安全管理是一個仍在繼續(xù)發(fā)展的領(lǐng)域,除了CC中的系統(tǒng)和產(chǎn)品標(biāo)準(zhǔn)、SSE-CMM中涉及到的系統(tǒng)運(yùn)行安全管理和BS7799中的如風(fēng)險管理和涉及安全方面的人員管理等外,企業(yè)還應(yīng)該更加自己的需要制定了相應(yīng)的安全政策并對此有效的執(zhí)行。安全管理措施對于企業(yè)來說是安全生產(chǎn)的一個重要組成部分。如果企業(yè)安全管理措施不完善或?qū)嵤┎涣Ρ厝粫?dǎo)致企業(yè)人員的違章現(xiàn)象,從而產(chǎn)生事故隱患。這種現(xiàn)象不能及時改正、消除,就極易發(fā)生事故,釀成大禍。有資料表明,我國工傷事故中70%以上是由于人的因素和管理問題引起的。所以對企業(yè)的安全管理措施評價勢在必行。

安全管理的前提是制訂保證安全目標(biāo)的政策。安全政策包括物理方面的政策如關(guān)鍵計算設(shè)備的安全政策、邏輯方面的政策如數(shù)據(jù)訪問、安全政策和行政制約方面的安全政策如人員安全管理政策。安全管理的一個重要組成部分是對安全政策實施過程與結(jié)果的審計并根據(jù)審計結(jié)論采取必要的行動,目前雖然對安全管理力度的級別定義在國內(nèi)的信息系統(tǒng)的等級保護(hù)中有了要求,但具體的實施細(xì)則還沒有正式執(zhí)行,目前還無法進(jìn)行參照。不過有一個原則是在高密級要求環(huán)境下應(yīng)采取比低密級更強(qiáng)的安全管理。

另外也可以參考北京市委辦公廳、北京市人民政府辦公廳20**發(fā)布的《北京市黨政機(jī)關(guān)計算機(jī)網(wǎng)絡(luò)與信息信息安全管理辦法》中對信息安全管理的要求,該辦法對組織領(lǐng)導(dǎo)和責(zé)任制、安全方案審查、安全服務(wù)單位、產(chǎn)品資質(zhì)準(zhǔn)入、保密要求和管理制度、監(jiān)控和應(yīng)急處理、信息內(nèi)容、人員上崗培訓(xùn)、宣傳、教育、監(jiān)督檢查、法律責(zé)任、實施時間等方面都作了不同的要求,應(yīng)該說涉及面還是很廣的。

在進(jìn)行自評估時,除了可以參照BS7799的控制項進(jìn)行自我檢查外,還可以考慮采用外部的風(fēng)險評估服務(wù),其目的是通過系統(tǒng)的風(fēng)險評估識別企業(yè)信息系統(tǒng)中的風(fēng)險點,并區(qū)分出高低,例如哪些威脅才是需要關(guān)注的,定位出特地的安全需求。并且在一定條件下,指導(dǎo)企業(yè)進(jìn)行最有效的降低總體風(fēng)險和特定風(fēng)險,監(jiān)控不斷變化的安全狀況,最終指導(dǎo)進(jìn)行安全風(fēng)險管理,為企業(yè)的安全管理體系的建立提供原始信息。

如何針對安全管理的內(nèi)容進(jìn)行管理

首先,需要根據(jù)企業(yè)的現(xiàn)實情況,明確大概的安全方針并制定相應(yīng)的安全策略。在制定策略時需要注意不能脫離實際,很多安全策略和標(biāo)準(zhǔn)實際上是為一種理想狀態(tài)下寫的,包括一些信息安全顧問偶然也會犯這種錯誤,并沒有真正了解到當(dāng)前企業(yè)的安全需求和現(xiàn)狀的情況下制定的安全策略在企業(yè)的實際實施過程中必然會出現(xiàn)問題,管理層或使用者會發(fā)現(xiàn)策略的定制者們并未理解他們真正的需要。如果這些安全策略過于理論化或限制性太強(qiáng),那么企業(yè)組織就會漠視這這些策略。因此在安全策略定制必須遵循以下原則:越符合現(xiàn)狀越容易推行,越簡單越容易操作,改動越小越容易接受.同時,在制定信息安全管理制度時要注意考慮企業(yè)現(xiàn)有的文化。許多信息安全方面的規(guī)章制度都是參考制度模板或者以其他組織的規(guī)章制度為模板而制定出來的。與企業(yè)文化和業(yè)務(wù)活動不相適應(yīng)的信息安全管理制度往往會導(dǎo)致發(fā)生大范圍的不遵守現(xiàn)象。另外,規(guī)章制度還必須包括適當(dāng)?shù)谋O(jiān)督機(jī)制。

