S9章-信息系统运营管理

第九章信息系统运营管理企业的信息管理/服务组织信息系统的维护信息系统的可靠性与安全性信息系统的审计第一节企业的信息管理/服务组织建立组织的信息管理与服务机构制定系统运营管理制度改善信息服务的质量一、企业信息管理机构较大型的企业或政府机构中往往设立专门的信息技术服务与管理部门（如信息中心、网络部、系统运营部等），负责日常的计算机系统运营管理和网络服务等事务；信息中心是组织中信息技术人才的集中地，是对组织中的信息资源、信息设备、共享服务等进行集中、统一管理的责任机构；信息中心在组织中的地位一般与其它职能部门平行，隶属于公司总部。执行组织内部的信息技术战略，维护信息系统和网络服务的正常运营负责制定信息技术规划，并实施相应的控制对组织所具备的信息技术能力和信息资源进行统一性的管理对组织中IT人员进行管理和培训信息对外发布的管理信息中心的权利和责任中心负责人：管理并促进中心的发展，与其它业务部门协调，对IT员工的管理系统分析员：研究企业信息需求，负责IS开发、实施，设计系统维护和运营服务方案网络/数据库管理员：专业性操作、管理者程序员：编制、调试和修改程序文档管理、硬件维修、用户联络、数据录入人员等信息中心的人员信息中心的组成示例信息主管（CIO）系统开发组系统维护组计算机运行组数据库管理组网络组系统分析员程序员系统分析员程序员操作员数据库管理员网络管理员信息中心的工作环境信息系统的运营环境不断变化，联机系统和网络服务规模和水平需不断提升，职责覆盖范围逐渐变动系统整合和集成的任务往往越来越重需持续性改善与内部用户和业务部门的关系，如收费服务和免费服务，责任划分等需持续性调整与软硬件外包服务商的关系，如系统外包、验收和维护服务等中心内部员工的知识、技能处在不断更新和充实中，需要探讨适宜的员工绩效评价和管理制度二、管理制度建设建立运营管理制度进行成本核算规范和引导用户部门关系管理1、建立运行管理制度系统运行管理的目的是使信息系统在预期时间内正常地发挥作用，产生应有的效益完善的管理制度是系统顺利运行的保障文档等信息资源管理制度岗位规范制度软件维护制度机房和设备管理制度网络管理制度人员管理制度安全管理制度办公管理制度系统日常运行管理制度系统工作情况的记录：系统工作情况及异常信息、数据库的存档与备份、用户登录敏感系统的时间和操作情况、用户的意见和建议等系统运行的日常维护：用户资格审查，通信平台和软硬件平台维护，共享文件和数据的更新和备份，外围设备维护等系统文档的管理制度：文档规范的制定，文档收存、使用和保管，文档更新的检查，文档可用性检查等信息服务的管理：信息服务的标准，运行成本控制，服务收费，账户管理和记账方法，稀缺资源有效管理制度，系统安全与审计等2、控制运行成本企业拥有IT服务的总成本（TCO）包括购买、维护和支持软硬件运行的总支出据Gartner分析师，1996年企业用于支持每台PC的年平均成本达8000美元终端应用43%设备21%技术支持27%管理9%客户终端维护的支出桌面环境配备人力支出帮助系统和相关支持服务生产率损失培训应用软件安装建立跨平台用应用接口网络及远程接入的可靠性操作系统升级和维护桌面系统升级和维护服务器开支备份及相关设备降低总成本的途径人员培训：对终端用户和IT技术人员进行成本控制流程和技术管理方面的教育梳理流程：对设备资产的使用环节进行监督，理顺流程，对软件升级等环节施行自动化集中管理和必要的控制改进技术基础：采用易于使用和管理的技术、设备和服务，如平台统一、人工操作少、注重标准化和普及性等计费机制的建立降低“空载运行”成本合理计费，减少资源浪费奖励信息共享提供者，提高资源共享水平通过有偿服务分摊部分使用费用根据经济合理原则使用外包资源用“收费”门槛避免资源过度使用鼓励重复利用，降低纸张等消耗性支出……规范和引导用户就总成本问题与终端用户沟通：用户往往不容易理解自己所获得的信息服务的总成本，容易采用增加总成本的办法来降低自己的局部成本。