我國資訊系統內建及服務存在的主要問題:
1.系統品質不能滿足應用的基本需求
2.工程進度拖後延期
3.項目資金使用不合理或嚴重超出預算
4.項目文檔不全或嚴重缺失
5.在項目實施過程中系統業務需求一再變更
6.在項目實施過程中經常出現扯皮,推诿現象
7.系統存在着安全漏洞和隐患
8.重硬體輕軟體,重開發輕維護,重建設輕應用
9.資訊系統服務企業缺乏規範的流程和能力管理
10.資訊系統建設普遍存在産品化和個性化需求的沖突
11.開放性要求高,而标準和規範更新快
原因:
1不具備技術實力的系統內建商攪亂資訊系統內建及服務市場
2.一些建設機關在選擇項目承建商和進行業務需求分析方面經驗不足
3.資訊系統內建及服務企業自身建設有待加強
4.缺乏相應的機制和制度
5.企業能力建設缺乏相關的知道标準
我國現行集中資訊系統內建及服務管理内容的形成和推進過程
1.實施資訊系統內建及服務資質管理制度
2.推行項目經理制度
3.退出ITSS(Information Technology Service Standards 資訊技術服務标準)标準及評估服務
《計算機資訊系統內建資質管理辦法》意義:
1.有利于系統內建及服務企業展示自身實力,參與市場競争;按照等級條件,加強自身健身
2.有利于規範資訊系統內建及服務市場
3.有利于保證資訊系統級服務工程品質
系統內建資質(公司)等級評定條件主要由綜合條件,财務狀況,信譽,業績,管理能力,技術實力,人才實力7個方面。
ITSS(資訊技術服務标準)組成要素:人員,流程,技術,資源
ITSS生命周期:規劃設計,部署實施,服務營運,持續改進,監督管理
資訊系統審計的目的是評估并提供給回報,保證及建議。
資訊系統審計建議在4個理論基礎之上:1傳統審計理論,資訊系統管理理論,行為科學理論,計算機科學理論
資訊系統審計的主要組成部分
1.資訊系統的管理,規劃與組織:評價資訊系統的管理,計劃與組織方面的政策,政策,标準,程式和相關實務
2.資訊系統技術基礎設施與操作實務:評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率,以確定其充分支援組織的商業目标
3.資産的保護:對邏輯,環境和資訊技術基礎設施的安全性進行評價,確定其能支援組織保護資訊資産的需要,防止資訊資産在未經授權的情況下被使用,披露,修改,損壞或丢失
4.應用系統開發,獲得,實施與維護:對應用系統的開發,獲得,實施與維護方面所采用的方法和流程進行評價,確定其滿足組織的業務目标
5.災難恢複與業務持續計劃:這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。
6.業務流程評價與風險管理:評估業務系統與處理流程,確定根據組織的業務目标對相應風險實施管理
COBIT(Control Objectives for Information and related Technology, 資訊及相關技術控制目标)被認為國際上最先進,最權威的安全與資訊技術管理和控制标準
COBIT基于五個基本原則
1.滿足利益相關者需求
2.端到端覆寫企業
3.采用單一內建架構
4.啟用一種綜合的方法
5.區分治理和管理
審計從基于控制演變為基于風險的方法
基于風險方法來進行審計的步驟:
1.編制組織使用的資訊系統清單并對其進行分類
2.決定哪些系統影響關鍵功能和資産
3.評估哪些風險影響這些系統及對商業運作的沖擊
4.在上述評估的基礎上對系統分級,決定審計優先值,資源,進度和頻率