其次,要對現(xiàn)有信息系統(tǒng)進(jìn)行安全評估。信息系統(tǒng)安全評估是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程,以完成企業(yè)的安全目標(biāo),同時樹立風(fēng)險管理意識并遵循這個進(jìn)行相關(guān)的安全體系建立。

再次,要充分認(rèn)識到信息安全管理是一個過程。信息安全是一個動態(tài)的過程,必須分階段的對安全策略進(jìn)行調(diào)整,同時安全攻擊和防范技術(shù)都在高速的發(fā)展,而這一切是一個沒有終點的過程,必須建立在一套好的信息安全管理機(jī)制的基礎(chǔ)上。

總的來說,安全管理不是一種即買即用的東西。一購買就能提供足夠安全水平的安全管理體系是不存在的。建立一個有效的信息安全管理首先需要要在信息安全評估的基礎(chǔ)上,制定出相關(guān)的管理策略和規(guī)章制度后,才能通過配套選用相應(yīng)的安全產(chǎn)品搭建起整個信息安全架構(gòu)。現(xiàn)在有些企業(yè)通過安裝部分的安全產(chǎn)品或者制定了一些安全制度但沒有得到良好的執(zhí)行,我們也不能認(rèn)為這個企業(yè)就有了信息安全管理體系,因為安全管理體系的建立是一個管理系統(tǒng)的驗證規(guī)范,需依循“PDCA”循環(huán)進(jìn)行,包括持續(xù)改善,訂定政策、管理審查、文件管制、內(nèi)部稽核等。而且信息安全管理與一般管理的不同在于信息安全管理著重在風(fēng)險評

估及管理,并選擇適當(dāng)控制措施,將組織損失降到最低。風(fēng)險評估的過程不是一段時間的工作,而是需要隨著技術(shù)的發(fā)展及企業(yè)自身的變化持續(xù)改善的過程。企業(yè)實施了一套信息安全管理體系并不表示其自身信息安全受到絕對的保護(hù),而是確保其本身的信息安全價值、風(fēng)險等已確實評估,同時為當(dāng)前信息系統(tǒng)的安全狀態(tài)提供了一個快照,并在此基礎(chǔ)上進(jìn)行不斷的控制與管理。

需要說明的是,要遵循以上要求即使對最有安全意識和執(zhí)行能力的企業(yè)來說也不是一件簡單的事,但總體來說提高信息安全管理水平已是一股不可違逆的潮流,所有的機(jī)構(gòu)或企業(yè)已不是“做”與“不做”的問題,而是必須盡早實施的問題。企業(yè)應(yīng)權(quán)衡自身承受安全的風(fēng)險與成本,訂定出一套符合本身需求的安全政策,改善自身的營運(yùn)體制,以符合國際安全標(biāo)準(zhǔn)與世界潮流。

如何建設(shè)一個安全監(jiān)控中心(SOC)

雖然信息安全管理問題主要是個從上而下的問題,不能指望通過某一種工具來解決,但良好的安全技術(shù)基礎(chǔ)架構(gòu)能有效的推動和保障信息安全管理。隨著國內(nèi)行業(yè)IT應(yīng)用度和信息安全管理水平的不斷提高,企業(yè)對于安全管理的配套設(shè)施如安全監(jiān)控中心(SOC)的要求也將有大幅度需求,這將會是一個較明顯的發(fā)展趨勢。

