1、27/28生產時期安全性 對信息系統安全性的威脅任一系統，不管它是手工的依舊采納計算機的，都有其弱點。因此不但在信息系統這一級而且在計算中心這一級(假如適用，也包括遠程設備)都要審定并提出安全性的問題。靠識不系統的弱點來減少侵犯安全性的危險，以及采取必要的預防措施來提供中意的安全水平，這是用戶和信息服務治理部門可做得到的。治理部門應該特不努力地去發覺那些由計算機罪犯對計算中心和信息系統的安全所造成的威脅。白領階層的犯罪行為是客觀存在的，而且存在于某些最不可能被發覺的地點。這是老練的罪犯所從事的需要專門技術的犯罪行為，而且這種犯罪行為之多比我們想象的還要普遍。多數公司所存在的犯罪行為是從來可不能

2、被發覺的。關于利用計算機進行犯罪的任何統計資料僅僅反映了那些公開報道的犯罪行為。系統開發審查、工作審查和應用審查都能用來使這種威脅減到最小。 計算中心的安全性計算中心在下列方面存在弱點：1.硬件。假如硬件失效，則系統也就失效。硬件出現一定的故障是無法幸免的，然而預防性維護和提供物質上的安全預防措施，來防止未經批準人員使用機器可使這種硬件失效的威脅減到最小。2.軟件。軟件能夠被修改，因而可能損害公司的利益。嚴密地操縱軟件和軟件資料將減少任何越權修改軟件的可能性。然而，信息服務治理人員必須認識到由內部工作人員進行修改軟件的可能性。銀行的程序員可能通過修改程序，從自己的帳戶中取款時漏記帳或者把不的帳

3、戶中的少量存款存到自己的帳戶上，這差不多是眾所周知的了。其它行業里的另外一些大膽的程序員同樣會挖空心思去作案。3.文件和數據庫。公司數據庫是信息資源治理的原始材料。在某些情況下，這些文件和數據庫能夠講是公司的命根子。例如，有多少公司能經受得起丟失他們的收帳文件呢?大多數機構都具有后備措施，這些后備措施能夠保證，假如正在工作的公司數據庫被破壞，則能重新激活該數據庫，使其接著工作。某些文件具有一定的價值并能出售。例如，政治運動的損助者名單被認為是有價值的，因此它可能被偷走，而且以后還能被出售。4.數據通信。只要存在數據通信網絡，就會對信息系統的安全性造成威脅。有知識的罪犯可能從遠處接通系統，并為個

4、人的利益使用該系統。偷用一個精心設計的系統不是件容易的事，但存在這種可能性。目前已發覺許多罪犯利用數據通信設備的系統去作案。5.人員。用戶和信息服務治理人員同樣要更加注意那些租用靈敏的信息系統工作的人。某個特不無能的人也能像一個本來不老實的人一樣破壞系統。 信息系統的安全性信息系統的安全性可分為物質安全和邏輯安全。物質安全指的是硬件、設施、磁帶、以及其它能夠被利用、被盜竊或者可能被破壞的東西的安全。邏輯安全是嵌入在軟件內部的。一旦有人使用系統，該軟件只同意對系統進行特許存取和特許處理。物質安全是通過門上加鎖、采納防火保險箱、出入標記、警報系統以及其它的一般安全設備就能達到的。而作為聯機系統的邏

5、輯安全要緊靠口令和核準代碼來實現的。終端用戶能夠使用全局口令，該口令同意利用幾個信息系統及其相應的數據庫；終端用戶也可使用只利用一個子系統或部分數據庫的口令。 安全分析過程大多數公司的辦公人員詢問關于信息和計算中心的安全時，往往問一切都行了嗎?事實上他們應該問關于信息和計算中心的安全，我們應該做什么?。用戶治理人員應該與信息服務治理人員定期地共同研究，進行安全分析，這種安全分析為各方都情愿同意。簡言之，這種安全分析意指決定要多大的一把掛鎖。遺憾的是，某些公司樂意承擔巨大的風險，但又僥幸地希望不要出現自然災難或預先考慮到的禍害。難得出現并不等于永不出現，關于這一點某些公司發覺得太晚了。在進行安全

