应用逐渐兴起。EIMS投资技术的评估是企业信息管理战略中的重要内容,同时对企业未来的发展起着至关重要的作用。

(一)投资评估的时效性

由于投资评估产生的实际效果与其选择的时间节点之间存在着一定的联系,这就使得投资评估具有时效性。所以在长期的EIMS项目的发展运营过程中。企业在对评估时间节点的选择是各种各样的,既可以选择根据项目的具体经营周期来评估,也可直接选择在项目建设的前、中、后等各个时期进行评估。虽然企业对于评估时间节点的选择没有具体的限制,但是企业所有的评估都需要建立在一个符合实际、具有实效性的重要原则之上,这也是确立评估时效性的根本。

(二)投资决策环境

企业的制度安排和政策决策都要受到当时的内外部环境影响和制约,企业的决策最终是由多种原因综合导致。尤其面对企业的投资决策时,客观环境对决策的作用具有明显的影响力。具体到EIMS确定的决策环境,不仅包括企业当时所处的经济环境和社会环境,还包括投资者对EIMS战略的具体认识程度,例如投资者对于EIMS发展的眼光以及对投资所能接纳的投资成本等一系列问题,会成为影响EIMS具体内容的重要客观因素。

(三)信息系统建设

企业信息论文范文第6篇

1.1权限管理与数据处理

用户变更应用系统权限、处理业务数据时,需用户所在部门审查和业务管理部门审批后交由系统管理员确认,进行增删改操作。用户权限分配须遵循最小权限原则,用户口令长度应满足密码复杂性要求,用户账号的命名规则应规范管理;进行业务数据的变更操作前需做好备份工作,并在有人监护的情况下严格按照作业指导书开展工作。

1.2系统缺陷与需求管理

为了改正软件的缺陷、扩充新的功能、满足用户需求,需进行系统缺陷与需求管理,优先改正那些影响系统正常运行的严重缺陷。对于已知的缺陷需进行全过程管理,如将级别设置为“紧急”和“一般”,将状态设置为“新建”、“待解决”、“已解决”、“已修复”等。对于新的需求,应与业务部门进行需求分析,编制需求说明书,确定可行性,再纳入开发计划,完善软件功能,提高软件质量。为了改进软件的可靠性和可维护性,适应未来环境和用户需求的变化,应主动增加预防性功能,减少维护工作量和延长软件生命周期。

2系统故障管理

信息系统发生故障后,信息系统管理员应组织相关人员对故障进行处理,需从网络、服务器、接口、数据库、应用等多方面定位问题。一般结合监控分析系统的实时告警信息,可以很快地分析出故障的影响范围和问题原因。无论大小的故障,都应该及时地记录故障的发生时间、故障的现象、故障发生时的工作环境、处理的方法、处理的结果、处理人员、善后措施、原因分析等,形成故障处理分析报告,这对于信息系统的运维具有重要的意义。企业级信息系统故障主要来源于数据库和应用服务器。

2.1数据库故障

表空间不足、归档日志空间占满是一般常们一般可以通过ORACLE自身的日志或者前端提示的错误信息进行快速定位,通过扩充表空间的设备文件进行故障的排除。归档日志空间占满大多是由于大批量数据变动引起归档日志空间被占满而造成数据库没有响应,登录对应的实例数据库时会报无法登陆,等待日志空间回收;解决此类问题的办法就是备份归档日志,然后删除归档日志空间的归档日志文件。

2.2应用服务器故障

当出现服务器不响应新的请求、请求超时、请求处理的时间长等,这可能是应用服务器挂起故障。例如内存溢出,即当JVM最大的内存数无法满足应用逻辑处理的需求,系统就会报内存溢出(OutOfMemoryError)错误,从而挂起应用服务,这一般需直接重启应用服务来解决问题。一般来说,服务器挂起之后可能会崩溃,这需马上进行线程监控,查看每个线程在特定时刻正在执行什么操作的信息,是否存在死锁或大量请求等,通过kill-3那些影响性能的进程。对于应用服务器故障,我们平时应注重对SQL语句优化、weblogic配置调整、JVM配置优化、扩充应用服务器内存和CPU等系统性能优化,能有效降低故障发生次数。

3结束语

企业信息论文范文第7篇

在经过中国证监会调查后,光大证券此次乌龙事件的原委已经公布。从事件发生的原委来看,此次乌龙事件暴露的问题不仅仅是软件程序问题,更是对公司核心业务信息系统的风险控制问题,光大证券在其自营业务的策略交易系统的管理中存在较为严重的设计和运行缺陷。