推行SOC的另外一個明顯的好處是考慮到在國內(nèi)企業(yè)目前的信息化程度下直接實施信息管理變革的困難性,如果嘗試先從技術(shù)角度入手建立SOC相對來說阻力更小,然后通過SOC再推動相應(yīng)的管理流程制定和實施,這也未嘗不是值得推薦的并且符合國情的建設(shè)方式,而且目前已經(jīng)有些IT應(yīng)用成熟度較高的大型企業(yè)開始進(jìn)行這方面工作的試點和探索了,因為這些組織已經(jīng)認(rèn)識到僅依賴于某些安全產(chǎn)品,不可能有效地保護(hù)自己的整體網(wǎng)絡(luò)安全,信息安全作為一個整體,需要把安全過程中的有關(guān)各方如各層次的安全產(chǎn)品、分支機(jī)構(gòu)、運(yùn)營網(wǎng)絡(luò)、客戶等納入一個緊密的統(tǒng)一安全管理平臺中,才能有效地保障企業(yè)的網(wǎng)絡(luò)安全和保護(hù)原有投資,信息安全管理水平的高低不是單一的安全產(chǎn)品的比較,也不是應(yīng)用安全產(chǎn)品的多少和時間的比較,而是組織的整體的安全管理平臺效率間的比較。下面我們就來談?wù)劷⒁粋€SOC應(yīng)該從那些方面考慮。

首先,一個較完善的SOC應(yīng)該具有以下功能模塊:

(一)安全設(shè)備的集中管理

統(tǒng)一日志管理(集中監(jiān)控):包括各安全設(shè)備的安全日志的統(tǒng)一監(jiān)控;安全日志的統(tǒng)一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等;

模塊分析:大型網(wǎng)絡(luò)中的不同節(jié)點處往往都部署了許多安全產(chǎn)品,起到不同的作用。首先要達(dá)到的目標(biāo)是全面獲取網(wǎng)絡(luò)安全實時狀態(tài)信息,解決網(wǎng)絡(luò)安全管理中的透明性問題。解決網(wǎng)絡(luò)安全的可管理控制性問題。從安全管理員的角度來說,最直接的需求就是在一個統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡(luò)中每個安全產(chǎn)品的運(yùn)行情況,并對他們產(chǎn)生的日志和報警信息進(jìn)行統(tǒng)一分析和匯總。

統(tǒng)一配置管理(集中管理):包括各安全設(shè)備的安全配置文件的集中管理,提高各管理工具的維護(hù)管理水平,提高安全管理工作效率;有條件的情況下實現(xiàn)各安全產(chǎn)品的配置文件(安全策略)的統(tǒng)一分發(fā),修正和更新;配置文件的統(tǒng)一在(離)線管理,定期進(jìn)行采集和審核,對安全產(chǎn)品的各種屬性和安全策略進(jìn)行集中的存儲、查詢。

模塊分析:目前企業(yè)中主要的安全產(chǎn)品如防火墻、入侵檢測和病毒防護(hù)等往往是各自為政,有自己獨(dú)立的體系和控制端。通常管理員需要同時運(yùn)行多個控制端,這就直接導(dǎo)致了對安全設(shè)備統(tǒng)一管理的要求。不過從目前國內(nèi)的情況來說,各不同廠商的安全產(chǎn)品統(tǒng)一管理的難度較大,統(tǒng)一監(jiān)控更容易實現(xiàn),在目前現(xiàn)狀中也更為重要。

目前國內(nèi)現(xiàn)狀是各個安全公司都從開發(fā)管理自己設(shè)備的管理軟件入手,先做到以自己設(shè)備為中心,把自己設(shè)備先管理起來,同時提出自己的協(xié)議接口,使產(chǎn)品能夠有開放性和兼容性。這些安全設(shè)備管理軟件和網(wǎng)絡(luò)管理軟件類似,對安全設(shè)備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎(chǔ)上,對特定的信息輔助其他網(wǎng)絡(luò)協(xié)議。獲取得內(nèi)容大部分也和網(wǎng)絡(luò)設(shè)備管理相同,如CPU使用情況,內(nèi)存使用情況,系統(tǒng)狀態(tài),網(wǎng)絡(luò)流量等。