6、分析的過程中，用戶和信息服務人員要切實地審估幾十種安全項目清單是否充分。例如，在屬于物質安全方面，分析組可能要調查通向機房的路徑數目，或者要調查是否存在一張進入機房的特許名單。安全分析方法的步驟如下：1.估價危險。(1)識不和分析薄弱環節。(2)確定特定事件出現的概率。2.危險審定。在估價危險的基礎上確立可同意危險的標準(信息系統的安全是按一定的程度來實現的)。3.減少危險。(1)把對薄弱環節的威脅減到最小或消除它。(2)重復第1、第2和第3步，直到這種危險小到可同意的程度。安全性 對信息系統安全性的威脅任一系統，不管它是手工的依舊采納計算機的，都有其弱點。因此不但在信息系統這一級而且在計算中

7、心這一級(假如適用，也包括遠程設備)都要審定并提出安全性的問題。靠識不系統的弱點來減少侵犯安全性的危險，以及采取必要的預防措施來提供中意的安全水平，這是用戶和信息服務治理部門可做得到的。治理部門應該特不努力地去發覺那些由計算機罪犯對計算中心和信息系統的安全所造成的威脅。白領階層的犯罪行為是客觀存在的，而且存在于某些最不可能被發覺的地點。這是老練的罪犯所從事的需要專門技術的犯罪行為，而且這種犯罪行為之多比我們想象的還要普遍。多數公司所存在的犯罪行為是從來可不能被發覺的。關于利用計算機進行犯罪的任何統計資料僅僅反映了那些公開報道的犯罪行為。系統開發審查、工作審查和應用審查都能用來使這種威脅減到最小

8、。 計算中心的安全性計算中心在下列方面存在弱點：1.硬件。假如硬件失效，則系統也就失效。硬件出現一定的故障是無法幸免的，然而預防性維護和提供物質上的安全預防措施，來防止未經批準人員使用機器可使這種硬件失效的威脅減到最小。2.軟件。軟件能夠被修改，因而可能損害公司的利益。嚴密地操縱軟件和軟件資料將減少任何越權修改軟件的可能性。然而，信息服務治理人員必須認識到由內部工作人員進行修改軟件的可能性。銀行的程序員可能通過修改程序，從自己的帳戶中取款時漏記帳或者把不的帳戶中的少量存款存到自己的帳戶上，這差不多是眾所周知的了。其它行業里的另外一些大膽的程序員同樣會挖空心思去作案。3.文件和數據庫。公司數據庫

9、是信息資源治理的原始材料。在某些情況下，這些文件和數據庫能夠講是公司的命根子。例如，有多少公司能經受得起丟失他們的收帳文件呢?大多數機構都具有后備措施，這些后備措施能夠保證，假如正在工作的公司數據庫被破壞，則能重新激活該數據庫，使其接著工作。某些文件具有一定的價值并能出售。例如，政治運動的損助者名單被認為是有價值的，因此它可能被偷走，而且以后還能被出售。4.數據通信。只要存在數據通信網絡，就會對信息系統的安全性造成威脅。有知識的罪犯可能從遠處接通系統，并為個人的利益使用該系統。偷用一個精心設計的系統不是件容易的事，但存在這種可能性。目前已發覺許多罪犯利用數據通信設備的系統去作案。5.人員。用戶

10、和信息服務治理人員同樣要更加注意那些租用靈敏的信息系統工作的人。某個特不無能的人也能像一個本來不老實的人一樣破壞系統。 信息系統的安全性信息系統的安全性可分為物質安全和邏輯安全。物質安全指的是硬件、設施、磁帶、以及其它能夠被利用、被盜竊或者可能被破壞的東西的安全。邏輯安全是嵌入在軟件內部的。一旦有人使用系統，該軟件只同意對系統進行特許存取和特許處理。物質安全是通過門上加鎖、采納防火保險箱、出入標記、警報系統以及其它的一般安全設備就能達到的。而作為聯機系統的邏輯安全要緊靠口令和核準代碼來實現的。終端用戶能夠使用全局口令，該口令同意利用幾個信息系統及其相應的數據庫；終端用戶也可使用只利用一個子系統

