面向信息时代的信息技术_[全文].doc

面向信息时代的信息技术 前言 本书是应国际注册内部审计师CIA培训需要，在2001年授课基础上编写而成。主要供企业内部审计人员参加CIA认证考试，以及企业管理人员学习掌握信息技术使用。 随着我国加入世贸组织，企业需要在更广阔的国际视野中通过竞争，求生存、求发展。在这个过程中，利用信息技术提高企业核心竞争能力，将是发展的必然趋势。包括财会人员在内的企业管理人员，学习掌握信息技术，已经成为了不容回避的当务之急。注册内部审计师资格认证考试，以其新颖、务实的知识体系受到世界众多国家的认可。中国内审协会适时地引入了该项考试。关于信息技术已有的教材很多，但是适合于企业管理需要、供非专业人员学习的教材却很难发现。本书参照CIA认证考试所要求的知识体系，系统讲述了企业的信息系统应用、技术基础和相关的安全管理控制，特别适合管理人员对信息技术的学习、掌握和在实际工作中应用。 本书包括5章内容。第1章重点讲述企业的各种信息系统应用及相关管理知识；第2章从计算机硬件、操作系统及网络通信等技术角度讲述信息系统的技术基础；第3章讲述信息系统中的数据管理；第3章介绍信息系统的建设方法、过程与相关步骤；第5章从系统安全的角度讲述各方面安全控制措施。 在本书行将成稿之即，特别感谢李海峰硕士在本书编写过程中提供的各种支持。另外也感谢王颖峰小姐参与第3章内容的编写，并牺牲了大量个人时间为本书的编写提供帮助。本书编写时间紧，内容涵盖知识面广，多有未尽之处，请不吝赐教指正。 第一章：信息系统的战略 信息系统安全的控制目标 与信息系统相关的管理问题 信息系统运转的职能部门 信息系统的战略应用 新出现的技术 第二章：硬件、平台、网络等 计算机设备 计算机网络 通讯技术与数字通信 操作系统 第三章：数据处理 微机软件 数据流与数据处理 数据组织与不同类型的文件 数据库程序 EFT与EDI 第四章：系统开发 最终用户开发的风险 系统维护与更改控制的控制目标 系统开发控制 系统开发生命周期 软件许可证问题 程序设计方法 系统开发的技术与工具 第五章：信息系统 信息系统的风险 不同水平的信息系统安全控制 持续计划 应用软件中的控制 附录：计算机术语 第一章：信息系统的战略 信息系统安全的控制目标 1信息系统的风险 风险是发生某种威胁使资产损失或破坏的潜在可能。 风险的概念包括以下内容： ●威胁、薄弱点、处理过程或资产； ●对资产基于威胁和薄弱点的影响； ●袭击的可能性。 风险的概念包括四个元素：资产、威胁、脆弱性、影响。 信息系统中的资产包括：信息和数据、硬件、软件、服务、文档、人员 信息系统受到的威胁包括：错误、恶意破坏、欺诈、盗窃、软硬件故障 信息系统的薄弱点包括：用户缺乏知识、缺乏安全措施、口令缺少变化、未经测试的技术、无保护的数据传输 威胁所带来的影响包括：直接的经济损失、违反法律、名誉声望受损员工或客户受到威胁、信心受损商业机会的损失、效率与性能的降低、商业行为中断。 2信息系统的控制目标 控制是为实现企业目标，避免、检查、纠正不受欢迎事件发生提供合理担保的政策、措施和组织结构。控制目标是通过实施控制过程要达到的目的或结果。 企业内部控制的目标包括： ●资产的保全 ●服从于公司的方针政策、管理和立法的需要 ●输入授权 ●处理过程准确且完整 ●输出完整且安全 ●处理过程的可靠性 ●备份与恢复 ●操作的有效性和效率 内部控制目标应用于各个领域，不管是手工处理还是自动处理。因此信息系统环境下的控制目标并为发生改变，具体在一些控制特征上会有一些不同。 信息系统控制目标的定义是通过在特定的信息系统行为中实施控制过程所要达到的目的或者获得的结果的描述。 以下是信息系统控制目标的举例： ●到目前为止自动系统上的数据一直被正确的处理和保存，从而处于安全状态。 ●每项操作都经过授权，并且只处理一次。 ●所有的操作都有记录，并且都是在正确的时间段进行的。 ●所有的拒绝操作都有报告。 ●重复操作有报告 ●文件都经过充分备份，以备正确的恢复。 对软件的所有变动都经核实，并进行了测试。 与信息系统相关的管理问题 1信息系统实施战略 战略计划将公司或部门的目标变为具体的行动。理解计划有助于确保组织运转的有效性和效率。 为了确保组织整体目标的成功实现，信息部门应该有自己的长期计划和短期计划。这些计划应与组织计划保持一致。 组织的高层管理人员应一个计划或一个指导委员会以监督信息部门的行为。这个指导委员会应包括来自高级管理层、信息系统部门和用户部门的管理人员的代表。这个委员会对主要的信息系统项目进行综合评定，而不涉及信息系统的日常操作。委员会的主席最好能理解信息技术所带来的风险和问题。 11/a．2．2人力资源政策与实践 企业的人力资源政策应包括以下内容：人员雇用、职工手册、提职政策、培训、考评、休假