各安全產(chǎn)品和系統(tǒng)的統(tǒng)一協(xié)調(diào)和處理(協(xié)同處理):協(xié)調(diào)處理是安全技術(shù)的目標(biāo),同時也符合我國對信息安全保障的要求即實現(xiàn)多層次的防御體系。整體安全技術(shù)體系也應(yīng)該有多層次的控制體系。不僅僅包含各種安全產(chǎn)品,而且涉及到各主機(jī)操作系統(tǒng)、應(yīng)用軟件、路由交換設(shè)備等等。

模塊分析:目前國內(nèi)有部分提法是IDS和防火墻的聯(lián)動就是基于這種思路的,但是實際的使用情況中基本上沒有客戶認(rèn)同這點,原因當(dāng)然有很多,但實際上要實現(xiàn)這點還需要較長的技術(shù)積累。

設(shè)備的自動發(fā)現(xiàn):網(wǎng)絡(luò)拓?fù)渥兓竽茏詣影l(fā)現(xiàn)設(shè)備的調(diào)整并進(jìn)行基本的探測和給出信息。

模塊分析:大部分企業(yè)內(nèi)部的網(wǎng)絡(luò)的拓?fù)涠际窃谧兓?如果不支持設(shè)備的自動發(fā)現(xiàn),就需要人工方式解決,給管理員造成較大的工作壓力,也不能掌握網(wǎng)絡(luò)的實際拓?fù)?這樣不便于排錯和發(fā)現(xiàn)安全故障。可以采用自動搜尋拓?fù)涞臋C(jī)制。如IBMTivoliNetview可以自動發(fā)現(xiàn)大多數(shù)網(wǎng)絡(luò)設(shè)備的類型,或通過更改MIB庫,來隨時添加系統(tǒng)能識別的新的設(shè)備。

(二)安全服務(wù)的集中管理

實現(xiàn)安全相關(guān)軟件/補(bǔ)丁安裝情況的管理功能,建立安全相關(guān)軟件/補(bǔ)丁信息庫,提供查詢、統(tǒng)計、分析功能,提供初步的分發(fā)功能。

模塊分析:微軟在對自己的操作系統(tǒng)的全網(wǎng)補(bǔ)丁分發(fā)上走的比較前,成功的產(chǎn)品有SUS和SNS等,國際上也有部分的單一產(chǎn)品是作這個工作的,但目前還沒有看到那個SOC集成了這個模塊。

安全培訓(xùn)管理:建立安全情報中心和知識庫(側(cè)重安全預(yù)警平臺),包括:最新安全知識的收集和共享;最新的漏洞信息和安全技術(shù),;實現(xiàn)安全技術(shù)的交流和培訓(xùn)。持續(xù)更新發(fā)展的知識和信息是維持高水平安全運(yùn)行的保證。

模塊分析:雖然這個模塊的技術(shù)含量較低,但要為安全管理體系提供有效的支持,這個模塊是非常重要的,有效的安全培訓(xùn)和知識共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎(chǔ)工作,也有助于形成組織內(nèi)部統(tǒng)一有效的安全信息傳輸通道,建立安全問題上報、安全公告下發(fā)、處理和解決反饋的溝通平臺。

風(fēng)險分析自動化:自動的搜集系統(tǒng)漏洞信息、對信息系統(tǒng)進(jìn)行入侵檢測和預(yù)警,分析安全風(fēng)險,并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補(bǔ)丁加載,病毒代碼更新等工作,有效的提高安全工作效率,減小網(wǎng)絡(luò)安全的"時間窗口",大大提高系統(tǒng)的防護(hù)能力。

模塊分析:安全管理軟件實施的前提是已經(jīng)部署了較完善的安全產(chǎn)品,如防火墻,防病毒,入侵檢測等。有了安全產(chǎn)品才能夠管理和監(jiān)視,安全管理平臺的作用在于在現(xiàn)有各種產(chǎn)品的基礎(chǔ)上進(jìn)行一定的數(shù)據(jù)分析和部分事件關(guān)聯(lián)工作,例如設(shè)置掃描器定期對網(wǎng)絡(luò)進(jìn)行掃描,配合該時間段的入侵檢測系統(tǒng)監(jiān)控日志和補(bǔ)丁更新日志,就可以對整網(wǎng)的技術(shù)脆弱性有個初步的了解。

