【正文】 信息系統(tǒng)審計的由來與發(fā)展 （ 2）信息系統(tǒng)審計的主要基本內(nèi)容 信息系統(tǒng)審計的內(nèi)容是根據(jù)審計的目的而確定的，具體包括內(nèi)部控制制度審計、應(yīng)用程序?qū)徲嫛?shù)據(jù)文件審計、處理系統(tǒng)綜合審計和系統(tǒng)開發(fā)審計等。制定緊急恢復(fù)措施。 安全管理的實施 信息系統(tǒng)安全管理的原則 ：多人負責(zé)原則；任期有限原則；職責(zé)分離原則。 企業(yè)信息系統(tǒng)管理 —— 運行管理 （ 4）信息系統(tǒng)的安全策略和實施 信息系統(tǒng)的安全不是單純的技術(shù)問題，而是信息社會所面臨的社會問題。 是指因行為人的主觀過錯，對計算機信息系統(tǒng)的完整性、保密性和可用性造成危害；或者以計算機為工具，應(yīng)用計算機技術(shù)和知識實施觸犯刑事法律法規(guī)而應(yīng)受到處理的行為。 信息泄露 ：是指偶然或故意地獲得信息系統(tǒng)中的信息，造成信息泄露事件； 信息破壞 ：是指由于偶然事故或人為破壞，使系統(tǒng)的信息被修改，導(dǎo)致信息的正確性、完整性和可用性受到破壞。 主要是對計算機或外部設(shè)備、網(wǎng)絡(luò)的威脅和攻擊。 設(shè)計缺陷。 脆弱性口令。 企業(yè)信息系統(tǒng)管理 —— 運行管理 （ 2）信息系統(tǒng)的脆弱性 軟件缺陷。 抗攻擊性 。 可審查性 。 可控制性 。 企業(yè)信息系統(tǒng)管理 —— 運行管理 (1)信息系統(tǒng)的安全性主要體現(xiàn)在以下幾個方面： 保密性 。 （ 2）系統(tǒng)維護的對象 應(yīng)用程序的維護； 數(shù)據(jù)維護； 代碼維護； 硬件設(shè)備維護； （ 3）系統(tǒng)維護的類型 糾錯性維護； 完善性維護； 適應(yīng)性維護； 預(yù)防性維護； 企業(yè)信息系統(tǒng)管理 —— 運行管理 （ 4）系統(tǒng)維護的管理 系統(tǒng)維護的特點 ：代價高（ 60%70%的維護費用）； 對維護人員要求高。 （ 2）其他管理制度，如： 數(shù)據(jù)管理制度；密碼口令管理制度；防治病毒制度；網(wǎng)絡(luò)通信安全管理制度；人員調(diào)離的安全管理制度。 專人負責(zé)啟動、關(guān)閉計算機系統(tǒng)。 企業(yè)信息系統(tǒng)管理 —— 運行管理 信息系統(tǒng)運行管理部門的工作人員 包括：技術(shù)人員和管理人員。 生產(chǎn)副總裁 總裁 財務(wù)副總裁 營銷副總裁 信息中心 企業(yè)信息系統(tǒng)管理 —— 運行管理 ? 信息主管 （ chief information officer,CIO） :一般由副總經(jīng)理或副總裁擔(dān)任，直接領(lǐng)導(dǎo)企業(yè)內(nèi)信息資源管理部門，全面負責(zé)企業(yè)信息資源管理。 總裁 財務(wù)副總裁 營銷副總裁 生產(chǎn)副總裁 計算機室 財務(wù)處長 企業(yè)信息系統(tǒng)管理 —— 運行管理 （ 2）與職能部門平行的計算中心或信息中心。 企業(yè)信息系統(tǒng)管理 —— 運行管理 二 .運行管理的組織與制度 （一）系統(tǒng)運行的組織與人員 信息系統(tǒng)管理部門的名稱和地位的變遷。 ? 2． 系統(tǒng)文檔規(guī)范管理 ： 是對系統(tǒng)開發(fā)過程各階段產(chǎn)生的各種文件與檔案的保管及運行過程中更新文檔資料的工作，它也是使系統(tǒng)能正常運行的基礎(chǔ)性工作。即開發(fā)出的系統(tǒng)再好，如果運行不好，就無法體現(xiàn)系統(tǒng)的優(yōu)越性。 返回 企業(yè)信息系統(tǒng)管理 —— 運行管理 信息系統(tǒng)在運行階段將發(fā)揮作用，產(chǎn)生效益。 （ 2）項目實施中的監(jiān)理咨詢 1）協(xié)助用戶和開發(fā)人員明確需求 2）指導(dǎo)和規(guī)范系統(tǒng)設(shè)計 3）指導(dǎo)并監(jiān)控系統(tǒng)實施 4）參加系統(tǒng)測試，協(xié)助用戶做好系統(tǒng)評估。 