11、或部分數據庫的口令。 安全分析過程大多數公司的辦公人員詢問關于信息和計算中心的安全時，往往問一切都行了嗎?事實上他們應該問關于信息和計算中心的安全，我們應該做什么?。用戶治理人員應該與信息服務治理人員定期地共同研究，進行安全分析，這種安全分析為各方都情愿同意。簡言之，這種安全分析意指決定要多大的一把掛鎖。遺憾的是，某些公司樂意承擔巨大的風險，但又僥幸地希望不要出現自然災難或預先考慮到的禍害。難得出現并不等于永不出現，關于這一點某些公司發覺得太晚了。在進行安全分析的過程中，用戶和信息服務人員要切實地審估幾十種安全項目清單是否充分。例如，在屬于物質安全方面，分析組可能要調查通向機房的路徑數目，或者

12、要調查是否存在一張進入機房的特許名單。安全分析方法的步驟如下：1.估價危險。(1)識不和分析薄弱環節。(2)確定特定事件出現的概率。2.危險審定。在估價危險的基礎上確立可同意危險的標準(信息系統的安全是按一定的程度來實現的)。3.減少危險。(1)把對薄弱環節的威脅減到最小或消除它。(2)重復第1、第2和第3步，直到這種危險小到可同意的程度。安全性 對信息系統安全性的威脅任一系統，不管它是手工的依舊采納計算機的，都有其弱點。因此不但在信息系統這一級而且在計算中心這一級(假如適用，也包括遠程設備)都要審定并提出安全性的問題。靠識不系統的弱點來減少侵犯安全性的危險，以及采取必要的預防措施來提供中意的

13、安全水平，這是用戶和信息服務治理部門可做得到的。治理部門應該特不努力地去發覺那些由計算機罪犯對計算中心和信息系統的安全所造成的威脅。白領階層的犯罪行為是客觀存在的，而且存在于某些最不可能被發覺的地點。這是老練的罪犯所從事的需要專門技術的犯罪行為，而且這種犯罪行為之多比我們想象的還要普遍。多數公司所存在的犯罪行為是從來可不能被發覺的。關于利用計算機進行犯罪的任何統計資料僅僅反映了那些公開報道的犯罪行為。系統開發審查、工作審查和應用審查都能用來使這種威脅減到最小。 計算中心的安全性計算中心在下列方面存在弱點：1.硬件。假如硬件失效，則系統也就失效。硬件出現一定的故障是無法幸免的，然而預防性維護和提

14、供物質上的安全預防措施，來防止未經批準人員使用機器可使這種硬件失效的威脅減到最小。2.軟件。軟件能夠被修改，因而可能損害公司的利益。嚴密地操縱軟件和軟件資料將減少任何越權修改軟件的可能性。然而，信息服務治理人員必須認識到由內部工作人員進行修改軟件的可能性。銀行的程序員可能通過修改程序，從自己的帳戶中取款時漏記帳或者把不的帳戶中的少量存款存到自己的帳戶上，這差不多是眾所周知的了。其它行業里的另外一些大膽的程序員同樣會挖空心思去作案。3.文件和數據庫。公司數據庫是信息資源治理的原始材料。在某些情況下，這些文件和數據庫能夠講是公司的命根子。例如，有多少公司能經受得起丟失他們的收帳文件呢?大多數機構都