(三)業(yè)務(wù)流程的安全管理

初步的資產(chǎn)管理(資產(chǎn)、人員):統(tǒng)一管理信息資產(chǎn),匯總安全評估結(jié)果,建立風(fēng)險管理模型。提供重要資產(chǎn)所面臨的風(fēng)險值、相應(yīng)的威脅、脆弱性的查詢、統(tǒng)計、分析功能。

模塊分析:國內(nèi)外安全廠商中資產(chǎn)管理功能都很簡單,和現(xiàn)有的財務(wù)、運(yùn)營軟件相差非常大,基本上是照般了BS7799中的對資產(chǎn)的分析和管理模塊。

安全管理系統(tǒng)與網(wǎng)管系統(tǒng)的聯(lián)動(協(xié)調(diào)處理):安全管理系統(tǒng)和網(wǎng)絡(luò)管理平臺已經(jīng)組織常用的運(yùn)營支持系統(tǒng)結(jié)合起來,更有效的利用系統(tǒng)和人力資源,提高整體的運(yùn)營和管理水平。

模塊分析:如果可能的話,由于各產(chǎn)品的作用體現(xiàn)在網(wǎng)絡(luò)中的不同方面,統(tǒng)一的安全管理平臺必然要求對網(wǎng)絡(luò)中部署的安全設(shè)備和部分運(yùn)營設(shè)備的安全模塊進(jìn)行協(xié)同管理,這也是安全管理平臺追求的最高目標(biāo)。但這并非是一個單純的技術(shù)問題,還涉及到行業(yè)內(nèi)的標(biāo)準(zhǔn)和聯(lián)盟。目前在這方面作的一些工作如CheckPoint公司提出的opsec開放平臺標(biāo)準(zhǔn),即入侵檢測產(chǎn)品發(fā)現(xiàn)攻擊和checkpoint防火墻之間的協(xié)調(diào),現(xiàn)在流行的IPS概念,自動封鎖攻擊來源等,都在這方面作了較好的嘗試,在和整體的網(wǎng)絡(luò)管理平臺的結(jié)合方面,目前國內(nèi)外作的工作都較少,相對來說一些大型的IT廠商如IBM/CISCO/CA由于本身就具備多條產(chǎn)品線(網(wǎng)絡(luò)、安全、應(yīng)用產(chǎn)品),其自身產(chǎn)品的融合工作可能已經(jīng)作了一些,但總體來說成熟度不高。

與其它信息系統(tǒng)的高度融合:實現(xiàn)與OA、ERP等其他信息系統(tǒng)的有機(jī)融合,有效的利用維護(hù)、管理、財務(wù)等各方面信息提高安全管理水平。安全管理的決策分析和知識經(jīng)驗將成為公司管理的重要組成部分。

(四)組織的安全管理

組織構(gòu)成:根據(jù)企業(yè)的不同情況建立專職或兼職的安全隊伍,從事具體的安全工作。由于信息安全工作往往需要多個業(yè)務(wù)部門的共同參與,為迅速解決業(yè)務(wù)中出現(xiàn)的問題,提高工作效率,公司必須建立跨部門的協(xié)調(diào)機(jī)制。具體協(xié)調(diào)機(jī)構(gòu)應(yīng)由專門的安全組織負(fù)責(zé),并明確牽頭責(zé)任部門或人員。有條件的企業(yè)或者組織應(yīng)成立獨(dú)立的安全工作組織。

組織責(zé)任:

a)建立健全相關(guān)的安全崗位及職責(zé);

b)制定并發(fā)布相關(guān)安全管理體系,定期進(jìn)行修正;

c)對信息系統(tǒng)進(jìn)行安全評估和實施,處理信息安全事故;

d)部門間的協(xié)調(diào)和分派并落實信息安全工作中各部門的職責(zé);