用戶方（甲方） 監(jiān)理方（丙方） 開發(fā)方（乙方） 監(jiān)理機制下的信息系統(tǒng)對策模型 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 信息系統(tǒng)監(jiān)理的內(nèi)容 （ 1）項目實施前的監(jiān)理咨詢 1）協(xié)助用戶招標、評標，考察中標單位并給出資質(zhì)評估報告。 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 項目團隊的效率 一個有成效的團隊有以下特點 （ 1）對項目目標的清晰理解； （ 2）對每個成員的角色和職責(zé)的明確期望； （ 3）目標導(dǎo)向； （ 4）高度的合作互助； （ 5）高度信任； （ 6）嚴格的工作規(guī)范和文檔標準； 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 ? 企業(yè)項目管理軟件介紹 —— Project 2022 是由微軟推出的一 套優(yōu)秀的項目管理工具軟件，使用它可以控制簡單或復(fù)雜的項目，安排和追蹤所有的活動，讓用戶對活動的項目進展了如指掌。 （ 7）技術(shù)能力。 （ 5）談判及廣泛溝通的能力。 （ 3）權(quán)衡項目目標的能力。 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 信息系統(tǒng)文檔的類型和內(nèi)容 開發(fā)文檔 管理文檔 信息系統(tǒng)文檔 用戶文檔 用戶手冊 操作手冊 運行日志 /日報 系統(tǒng)分析說明書 維護修改建議書 系統(tǒng)設(shè)計說明書 測試計劃 /報告 可行性研究報告 項目開發(fā)計劃 需求變更申請書 開發(fā)進度報告 開發(fā)總結(jié)報告 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 六 .人員管理 項目負責(zé)人 （ 項目經(jīng)理 ） 的技能 項目經(jīng)理 成員 工具 組織結(jié)構(gòu) 任務(wù) 項目經(jīng)理面臨的要素 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 項目負責(zé)人 （ 項目經(jīng)理 ） 的技能 （ 1）獲得資源的能力。（功能性、可靠性、效率、安全性、易使用性、可維護性、可擴充性、可移植性、可重用性） 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 五 .文檔管理 文檔的作用與地位 文檔是信息系統(tǒng)的生命線 。信息系統(tǒng)要使用戶滿意，下面兩個條件是必不可少的： （ 1）設(shè)計規(guī)格要符合用戶要求；（設(shè)計質(zhì)量） （ 2）程序要按設(shè)計規(guī)格所說明的情況正確運行。 進度控制： 關(guān)鍵是監(jiān)控實際進度 ， 及時 、 定期地將它與計劃進行比較 ， 并立即采取必要的糾正措施 。 確定每項活動能夠開始 （ 或完成 ） 與必須開始 （ 或完成 ） 時間之間的正負時差 。 按計劃安排進度 ， 需要解決以下問題： 估計每個活動的工期； 確定整個項目的預(yù)計開始時間和要求完工時間； 在項目預(yù)計開始時間的基礎(chǔ)上 ， 計算每項活動能夠開始的時間和完成的最早時間 。 計劃確定需要做什么 、 由誰進行 、 用多長時間 、 成本是多大 。 （ 3）信息系統(tǒng)開發(fā)項目是智力密集型項目，受人力資源影響最大，項目組的結(jié)構(gòu)、項目組成員的責(zé)任心和能力對項目的成功與否有決定性影響。 企業(yè)信息系統(tǒng)管理 —— 開發(fā)管理 信息系統(tǒng)開發(fā)項目的特點 （ 1）目標不精確，越界較模糊，質(zhì)量要求更多地由項目團隊定義。 3）項目管理需要集權(quán)領(lǐng)導(dǎo)并建立專門的項目組織。 （ 2）項目管理特點： 1）項目管理是一項復(fù)雜的工作。 （ 2） 項目的屬性： 獨特性 ：每個項目都有獨特的地方 ， 沒有完全相同的兩個項目 。 委托開發(fā) —— 由使用單位（甲方）委托通常是有豐富開發(fā)經(jīng)驗的機構(gòu)或?qū)I(yè)開發(fā)人員（乙方），按照用戶的需求承擔(dān)系統(tǒng)開發(fā)的任務(wù)。 結(jié)構(gòu)化方法是最成熟、應(yīng)