设计合理的服务收费与核算机制，抑制浪费引导用户充分利用现有平台的潜力，在公共平台支持下开发新的应用关注用户的意见和对系统的反应，用户支持服务要到位三、提高信息服务质量信息服务质量由用户所期望达到的服务水平与他所接受到的服务水平之间差距决定信息服务质量受多种因素影响，有静态的规范性因素，也有动态的变动性因素。规范性因素包括：系统可靠性用户需求的响应能力系统承诺和支持水平，如帮助系统服务内容提供水平，如及时性、相关性、准确性等人性化水平，如个性化界面，智能性会话、搜索和查询等COBIT：商业信息质量需求商业信息需求质量需求数据和信息的质量信用需求法律法规约束安全需求一致、集成、可得有效性经济性保密性真实性可用性合规性可靠性第二节信息系统的维护信息系统维护的目的：保证系统正常、可靠地运行，其信息服务功能随着环境的变化而不断改善和提高；系统维护——浮在水面上的冰山，维护的成本和工作量往往比预想的高出许多；随着系统寿命的延长，维护工作量会越来越大。1、软件产品维护的特点软件维护是软件生产活动中延续时间最长、工作量最大的活动。大型软件的生命周期接近十年，维护费用累积可以是开发费用的数十倍软件维护类似于软件的开发过程，需要经过分析、设计、实施过程，要采用工程化方法进行维护工作不正确会产生意想不到的副作用，甚至引入新的错误系统维护的理由用户有新的需求出现程序中出现故障或错误系统运行出现故障公司合并和机构调整政府政策调节外部环境变动更换了运行的操作系统或硬件设备2、系统维护的主要内容软件维护：根据信息服务需求的变化，修改和完善计算机应用程序和有关的文档；硬件维护：计算机和网络设备的检修、维修、更换、功能拓展等；数据维护：数据内容的更新、增减、转储、恢复，数据结构的调整等；代码维护：各种代码的增删、修改，设置新的代码等。软件维护完善性维护：应用户要求对原有功能的扩充、性能的改善、界面的调整等；（50%）适应性维护：为使系统适应平台、组织机构、应用环境的变化而做的调整；（25%）纠错性维护：对运行过程中所暴露的系统设计错误和问题等所做的纠正；（20%）预防性维护：根据未来发展趋势所进行的主动调整和修改。（4%）软件维护：常见完善性维护新的功能扩充改善对话环境，方便用户操作改善输出，增加/减少输出数据的内容、精度等增加联机帮助系统为软件运行增加监控设施缩短应答时间软件维护：常见适应性维护需要使用新的软硬件平台，如使程序适应另外一种终端，支持某种新的设备数据环境发生变化，数据库的分布、数据格式、数据采集或存储方式等变化后要做软件的调整提高共享性而做的调整，如共享相同的记录结构硬件维护硬件维护由专职的硬件维护人员或服务商负责；硬件维护的工作内容：定期的设备保养性维护突发性故障维修数据库维护数据维护主要由数据库管理员负责，管理员要保证数据库的安全性和完整性，并进行并发性控制；数据库中的数据类型、长度发生变化时，数据库需要添加或删除数据项时，要负责修改相关数据库和数据字典，并通知有关人员；要定期出版数据字典和数据库变动文件，以保留系统运行和修改轨迹；在系统排除故障后负责数据库的恢复工作。代码维护代码维护包括代码的订正、添加、删除甚至重新设计，一般发生的频率较小；一般由专门的代码管理小组负责，维护要及时代码维护的影响面比较宽，代码的变更需要经过详细的论证需要对新代码贯彻实施的难度有所准备3、系统维护的过程建立维护小组严格按计划和步骤进行严格审批手续制定验收标准保存全部文档基本工作步骤用户提交维护申请维护要求评审编制维护报告提交审批合理？通过？YY撤消申请制定维护计划实施维护用户及管理者审核满意？