以上是SOC必須具備的一些模塊,現(xiàn)階段國內(nèi)外也有一些廠商推出了安全管理平臺軟件,從推動整個行業(yè)發(fā)展來看當(dāng)然是好現(xiàn)象,但蘿卜快了不洗泥,其中也存在一些發(fā)展中的問題,比如作為一個SOC必然要求具備統(tǒng)一的安全日志審計功能,但單一安全設(shè)備審計軟件不能等同于安全管理平臺,究其原因為國內(nèi)現(xiàn)有安全廠商中安全設(shè)備廠商占多數(shù),優(yōu)勢項目是在已有安全設(shè)備上添加統(tǒng)一日志管理和分析功能,由于是單個廠商的行為缺乏整體的行業(yè)標(biāo)準(zhǔn),導(dǎo)致目前的安全審計軟件普遍缺乏聯(lián)動性,不支持異構(gòu)設(shè)備,就算是對java的支持各個廠商的實現(xiàn)力度也不同,普遍只具備信息統(tǒng)計功能和分析報告的功能。。

在目前的安全管理平臺提供商中,能提供完整的產(chǎn)品體系廠商非常少。而號稱專業(yè)的安全產(chǎn)品廠商,因為安全產(chǎn)業(yè)起步很晚,這些廠商只能在某個領(lǐng)域做深,還無法提供整套的安全產(chǎn)品線,這也是一個現(xiàn)實。作為用戶應(yīng)該認(rèn)清需求,把各種安全產(chǎn)品在自己網(wǎng)絡(luò)中結(jié)合起來,深入了解安全管理平臺提供商的實力,才能夠達(dá)到安全目的,滿足自己的安全需求。

最后,從投入產(chǎn)出比的角度來說,因為SOC往往只是一個軟件平臺的開發(fā)工作,大多數(shù)情況下不需要或者較少需要新的硬件投入,總投入往往不是很大,如果上了SOC后即使不能完善和推薦安全管理體系,也可以起到減輕管理員的工作負(fù)擔(dān),增強(qiáng)管理員的控制力度,并對整個網(wǎng)絡(luò)內(nèi)的安全狀況進(jìn)行統(tǒng)一監(jiān)控和管理的作用,這樣總體來說安全管理平臺SOC的投入產(chǎn)出就非常值得。

篇2:安全信息管理系統(tǒng)概述

一、管理信息系統(tǒng)的概念

所謂系統(tǒng)就是指由若干互相聯(lián)系、互相影響、互相制約的各個部分為了一定目標(biāo)而組合在一起所形成的一個整體。構(gòu)成整體的各個組成部分,稱為子系統(tǒng)。假若以一個經(jīng)濟(jì)組織的會計作為一個系統(tǒng),而有關(guān)結(jié)算中心、會計報表、成本核算、資產(chǎn)臺帳和貨幣資金等則是它的子系統(tǒng)。至于有關(guān)供銷、生產(chǎn)、人事等方面的信息則屬于會計系統(tǒng)以外的環(huán)境系統(tǒng)。會計信息系統(tǒng)見圖10-2。

過去,國外大多數(shù)企業(yè)和我國一些先行單位,為了適應(yīng)不同職能組織的需要,除了設(shè)立會計信息系統(tǒng)以外,還有生產(chǎn)技術(shù)、供銷、人事、后勤等科室也都分別設(shè)立適合于它們各自需要的信息系統(tǒng)。這樣一個企業(yè)就有若干信息管理系統(tǒng),易于發(fā)生重復(fù)勞動,同一原始資料要分別輸入若干個信息管理系統(tǒng)。如有關(guān)材料的采購、耗用、轉(zhuǎn)移、完工、職工的基本工資、出勤記錄等都要同時輸入若干個信息系統(tǒng)。這樣不僅出現(xiàn)重復(fù)勞動,易于發(fā)生差錯,而且更改也不方便,造成相互不協(xié)調(diào),成本也就比較高。

近年來在信息管理中提出綜合性管理系統(tǒng)。就是將一個經(jīng)濟(jì)組織作為一個系統(tǒng),而其生產(chǎn)、技術(shù)、會計、供銷、后勤、人事等職能業(yè)務(wù)則是這個系統(tǒng)下的各個子系統(tǒng)。實施綜合信息系統(tǒng)需要具有三個條件:

(1)分散的信息活動必須通過組織的集中統(tǒng)一安排;

(2)這些活動必須是整體的組成部分;

