关于信息系统管理建议
公司正在同时进行信息系统再造升级,和供应链流程优化工作。由于这两个项目都是高投入、重维护的系统工程,这是契机,更是挑战,如何处理好这两项对于公司未来的全球性发展是不可或缺的支持性管理基石,需要更多尊重项目固有系统风险的识别、评估,需要更多控制效率与效果平衡,需要更多有效的预防性控制措施。
现对信息系统部分(即IT系统)建议如下:
一、IT系统控制标准方面
一般来说,IT实施公司可以完成上线一套软硬件相对安全的系统,但IT系统对公司业务支持的有效性,依赖于IT系统自身的方案、量身的定制、权限与参数设置、及运行维护、准入管理等多方面。
根据公司全球性的发展目标,需要对IT系统进行评价和境外复制,不建议用美国SOX合规为目标的所谓4大事务所的上市公司IT评价标准,建议用国际标准化组织的ISO20000系列,此举并不是要公司取得认证,而是公司要建立一套可以拿出来在全球管理、衍生的标准。
二、项目建设方面:
1. IT系统从发起到实施有严格、完整的项目管理流程和标准,应完整执行,记录需求与实施的讨论过程。
2. 尊重业务需求,软硬件要有远期管理需要目标,注重系统上线过程中的适用性定制开发。
3. 系统和管理模块要完整的进行测试,系统流程、数据的完整性、准确性和峰值测试必须在测试环境下完成,不要急于上线。
4. 上线后的数据移植应进行测试,防止数据丢失。
5. 系统自身的管理参数,为了便于后期的管理和降低后期维护费用,尽量以窗口、菜单形式表现,不要用命令写入程序。
6. 系统人员、物料等货品编码要有前瞻性,要分类明确,有增容的空间。
7. 系统货品数据维护中,应有完整的技术参数设置和增容的空间,在流程中应增加系统对异常业务流程、参数的自查、反馈功能,此项会大幅提高效果,降低管理监督成本。
三、控制环境方面:
1. 建设并定期对IT系统控制相关的所有管理制度的建设和适用性进行评价;
2. 建设并定期或根据发现的问题,对IT系统控制相关风险进行识别、评估,考虑控制措施,因为事后控制无非是亡羊补牢和追究责任,损失已然形成,所以控制措施尽量多的增加预防控制措施,并将措施内置于系统中。
3. 建立合理的IT运维监控标准,及时报告IT系统运行异常,以合理保证IT系统自身的管理流程和标准,可以满足企业运用IT 系统的目标和要求。
四、信息安全管理方面:
1. 明确IT系统使用和自身管理的不相容岗位分离(SOD),合理确定管理维护各岗位、使用各岗位的角色权限与职责,以避免IT系统、资源和数据受到有意或无意的危害或误用。
2. 明确管理人和使用人的账号申请、变更、撤销的审批权限,明确账号密码规则,明确密码更新频率。
3. 明确应用系统、数据库、操作系统、网络设备等系统的配置标准,厂商初始口令被更改,并且保存于不同的管理岗位,并且定期更换。
4. 明确防火墙和远程登录的管理标准。
5. 明确机房安全的管理标准:授权、准入、防火、防盗、电力、温度、湿度等。
6. 明确机房的系统运行点检标准和定期记录。
7. 根据风险评估和控制矩阵,结合实际需要与限制,确定和部署系统日志的生成范围和检查。
五、运维管理方面:
1. 慎重批处理业务,应用系统负责人必须对《批处理作业清单》及《批处理作业详细说明书》进行审核后交付IT执行,必须定期检查执行情况。
2. 重视备份业务,应用系统负责人根据应用系统的重要程度,制订备份和恢复策略,填写《备份作业清单》及《备份作业详细说明书》进行审核后交付IT执行,必须定期检查备份与恢复执行情况。
上述所有部分,需明确,并定期评估有效性和执行情况,系统自身的管理水平的提高,会大幅拉升公司依赖信息系统业务的管理效率和效果。