Y严格测试更新系统文档、存档交付使用并通知用户系统维护的组织大量的维护会在无法预测的情况下发生企业一般不建立专门的软件维护的组织机构系统维护需要多方面人员的配合，一个非正式的维护机构很有必要维护管理员：接受维护申请，组织评审系统监督员：熟悉产品程序的人员，负责评审维护负责人：确定修改方案维护人员：实施修改配置管理员：把关、控制修改范围，审计等软件维护工作流程完成维护的软件和配置判断维护类型适应/完善/预防评价优先程度较低较高维护开发安排开发项目表评价错误程度错误分析纠错严重改错安排不严重改错项目表计划安排实施维护测试/评审问题分析改错方案开发方案维护文档计划安排维护需求确认用户需求用户/维护人员软件维护文档在维护过程中必须做好维护文档，所有维护活动都应当收集下列数据：程序名称程序设计语言原代码语句条数，机器代码语句指令条数程序安装日期程序安装后运行次数与运行次数有关的处理故障次数程序改变的层次、名称、日期修改程序所增加的原代码语句条数修改程序所减少的原代码语句条数每次修改所付出的人员和时间数维护人员姓名维护申请报告的名称和维护类型维护开始时间和维护结束时间花费在维护上的累计人时数维护工作的收益系统维护的副作用系统维护和升级都会产生相应的副作用；程序代码的修改可能会导致灾难性的错误，造成原先运行比较正常的系统出现运行异常的问题；数据库中数据的修改会使一些应用系统不能适应变化的数据而产生错误；代码的维护有可能引发数据库和应用系统的重大调整和变动。第三节系统的可靠性与安全性系统的可靠性：系统在既定应用环境中正常工作的能力，即系统为避免内部差错、故障所采取的保护措施的水平；系统的安全性：系统防范意外或人为破坏所采取的保护措施的水平。软件系统的质量指标软件工程原理规定，软件的质量指标包括可靠性、正确性和可维护性等重要指标可靠性是软件最为重要的质量特性软件的可靠性R(t)：在给定的时间内，软件按照说明书中规定的条件成功运行的概率一、系统的可靠性系统可靠性检测：系统测试阶段的检验和运行过程中的记录与评价。系统可靠性的评价：系统平均无故障运行时间、系统开工率、系统平均维修时间等，故障率直接影响到系统可靠性系统可靠性的实现：需要在系统分析、设计、实施过程中采取必要的控制措施才能实现业务连续性保证信息服务要有保证业务连续性的能力，确保在重大事故破坏了工作环境或IT系统，信息或技术丢失或破坏的情况下，商业活动能够继续，并使损失降到最低。要对所有重要数据在安全距离以外做异地备份，制定适宜的备份策略，保证不会受到同一次事故的影响；需要时可在新的地点，启用新的设备平台并提供服务支持。业务连续性方案的内容1.很快发现并确定故障情况的发生2.迅速通知负责恢复的人员3.启动公司的业务连续性计划4.激活所设计的新地点5.发布公共信息6.为协助恢复工作提供支持服务可靠性的适度原则从工程的角度看，可靠性的提高以生产率的相应降低为代价可靠性分级可以做为开发和验收的度量标准分级故障后果工作量系数很低低正常高很高工作略有不便有损失，但容易弥补弥补损失比较困难有重大的经济损失损失危及人的生命0.750.881.001.151.40容错技术容错能力(faulttolerance)，在遇到某种错误和故障因素的情况下，系统仍具有继续运行的能力。•故障检测：设计状态监测以发现错误•故障约束：把错误屏蔽掉，防止错误扩大和发生危害•故障修复：能在一定程度上使软件恢复到正常状态，并完成预定的功能冗余技术冗余是以额外资源消耗换取系统正常运行的技术结构冗余：建立多余的配置和结构系统配置上：双工运行、双机运行软件设计上：多条备选输出时间冗余：设计监控和检测程序信息冗余：增加校验符号，检测错误其他可靠性技术负荷分布技术：用分布式系统将处理功能、数据存储等故障局限在最小范围内数据保护与恢复技术：自动保留数据后备副本，建立转储后的处理过程记录，可在故障时启用后备数据运用软件工程学方法进行系统开发与设计重视人的因素：友好的界面、良好的工作方式和环境、人机工程学、心理学的应用等几乎没有一种犯罪能像计算机犯罪那样轻而易举地获得巨额财产；美国联邦调查局统计，一起计算机经济犯罪的平均金额为4.5万美元，而刑事案件的平均金额2000美元；美国《信息周刊》报道，全球2002年计算机犯罪造成的商业损失达1万5千亿美元。德国由于计算机犯罪造成的经济损失每年高达150亿马克，相当于国民生产总值的1％。美