7.3.1 信息系统运行的组织
会展行业要求信息的提供、使用和更新具有较高实效性,这就要求作为信息管理的管理信息系统能够具备较高的运行效率。为了提高管理信息系统运行的效率,必须有效地组织好信息系统的运行,一般说来信息系统在企业中的地位对系统运行效率的影响是有着很大影响的。目前国内企业组织中负责系统运行的大多是信息中心、计算中心、信息处等信息管理职能部门,企业常见的信息系统运行组织机构主要有两种形式。
信息中心在经理之下、各职能部门之上,有利于信息资源的共享,并且在系统运行过程中便于协调和决策,但容易造成脱离管理或服务较差的现象;信息处与其他职能部门平行,其特点是信息资源可以为整个企业所共享,但信息处理的决策能力较弱,系统运行中有关的协调和决策工作将受到影响。所以建议信息系统在企业组织中的地位最好是将上述两种方式结合在一起,各尽其责。
7.3.2 信息系统的人员管理
人员管理是信息系统运行成败的关键。信息系统本身最大的特点就是运用先进的技术为企业的管理服务,它在运行工作中就必然要涉及到企业各个层次的管理人员和被管理的人员以及企业所服务的客户等,这样会展管理信息系统要服务的对象就十分复杂。使系统更好地为企业管理服务,达到信息系统使用的人机一体化,对信息系统人员的管理就显得尤为重要。人员管理的目的是使得这些服务与系统管理具有不同知识水平、不同技术背景的工作人员能够各负其责、互相配合,共同实现系统的功能。
1)信息系统中主要的人员职位
系统中各种人员能否发挥各自的作用,他们之间能否互相配合、协调一致,是系统成败的关键之一。例如,系统主管人员的责任就在于对他们进行科学的组织与管理,如果系统主管人员不善于进行这样的组织及管理工作,就谈不上实现信息管理的现代化和科学化,在这种情况下,整个系统的运行就会出现混乱。信息系统中主要的职位有:
(1)CIO。即首席信息官(Chief Information
Officers, CIO),负责整个组织的信息资源。负责管理信息系统和信息系统的人员,并向组织的最高层管理人员报告。
(2)系统主管人员。组织各方面人员协调一致地完成系统所担负的信息处理任务,掌握系统的全局,保证系统结构的完整,确定系统改善或扩充的方向,并按此方向组织系统的修改及扩充工作。其工作的评价标准应是整个应用系统在管理中发挥的作用及其效益。系统分析员,是指负责开发、实现和维护信息系统的技术人员。
(3)程序员(Programmer)。在系统主管人员的组织之下,完成系统的修改和扩充,为满足使用者的临时要求编写所需要的程序。编写程序的速度和质量是他们工作情况的衡量标准。
(4)数据库管理员(Database
Administrator, DBA)。利用数据库管理系统软件进行工作,决定如何组织和存储数据。他们的工作包括建立数据库、测试数据库和统一协调地修改数据库。
(5)数据管理员(Data
Administrator, DA)。负责处理全组织范围的数据的协调和使用。DA负责组织信息的全局管理、控制和归档,DBA设计、实现和维护数据库及数据库管理系统。
(6)硬件和软件操作人员。任务是按照系统规定的工作规程进行日常的运行管理。系统是否安全正常地运行是对他们工作的最主要的衡量指标。
(7)数据校验人员(或称数据控制人员)。责任是保证送到录入人员手中的数据从逻辑上讲是正确的,即保证进入信息系统的数据正确地反映客观事实。在系统内部发现的不正确数据的数目及比例,是衡量校验人员业务水平的主要指标。
7.3.3 信息系统的安全管理
1)管理信息系统安全的概念
会展管理信息系统是管理信息系统应用到会展行业的一个实体,它正如任何信息系统一样,正随着信息技术的发展,在运行操作、管理控制、经营管理计划、战略决策等社会经济活动中发挥着越来越大的作用。然而,这种社会信息化的趋势,导致了社会的各个方面对信息系统的依赖性越来越强,信息系统的任何破坏或故障,都将对用户乃至整个社会产生巨大的影响。因此也就使得信息系统在安全上的脆弱性表现得越来越明显,维护信息系统的安全也就显得尤为重要。
(1)信息系统安全的相关因素。信息系统是基于计算机系统和通信系统的十分复杂的现代信息资源网络系统,其中,计算机系统是信息系统的核心,由软件和硬件组成,用以完成对信息的自动处理过程;通信系统由工作站、计算机网络和通信网络构成,可以通过线路与计算机之间或通过线路与终端设备之间进行数据传输。这些组成信息系统的部件都会成为影响信息系统安全的主要因素,除此之外,还有没有其他的因素呢?要很好地管理信息系统,尽可能地避免各种对于系统安全的攻击,了解与信息系统安全相关的因素是十分有必要的。
信息系统的安全性是指为了防范意外或人为地破坏信息系统的运行,或非法使用信息资源,而对信息系统采取的安全保护措施。对于影响信息系统安全的因素我们归纳为以下几个方面:
自然及不可抗力因素:指地震、火灾、水灾、风暴以及社会暴力或战争等,这些因素将直接地危害信息系统实体的安全。
硬件及物理因素:指系统硬件及环境的安全可靠,包括机房设施、计算机主体、存储系统、辅助设备、数据通讯设施以及信息存储介质的安全性。
软件因素:软件的非法删改、复制或窃取将会使系统的软件受到损失,并可能造成泄密。计算机网络病毒也是以软件为手段侵入系统进行破坏的。