15、具有后備措施，這些后備措施能夠保證，假如正在工作的公司數據庫被破壞，則能重新激活該數據庫，使其接著工作。某些文件具有一定的價值并能出售。例如，政治運動的損助者名單被認為是有價值的，因此它可能被偷走，而且以后還能被出售。4.數據通信。只要存在數據通信網絡，就會對信息系統的安全性造成威脅。有知識的罪犯可能從遠處接通系統，并為個人的利益使用該系統。偷用一個精心設計的系統不是件容易的事，但存在這種可能性。目前已發覺許多罪犯利用數據通信設備的系統去作案。5.人員。用戶和信息服務治理人員同樣要更加注意那些租用靈敏的信息系統工作的人。某個特不無能的人也能像一個本來不老實的人一樣破壞系統。 信息系統的安全性信

16、息系統的安全性可分為物質安全和邏輯安全。物質安全指的是硬件、設施、磁帶、以及其它能夠被利用、被盜竊或者可能被破壞的東西的安全。邏輯安全是嵌入在軟件內部的。一旦有人使用系統，該軟件只同意對系統進行特許存取和特許處理。物質安全是通過門上加鎖、采納防火保險箱、出入標記、警報系統以及其它的一般安全設備就能達到的。而作為聯機系統的邏輯安全要緊靠口令和核準代碼來實現的。終端用戶能夠使用全局口令，該口令同意利用幾個信息系統及其相應的數據庫；終端用戶也可使用只利用一個子系統或部分數據庫的口令。 安全分析過程大多數公司的辦公人員詢問關于信息和計算中心的安全時，往往問一切都行了嗎?事實上他們應該問關于信息和計算中

17、心的安全，我們應該做什么?。用戶治理人員應該與信息服務治理人員定期地共同研究，進行安全分析，這種安全分析為各方都情愿同意。簡言之，這種安全分析意指決定要多大的一把掛鎖。遺憾的是，某些公司樂意承擔巨大的風險，但又僥幸地希望不要出現自然災難或預先考慮到的禍害。難得出現并不等于永不出現，關于這一點某些公司發覺得太晚了。在進行安全分析的過程中，用戶和信息服務人員要切實地審估幾十種安全項目清單是否充分。例如，在屬于物質安全方面，分析組可能要調查通向機房的路徑數目，或者要調查是否存在一張進入機房的特許名單。安全分析方法的步驟如下：1.估價危險。(1)識不和分析薄弱環節。(2)確定特定事件出現的概率。2.危

18、險審定。在估價危險的基礎上確立可同意危險的標準(信息系統的安全是按一定的程度來實現的)。3.減少危險。(1)把對薄弱環節的威脅減到最小或消除它。(2)重復第1、第2和第3步，直到這種危險小到可同意的程度。費用分配方式 在信息服務業務進展的定型過程中的某個時期，關因此否要向終端用戶收業務費和(或)計算機服務費的問題，公司要作出決策。關于中型和大型機構的進展趨勢是，通過付費方式把信息服務費用分派給終端用戶分擔。實現付費方式的目的是為了促進信息和計算機資源的有效利用。采納付費方式的依照是，一個部門在花費他們自己的鈔票時要比花費不人的鈔票盤算得更周到。實現付費方式，即費用分配方式有許多問題要考慮。例如

19、，終端用戶應該負擔可行性分析的費用嗎?這筆費用應該由信息服務部門指定為固定數額，依舊應該建立在實際耗費的時刻基礎上呢?使用機器的費用應該單獨以處理機的使用為基礎，依舊按每種外圍設備(打印機、磁盤存儲器等等)分開計費呢?價格的變動應該按使用的存儲容量分不給出呢?依舊應該按計算機使用時刻的主次來給出價格變動呢?向終端用戶分派費用的差不多方法有四種，正如人們時預料的那樣，每種方法各有其優缺點。常用的那些付費方法如下：1.在信息服務方面對用戶免費有一種方法是把公司的信息服務的預算分配給信息服務部門，并托付他們在可用資源的限制范圍內向用戶提供最合理的服務。這種方法在行政治理上是簡單的，而且每個用戶都能夠