1.1信息系统的程序开发存在设计缺陷调查结果显示,光大证券策略投资部自营业务使用的策略交易系统中,无论是订单生成系统还是订单执行系统,均存在严重的程序设计错误。其中,订单生成系统中套利模块的“重下”功能的买入函数将“个股”写成了“ETF一篮子股票”;而订单执行系统将市价委托订单的股票买入价格默认为“0”,导致无法对超出账户授信额度的交易进行校验并限制。目前,很多企业的信息系统在设计阶段都会存在程序上的问题。因为在程序开发中,业务人员为了提升操作的效率,往往将很多控制性的要求在程序中弱化,而程序法开人员也没有足够的风险意识,只是简单满足业务人员的需求,导致很多操作程序的后台逻辑存在严重漏洞。

1.2信息系统的操作执行没有制衡,存在严重不足从本次乌龙事件的发生原因来看,光大证券交易环节不仅存在程序的设计缺陷,其运行缺陷也显露无疑。一般来说,从订单生成到完成交易,在系统自动审查的基础上,至少还应存在交易员审查、部门审查和公司审查三个关口,而“乌龙指”的发生说明这三个关口都存在严重的缺陷。

1.2.1在交易员层面。公司应对交易员设定对于交易品种、开盘限额、止损限额的三种事项的风险控制机制。而实际操作中,由于系统设置的错误,导致后两种根本没发挥作用,而交易员也没有进行很好的价格自我检查,缺少必要的双人复核机制。另一方面,交易员在准备使用“重下”功能时,由于不了解该功能的操作,所以请教了程序员,而程序员直接在交易员的实盘操作中,演示了系统功能,这表明无论是业务人员还是程序人员风险意识极其淡薄。

1.2.2在部门层面。公司的要求是部门实盘限额2亿元,当日操作限额8000万元,但是从实际结果来看,这些控制要求都没发挥作用,公司对业务部门根本没有严格的金额上线控制。另一方面,公司的风险控制部门在本次事件中也形同虚设,没有起到必要的监督职能。证券业中风控部门的级别偏低,相较于贡献盈利的交易部门来说,风控部门较弱势。在很多情况下,交易部门会以“耽误交易时机”等借口,阻碍风控部门进行必要的审核,这也是此次导致此次意外发生的原因之一。

1.2.3在公司层面。一方面,公司监控系统没有发现234亿元巨额订单;另一方面,公司动用了其他部门的资金来补充所需头寸来完成订单生成和执行,或者根本没有头寸控制机制。

1.3存在问题的信息系统没有经过严格的验收和测试令人意外的是,此交易系统的开发和测试由一个人完成,缺少必要的不相容职务的分离,使得测试人员无法及时发现程序中存在缺陷。同时,公司的订单生成系统发生异常的“重下”功能和订单执行系统的额度控制功能,在很多人看来是非经常性功能,所以没有经过严格的测试就进行了实盘运行。另外,策略投资交易系统从开发完成到上线实盘操作,仅仅只有1个月的时间,导致了验收和测试流于形式,使事故在上线后的半个月不可避免地发生了。

1.4公司在乌龙事件发生后进行了不实的信息披露最后,不得不说,光大证券在系统发生故障时,没有第一时间向公众公告,而是采取了股指期货对冲风险,构成了内幕交易。而光大在下午交易刚开始的否认性反应,更是给了公众虚假的信息传导。在这点上,券商内部也应有交易异常的响应机制,发现异常及时上报,查明原因并确定止损方案,连同原因与方案进行公告,不能给投资者造成二次伤害。

2.启示与教训

通过信息系统来提升公司的交易效率,实现业务的更高盈利本是一件好事。然而,光大证券由于信息系统的使用不当,出现了如此事故,给资本市场投资者、上市公司自身以及公司管理层都带来了巨大的伤害。其实,2010年,财政部、证监会等五部委颁布的《企业内部控制应用指引》就将信息系统作为第18号指引,可见监管机构对信息系统在企业经营管理中作用的重视。“乌龙指”事件再次引发了对公司信息化管理尤其是核心业务的信息系统管理的深入思考。笔者认为,这一案例给规范公司信息系统管理带来了一些启示。

2.1重视信息系统的开发程序的参与人员管理信息系统作为涉及人工操作的工具,虽然有其强制性和严格性特点。然而,一旦程序出现错误,系统也将如常执行,无法进行智能化的暂停。因此,对信息系统的管理来说,把握好开发环节是整个系统控制是否有效的关键。信息系统开发虽然是为了满足业务的操作需求,然而不能仅将其作为业务人员和程序人员的事务,更要重视风险管理人员在程序开发中的参与。风险管理人员是为了帮助公司的信息系统开发者关注到各种重大风险,并及时在系统中进行导入和修正,防止信息系统由于过分的强调效率而忽视了必要的风控。在本案例中,在订单生成系统到达订单执行系统的过程中,不仅应具备额度校验机制,系统也应被设计为“在产生大额的订单时,有相应警报机制,在送达交易所系统之前,能对交易的数量和金额再次确认”。