数据因素:指数据信息在存储和传递过程中的安全性,这是计算机犯罪的主攻核心,是必须加以安全和保密的重点。
人为及管理因素:涉及到工作人员的素质、责任心,以及严密的行政管理制度和法律法规,以防范人为的主动因素直接对系统安全所造成的威胁。
(2)信息系统安全的立法保护。信息系统安全既是十分重要和复杂的技术问题,又是社会经济问题。信息系统的有效运行必须有一套完整的保护机制,其中包括信息系统的自身保护机制等问题,要放在首要位置来考虑。我国政府非常重视这项工作,除了已颁布的法规外,还出台了具体的实施细则,如操作系统安全评估标准、网络安全管理规范、数据库系统安全评估标准、计算机病毒以及有害数据防治管理制度等。随着信息系统管理工作的法规化和规范化工作不断加强,必将推动广大公众的信息安全意识增强,使信息系统应用进入良好的法制化保护环境。1994年2月18日国务院首次发布了《中华人民共和国计算机信息系统安全保护条例》,明确指出:信息系统安全是指“保障计算机及其相关的和配套的设备、设施(含网络)的安全以及运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行”。
2)信息系统的安全管理机构
信息系统安全管理机构是实施系统安全,进行安全管理的必要保证。
其中,系统主管机构的任务是制定保密策略、协调安全管理、监督检查安全措施的执行情况,以防止泄漏事故的发生,确保机密信息的安全。
系统安全管理机构的设置,随信息系统的大小而定。若一个系统的地理覆盖面很大,则在每个区域内就应设一个安全管理机构。
系统安全审计机构担负保护系统安全的责任,但工作重点偏向于监视系统的运行情况,收集对系统资源的各种非法访问事件,并对非法事件进行记录,然后进行分析处理。信息系统通过系统安全管理机构对信息系统的用户负责。
3)信息系统安全管理的主要内容和措施
安全管理的内容包括用户使用权限检查、相同性检查和建立运行日志等。
(1)用户使用权限检查。在同一性检查之后,还要进一步检查用户的处理要求是否合法,即检查用户是否有权访问想访问的数据。系统管理人员根据系统运行的要求、组织权限、业务权限等给用户设置具体处理权限。设置权限控制清单时,绝不能有模糊不清的权限,要给用户规定实际需要的最小权限。
处理的资源和对象包括:数据文件、记录、数据库等数据对象;命令、程序等可运行的资源;终端、打印机等设备;磁带、磁盘等存储媒体;业务处理程序;应用中的控制码等。
(2)用户相同性检查。相同性检查是指用户在使用系统资源时,事先检查是否规定用户有访问数据资源的权力。通常先检查用户代码是否正确,接着检验用户的密码是否正确,当两者完全与机器中设置的代码相同时,才能使用系统的数据资源。在设计用户相同性检查时,为防止非法修改,必须注意设置更改用户报到表的权限。相同性检查需要一定的花费,应结合多方面因素综合考虑,进行合理设计,达到最佳效果。
(3)建立运行日志。系统运行日志是记录系统运行时产生的特定文件,它是确认、追踪与系统的数据处理和资源利用有关的事件的基础,它提供发现权限检查中的问题、系统故障的恢复、系统监察等信息,也为用户提供检查自己使用系统的情况。
在系统设计时,要从系统的安全控制和费用两方面考虑来定义运行日志中记录哪些项目和记载的程度。另外,还要考虑监察的水平,数据的型和量、时间、处理的复杂性、安全控制的效果以及系统对硬件设备的要求及影响等。
4)信息系统安全管理的原则
信息系统的安全管理主要有多人负责、任期有限、职责分离和工作分立等四项基本原则。
(1)多人负责原则。在信息主管认为无法保证安全以及信息中心人员足够的情况下,必须由两人或多人一起从事每项与安全有关的工作。工作人员必须由系统主管领导指派,忠诚可靠,能胜任工作,并认真记录签署工作情况,以证明安全工作已得到保障。
上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。
(2)职责分离原则。非经系统主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。
(3)工作分开原则。对计算机操作与计算机编程,计算机操作与系统用媒介的保管等信息处理工作,机密资料的接收和传送,安全管理和系统管理,应用程序和系统程序的编制,访问证件的管理和其他工作必须分开,不得由相同人员或小组执行。
(4)任期有限原则。绝不能由一人长期担任安全管理职务。工作人员应不定期循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
7.3.4 会展信息管理系统用户权限管理
设置信息管理系统用户权限用于系统的用户管理,以区分不同的用户可以进行不同的操作。主要内容有:
(1)用户与人员独立原则。每个用户可以分配多个用户,做同样事情的多个人员可以共用一个用户。
(2)权限体系。权限可以设置该用户是否拥有进入某页面的权限,同时可以设定开始和结束时间,可以设置访问的IP段、是否可以授权给别人。
(3)用户授权体系。每个用户只能做设定的功能,每个人都可以把自己的权限分给其他人。授权的同时可以指定他是否可以继续授权给别人。