20、得到免費服務。其缺點是：服務的優先分配歸屬于信息服務部門；用戶體會不到信息服務的代價，不能充分地去分析他們的服務請求的效益和費用比；而且最大的用戶總是得到最好的服務。然而，當而且僅當存在一個能夠依照公司的需要分配信息服務資源、具有權力且公正的信息服務指導委員會時，這才是一種可行的選擇方法。2.給每個請求服務部門分配信息服務的預算費用把信息服務的預算費用分配給每一個請求服務的部門。以這種方法，請求服務的部門只要簡單地申請一定額度的信息服務經費。事實上，如此做并不存在內部的資金調撥。從貿易角度來講，這種預算費用分配被認為是虛設的鈔票或者木制鈔票幣。這種方法的優點是，在整個信息服務的預算費用范圍內提

21、供了限額操縱，并向用戶提供了關于要承擔信息服務費用的反饋信息。然而，用戶依舊體會不到信息服務的代價，而且可不能去分析其效益和費用比。當初期分配的預算額用完時，由于用戶只需要申請更多的預算費用，因此可不能嚴格地執行預算費用的分配。僅當審查最初確定的預算費用分配，而實際征收罰金時，這種方法才行得通。當一個公司朝著付費方式過渡，其中實際的費用在部門之間進行調撥時，這種方法才是有效的。這種付費方式可用來產生備不記得帳。當信息服務的服務費用實際上被記入到業務領域的預算帳內時，通過大約一年的時刻，這些備不記得帳可給用戶治理人員提供他希望了解的情況。3.直接對所有的信息服務收費按照直接付費方式，使用部門要負

22、擔所有的硬件使用、人員服務和資料手冊等費用。這種方式的優點是，它能促進用戶治理人員去分析他們的服務請求的效益和費用比。因此，只有優先級高的和性能價格比合算的服務請求才會提交給信息服務，如此就能把資源集中用于對公司的工作更關鍵的方面。這種方法的最大缺點是，直接收取信息服務費用可能會阻礙更多的用戶去把采納計算機的系統考慮作為一種選擇的方案。4.公司補助和直接收費相結合用戶的消費要與公司信息服務的集中備用資金相適應。這種方法需要用戶通過內部的資金調 撥去付一部分信息服務的費用。比如講，用戶可能要付30%、50%或70%的費用，而剩余部分 記入公司的信息服務帳內。這種方法的優點是，它能鼓舞那些積極性不

23、高的用戶去投資性能 價格比高的、采納計算機的系統。即使用戶僅僅支付了總費用的一部分，依舊對信息服務的 費用有一定的認識。這種方法在較小的程度上也還存在著對信息服務直接收費的缺點。生產時期概論 生產時期內涵生產時期是信息系統壽命期的第三個時期(信息系統的壽命期可分為：誕生、開發、生產和消亡四個時期)，所謂信息系統的生產時期是指從系統最初被認為可供使用的時候起，直到它被取代的時候為止這段時期。一旦某個系統投入了使用，實際上就由使用部門來主管所有系統設備的相互作用。在集中統一治理的情況下，信息服務只承擔技術支持、處理和硬拷貝輸出的分配等工作。 生產過程1.輸入-數據簡化(1)數據簡化。數據簡化是數據

24、輸入的同義語，指的是把數據送進計算機系統的過程。非機器可讀格式的數據在變成計算機文件的一部分之前，必須進行轉換。例如，工長填到記工表上的工時數，庫房保管員用手工記錄的庫存物品的進出情況，這些數據需要轉換成機器可讀的格式。那個轉換過程通常是借助于一種鍵驅動設備來完成的。在某些系統里面，數據差不多以機器可讀的格式表示了，因此無須再經鍵盤輸入。例如，百貨商店的售貨員能夠使用一根手動棒，直接從商品的價格標簽處輸入價格數據和商品品目數據。(2)校對。不管數據是由用戶人員聯機輸入的，依舊由信息服務人員分批錄制的，用戶都要對輸入到系統的數據完整性負責。數據的核對可用幾種方法完成。在數據穿孔時期，數據的核對是