(3)這些活動必須由一個集中、獨(dú)立的信息中心加以處理。

這樣就能把企業(yè)看作一個整體,使一個數(shù)據(jù)多用,提高效率和更有效地使用信息,成本也可隨之降低。

二、綜合管理信息系統(tǒng)的建立

設(shè)計一個新的或改進(jìn)一個現(xiàn)有的管理信息系統(tǒng),是一項既復(fù)雜又繁重的工作。首先要用系統(tǒng)分析的方法,對系統(tǒng)(包括子系統(tǒng))的本身范圍及其周圍環(huán)境的關(guān)系進(jìn)行分析,提出若干設(shè)計方案,決定不同類型,不同管理層次的系統(tǒng),進(jìn)行技術(shù)和經(jīng)濟(jì)的論證,層層提高設(shè)計質(zhì)量,消除不必要的重復(fù)勞動,然后加以評估比較,最后從中決定統(tǒng)一的綜合信息管理標(biāo)準(zhǔn),包括經(jīng)濟(jì)信息分類、編碼和文件統(tǒng)一化工作。經(jīng)過試驗證明切實可行后,再應(yīng)用到實際工作中去。其中要注意以下幾方面:

1.明確信息的需求

即對輸出的要求,要通過充分的調(diào)查研究,特別是管理中現(xiàn)有的信息種類,它們流轉(zhuǎn)的來龍去脈,由哪里產(chǎn)生,由誰傳遞,傳到何處,經(jīng)過怎樣處理,以什么形式輸出,供誰使用,是否可以“一數(shù)多用”,是否有別的來源替代,是否要保存等等。所以在建立過程中,專業(yè)人員與使用人員之間要經(jīng)常交換意見,使提供的各項信息都能滿足使用者的要求。

2.信息的收集和處理

這項工作的目的就是要改善信息總的質(zhì)量,一般包括五項內(nèi)容:

(1)檢核。要確定各項信息的可靠性的程度,包括來源的可靠性,數(shù)據(jù)的準(zhǔn)確性和有效性等。

(2)整理。將輸入的信息和數(shù)據(jù)加以提煉整理,以符合規(guī)定的要求。

(3)編制索引。按規(guī)定編制索引,以供日后儲存和檢索。

(4)傳輸。將正確的信息及時提供給各級主管人員。

(5)存儲。要保存必需的數(shù)據(jù)資料和文件檔案,準(zhǔn)備日后再次使用。

3.信息的使用

其主要目的是向各級主管人員適時地提供各種有關(guān)的信息。因此它與信息質(zhì)量有密切關(guān)系。信息的質(zhì)量主要是指信息的準(zhǔn)確性、及時性以及提供的形式。只有保證一定質(zhì)量的管理信息系統(tǒng),才能在管理中發(fā)揮作用。

圖10-3為綜合性管理信息系統(tǒng)的一例。

圖中,該經(jīng)濟(jì)組織的各個子系統(tǒng)相互間有聯(lián)系和交叉,又與使用者系統(tǒng)有聯(lián)系。假若將一個工業(yè)部門或一個地區(qū)看作一個系統(tǒng),則各個企業(yè)又成為其子系統(tǒng),其范圍就更為廣泛了。

蘇聯(lián)在70年代已建成四級自動化綜合管理系統(tǒng)。它由基礎(chǔ)部份和功能部分組成。基礎(chǔ)部分包括組織經(jīng)濟(jì)基礎(chǔ)、信息庫、技術(shù)基礎(chǔ)和軟系統(tǒng)等四個方面。功能部分由實現(xiàn)一系列課題的職能子系統(tǒng)組成。所謂四個結(jié)構(gòu)層次是:國家級、中央部門和加盟共和國級、部門及共和國聯(lián)合公司級、基層企業(yè)級。全國數(shù)據(jù)傳遞系統(tǒng)把各部門,各主管機(jī)關(guān)的主要計算中心、各共和國管理機(jī)關(guān)的中心與全國自動化系統(tǒng)的總計算中心聯(lián)結(jié)起來。這就屬于更高階段的綜合性管理系統(tǒng)了。

目前我國除西藏外,各省市計委,統(tǒng)計局計算中心都安裝了IBM—4331或VS/80等電子計算機(jī),正在逐步建立經(jīng)濟(jì)管理系統(tǒng)。