2.2加强信息系统开发的验收的测试在不同具体情况的应用中,无论多成熟的系统也会出现各种各样问题。而严格的验收和足期的测试是程序错误尽量微小的重要保证。然而,现在很多企业在信息系统上线前,由于对信息系统过于自信,以及缺乏对信息系统的了解,使得很多验收流于形式,甚至很多企业根本不开展。一般来说,在验收环节,首先,要做到不相容职务的分离,特别是开发人员不得担任验收人员,以防止无法全面发现错误。其次,在开发完成后,应由业务部门、开发部门联合风控部门,对系统各个环节进行数据的模拟测试,将各个功能全部使用,保证每个功能的有效测试,并留存完整的测试记录。第三,对于新开发的功能或者交易复杂的系统,公司应在开发完成后的一段时间内,进行多人次的测试,尽量以不同人员进行测试,产生尽可能多的结果,如无明显异常,再上线实盘操作。

2.3强化风险管理部门在信息系统使用中的风险监督机制笔者认为,风控部门应在交易的评估与执行中,有一定的发言权。在交易之前,风控部门应共同参与交易部门对交易风险的评估,设定交易的风险指标;对于重大交易方案,风控部门在实际交易之前,应具有审核权限。交易下单后,风控部门应对交易的全过程进行监控,一旦意外发生,风控部门也能及时采取一定的应急措施进行处理。除了关注业务本身外,风控部门也应该提升对信息系统的关注程度,必须对核心的信息系统进行重点关注,了解其关键参数、关键数据库的设置,并组织专家对整个信息系统的操作进行定期的检查和监控。尤其是在系统上线的前期,更要强化对信息系统的功能风险的不间断评估。

企业信息论文范文第8篇

1、企业信息安全管理要素构成对于企业信息安全管理要素的构成,国际上普遍遵循的是ISO17799:2005标准的分类方法。ISO17799将企业信息安全管理实施分为11个方面,分别是物理和环境安全、信息安全事件管理、人力资源安全、安全政策、组织信息安全、资产管理、通信与操作管理、访问控制、业务连续性管理、信息系统获取开发和维护、符合性。这其中,除了与技术关系较为紧密的访问控制、信息系统获取开发和维护、通信与操作管理这3个方面外,其他信息安全管理要素更侧重于组织整体的运营管理,在实施企业信息安全管理过程中有较高的参考意义。为了实证分析中数据测量方便,本文参考该标准,从企业的角度,按照各要素属性及控制措施的相似性,将ISO17799标准中的11个要素整合为6个要素,分别为组织环境(符合性、安全政策、组织信息安全)、人力资源安全、资产设备安全(资产管理、物理和环境安全)、操作管理(通信与操作管理、访问控制)、应急响应机制(信息安全事件管理、业务连续性管理)和信息系统开发与维护。

2、研究假设

(1)组织环境。

本文中的组织环境侧重于企业中的政策制度、人文环境等软环境,主要指所有潜在影响信息安全管理活动的因素或力量,在企业的信息安全管理中起导向性的作用,具体包括企业的安全政策方针、安全文化氛围和业务符合性等。企业信息安全管理成功的实现离不开组织环境的支持,良好的组织环境对企业的信息安全管理有重要的推动作用,它有助于企业各项安全政策、安全策略的实施。组织的安全政策是组织实施信息安全活动的战略导向。完备的安全政策、方针可以为企业的每一个员工提供基本的行为准则、指南,使得企业信息安全管理的各项活动都有章可循,促进信息安全管理进程的实施。齐晓云(2011)通过实证验证了企业信息系统的失败与缺乏相应的制度与机制保障之间存在强相关关系,制度与机制保障对信息系统成功有正向的影响作用。企业的安全文化氛围等人文环境是组织环境的一个重要组成部分,它是企业的一种无形的管理思想。相关研究表明,环境对人的安全行为习惯养成有着较大的影响。其中,人文环境的影响尤为明显。VanNiekerk(2010)指出,导致信息安全事故的主要因素是企业信息安全文化氛围的减少。良好的安全文化氛围可以提高员工的安全意识,不单能避免由员工的不安全行为所产生的风险,更能促进全体员工参与到保障组织信息安全的行动中来,最大程度消除事故隐患,有效预防和减少各类事故的发生。Herath(2009)通过问卷调研的实证研究验证了惩罚力度是企业员工的安全行为重要影响因素之一,说明企业的政策制度对人力资源安全有着正向的影响。