25、靠兩次用鍵盤把原始文件的全部數據直接打入同一張卡片上來完成的。重新鍵入數據這種核對方法還可用于從鍵盤到磁盤的數據輸入，只是用得不專門廣泛而已。此方法可用作數據核對的依照是，操作員一般不可能兩次鍵入相同的錯誤字符。盡管這種方法既苦惱而又費時，但它一般可不能造成數據輸入錯誤。通常在完成最初的原始資料期間，數據的完整性就會受到破壞。由于多數原始資料差不多上用人工編寫的，因此資料的清晰度就成了阻礙數據完整性的重要因素。大多數用鍵盤輸數據的錯誤差不多上由于操作員誤判了輸入數據的手寫字符所造成的。在聯機進行數據輸入的情況下，數據核對是靠操作員的目視檢驗和靠計算機軟件的校驗來完成的。在一個聯機定貨單輸入系統

26、里，售貨員可把定貨單直接輸進系統，而不需用手工去填寫一張空白定單。在聯機系統中，采納的目視核對是與批處理系統中產生原始資料所用的方式相同的。操作員在視頻顯示器上直接閱讀輸入的數據，就能核對數據輸入的正確性。為了檢驗輸入數據的范圍、合理性以及某些數據元是否匹配得當，能夠把要檢驗的邏輯編進軟件里。例如，假如某公司迄今收到的最多的一張定貨單是25種物品，而有張定貨單卻輸入了2500種物品，則就對該項輸入標上要進一步驗證的標記。又如，軟件能夠核對目前已存在于公司數據庫中的數據元。操作員每次都要輸入實際的顧客編號，假如該數據庫中無此編號，則就把該項編號打上標記。(3)生產率。用戶治理人員應該明白數據輸入

27、是一項需要把關的任務；同時也應明白，為了維持數據輸入的生產率和準確性，操作員需要給予鼓舞。為此，應該盡力使數據輸入操作員認識到工作的重要性，通過定期讓他們參加一些強調數據輸入任務對整個系統的重要性的討論會，就能達到此目的。在這些會議上，還要為操作員提供專題討論。如此會有助于提高系統輸入的工作效率。應同意操作員采納標準的組合技術，來建立他們自己的效能準則。假如獎金和酬勞的增加是以工作成績為基礎的，那么就能加強操作員的競爭精神。2.處理-操作除非把處理工作分配給業務部門(即分布式數據處理)，否則操作業務通常由公司的信息服務部門來承擔。操作業務的目的是使支持生產信息系統的計算機硬件運轉起來。這些信息

28、系統是由同級的信息服務業務部門(程序設計和系統設計)和使用部門共同選擇(專用軟件)和開發的。操作治理人員負責治理給定的硬件和信息系統，并為滿足指定的最后期限要求安排生產打算。治理人員應該明白一些有關一個計算中心的其它要求。這些要求可不能阻礙治理人員的特定職責范圍，然而它們關于公司的工作來講是同等重要的。就一般的計算中心而言，治理人員不僅要安排幾十個信息系統的生產打算，而且還要安排其它項目。例如，大批的一次性任務和(或)特定的任務、程序的開發和測試、系統質量的保險測試、數據和文件的轉換、預防性維護、并行操作、一般性維護以及必須安排的硬件的升級換代等。為了防止系統失效，那些對整個公司工作最關鍵的系統部分要給以優先級。在時刻許可的情況下，其它的任務都可插到預定的打算里去。3.輸出-分配及操縱大多數信息系統都需要一些硬拷貝輸出。在集中統一治理的情況下，這些輸出文件的操縱及分配是信息服務的任務。通常，信息服務部門有一個治理小組，它利用多種技術(操縱總數、一致性檢驗等等)來核對系統輸出的準確性，關于每一份輸出，治理小組要保存收據和分配日志。在公布高度機密的文件之前，常常需要用戶簽字。信息系統審查 每一個公司都應該設立一個公司內部的信息系統審查小組(或審計員)，由該小組向高級的中立辦公室匯報。信息系統審查工作人員