三、管理信息系統(tǒng)的基本工作內(nèi)容

實現(xiàn)對管理信息系統(tǒng)的基本要求,是通過信息的周轉(zhuǎn)過程實現(xiàn)的。信息的周轉(zhuǎn)過程,包括信息資料的獲取、加工、處理、傳輸、貯存等基本環(huán)節(jié)。這實際上也就是管理信息系統(tǒng)的基本工作內(nèi)容。要保證管理系統(tǒng)的有效運(yùn)行,就必須使每個環(huán)節(jié)都能靈活而有效的運(yùn)轉(zhuǎn),并形成互相協(xié)調(diào)、密切結(jié)合的系統(tǒng)有機(jī)體。

1.信息的獲取

信息收取是信息系統(tǒng)運(yùn)行的第一步,也是重要的基礎(chǔ)。信息的質(zhì)量和信息系統(tǒng)其他環(huán)節(jié)的工作質(zhì)量,在很大程度上取決于原始信息的真實性和完整性。

2.信息的加工

原始的信息數(shù)以億萬計,作為管理決策使用的信息量,受人們接收信息能力的限制,不可太多。因此必須把大量的信息分成恰當(dāng)?shù)膶哟?并且使最高管理層獲得少而精的反映出最基本最重要的情況。信息的加工處理,就是用科學(xué)的方法,對大量的原始信息進(jìn)行篩選、分類、排序、比較和計算,去偽存真,使之系統(tǒng)化、條理化,以便保管、傳送和使用,節(jié)省人力、財力和時間,提高管理效能。信息的加工還包括信息分析,即通過對大量信息資料的研究,及時揭露矛盾,發(fā)現(xiàn)問題的苗頭,對管理活動進(jìn)行評價。

3.信息的傳輸

信息只有從信息源及時傳送到使用者那里,才能起到應(yīng)有作用。信息能否及時發(fā)出和到達(dá),取決于信息傳輸?shù)墓δ堋Ｐ畔⒌膫鬏?要建立自己的傳輸通道系統(tǒng),形成信息流和信息網(wǎng)。管理組織機(jī)構(gòu)和組織體系決定系統(tǒng)內(nèi)部基本的信息傳輸通道,但除此以外,信息系統(tǒng)還通過多條渠道,實現(xiàn)直接的和間接的、縱向的和橫向的、縱橫交錯的多方面聯(lián)系。可見,信息傳輸網(wǎng)是一個極為復(fù)雜和靈敏的系統(tǒng)。

4.信息的貯存

加工的信息,有的并非立即就用,有的雖然立即使用,但還要留作以后參考,所以產(chǎn)生了信息貯存和記憶的功能。信息貯存是信息在時間上的傳輸。通過信息貯存和積累,可以對客觀管理活動進(jìn)行動態(tài)的系統(tǒng)和全面的研究。

篇3:信息管理副經(jīng)理安全生產(chǎn)職責(zé)

1、在部經(jīng)理的領(lǐng)導(dǎo)下認(rèn)真貫徹落實勞動安全衛(wèi)生法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)定和安全生產(chǎn)政策,嚴(yán)格執(zhí)行上級和公司安全生產(chǎn)管理制度。協(xié)助制訂或修訂相關(guān)作業(yè)和本部門各工種、崗位安全操作規(guī)程和工藝標(biāo)準(zhǔn),完善本部門的安全管理規(guī)章及安全措施,并檢查、落實執(zhí)行情況。

2、主持公司計算機(jī)管理系統(tǒng)的研究、開發(fā)及網(wǎng)絡(luò)安全;

3、主持公司計算機(jī)軟件、硬件及網(wǎng)絡(luò)視頻監(jiān)控設(shè)備的管理和購置工作;

4、負(fù)責(zé)公司信息化管理規(guī)劃的制定、布署及實施;

5、主持技術(shù)信息部信息方面的日常工作;

6、協(xié)助部經(jīng)理妥善安排各項工作、確保按時按質(zhì)完成公司下達(dá)的各項任務(wù);

7、協(xié)助經(jīng)理做好本部管轄范圍內(nèi)的安全、防火及衛(wèi)生工作;