(2)人力资源安全。

人在企业信息安全管理活动中不仅是主体,也是客体。主体是指许多信息安全控制措施实施的实现是由“人”来完成的;客体是指“人”也是信息安全管理中所要管理的对象。据有关统计表明,在所有的信息安全事故中,约有52%是人为因素造成的,因此,人力资源安全管理显得十分重要。在企业中,高层领导轻视信息安全是导致企业信息安全文化欠缺和员工信息安全意识薄弱的主要因素。中层管理者是衔接企业高层与基层的桥梁,企业信息安全管理实施的效果直接取决于中层管理者对上级决策的执行力度。Ashenden(2008)通过实证研究发现中层管理者的执行力度不足会造成高层管理者和员工之间对信息安全管理存在理解上的差异,这种差异会对企业的信息安全管理产生不利影响。普通员工对信息安全管理的参与配合不够会导致各项安全政策、方针不能准确落实,继而影响到信息安全管理的其他方面。

二、研究过程

1、研究设计与样本

(1)研究设计。

本文在借鉴国内外现有成果的基础上,结合企业信息安全管理的实施程序,设计预测试问卷。问卷采用Likert5点量表对各个项目加以度量,1表示“非常不符合”,5表示“非常符合”,根据答题者对每一项目的打分来判断企业对某一现象表述的态度或看法,若分数越高,认同度越高。

(2)调查样本。

本文采取简单随机抽样的方式形成样本,面向长三角发放调查问卷200份(其中150份通过电子邮件发放,50份通过实地走访企业完成),最终收回155份,有效问卷率为69.5%。调查企业均为中小型企业。

2、测量工具及其信度和效度检验

(1)信度检验。

本研究首先对量表进行信度检验。信度检验采用了学术界普遍使用的Cronbach''''sα系数来衡量数据的内在一致性信度。一般情况下,若Cronbach''''sα系数小于0.35为低信度,在0.35到0.5之间勉强可信,0.5到0.7之间信度较好,大于0.7则属于高信度。本文通过对6个维度进行信度检验,发现6个维度的Cronbach''''sα系数最小值是0.669,其余都大于0.7,量表总体的Cronbach''''sα系数未0.897,表明此量表的可靠性较高,量表选项设计是合理有效的。

(2)效度检验。

首先采用了KMO度量和Bartlett球形度检验对量表的内容效度进行检验。各维度的KMO度量介于0.638到0.907之间,总体样本KMO度量达到0.833,所有的显著性系数均趋近于0,低于设定的显著性水平(p<0.01),表明量表的内容效度较高。从探索性因子分析结果看,信息安全管理量表的每一项目的因子载荷均大于0.55,大于前人所建议的社会科学量表因子载荷0.55的临界值。从验证性因子分析的结果看,除GFI和NFI没有通过检验外,其他统计检验量全部通过检验,整体通过率为77.7%,见表4,因此可以判定量表与数据之间具有不错的拟合性,量表整体结构效度较好。

3、结构方程模型构建

在理论模型的基础上,运用结构方程软件AMOS7.0构建了初始结构方程模型,并进行拟合优度检验。根据运行结果,GFI值(0.884)、NFI值(0.736)、CFI值(0.899)小于0.9的参考值,PNFI值(0.448)小于0.5的参考值,未能通过检验,说明结构模型与数据的拟合程度处于不可接受的状态,因此需要对初始模型进行一定的修正。另外,运行结果表明,组织环境对资产设备安全和应急响应机制的影响路径系数未达显著性水平,因此在修正时将这两条路径删除。修正后的指数均达到模型可以接受的标准,即修正后的结构模型与实际数据可以适配。

4、研究结果

将AMOS输出的路径系数进行整理,其中,直接效应是指潜在自变量到结果变量的直接影响,用潜在自变量到结果变量的路径系数来衡量直接效应的大小。间接效应是指潜在自变量通过影响一个或多个中介变量,而对结果变量的间接影响。在本研究中,组织环境是潜在自变量,它对其余五个结果变量有直接或间接影响。同时,组织环境通过影响人力资源安全,从而对其余四个结果变量产生间接影响,因此人力资源安全是模型的中介变量。上述实证结果表明,组织环境主要通过人力资源安全间接影响资产设备安全和应急响应机制。间接效应系数均为正,分别为0.121和0.27,研究结果对假设H4、假设H5呈现弱支持。总的来说,组织环境对信息安全管理的各个要素有着不同程度的直接或间接的影响,这也验证了组织环境在企业信息安全管理中的中心地位,对企业的信息安全管理有着决定性的影响,企业应该首要考虑如何完善这一要素。人力资源安全对其余四个要素的作用均为正,且四条路径系数都达到了显著性水平,假设H6-H9得到了支持。在这四条路径中,人力资源安全是组织环境和其余四个要素的中介变量,通过该中介变量的间接效应,组织环境对四个潜在变量的总效应系数明显增大。可见,人力资源安全在信息安全管理中发挥中介作用,组织环境通过人力资源安全部分中介作用于信息安全管理其他要素,对其他因素产生关联性影响。因此,企业在信息安全管理活动应充分发挥人力资源安全的中介作用,使各项安全政策、规章制度的实施达到事半功倍的效果。

三、结语