企业信息规划范文(精选8篇)
企业信息规划 第1篇
钢铁企业信息资源规划
1钢铁企业信息化的现状
进入新世纪以来,钢铁工业仅在企业信息化(ERP+MES+KMS)上的投资就超过50亿元,且不包括生产过程自动化和各种单项应用的投入,形成了从生产过程控制——制造执行——ERP——知识获取的一套体系,总结出“产销一体、管控衔接、三流同步”的十二字经验,提出了生产制造与相关业务的整合,财务与相关流程的整合两大开发重点,提供了一整套钢铁企业信息化共性技术方案。截至8月底,宝钢股份、武钢、衡阳钢管、兴澄特钢等22家企业完成了信息化阶段目标,这些企业占全国钢产量的30.2%,占77家重点大中型钢铁企业的27.6%。他们的信息化100%涉及企业核心业务,有57%企业进入应用成熟期,取得了显著的经济效益,年效益1000~6000万元之间,信息化投资回收期平均为3.5年。
唐钢自2002年启动企业信息化建设以来,按照“总体规划、分步实施、积极稳妥、务求实效”的原则,先后完成公司信息化主干网建设和销售、供应、能源物资计量、质量管理、设备管理等信息化管理模式和工作流程,搭建了“产销一体、管控衔接”的基本框架。为了不断提高企业的综合管理素质和经营效益,2005年7月启动了建设产销信息化系统一期工程建设项目,此项目涉及钢轧、销售、生产、技术和计控管理等单位,主要实施内容包括薄板生产线销售合同管理系统,生产计划排产系统,生产过程物流跟踪系统,计质量管理系统,生产实绩收集系统,库存及发货管理系统等。该项目的软件编程、网络集成、实时数据库设计及系统现场联调工作已按计划完成,并基本具备系统上线模拟运行和上线试运行的条件。
2钢铁市场需求分析
自1980年以来,中国的钢铁需求增长了3倍。2000年,中国钢铁消费超过1.3亿吨,超过美国成为世界上最大的市场。其中87%的市场由占中国GDP3%、拥有职工300多万的国内钢铁企业供应。但中国的需求仍处于初步阶段。中国每美元GDP仅使用0.12公斤钢铁,或人均92公斤,而马来西亚人均消耗450公斤。即使新技术使中国越过某些经济发展过程中的钢铁密集阶段,但只要部分地弥补这一缺口,未来十几年中国的钢铁需求就将翻番。职能域划分
3.1 功能分解
3.2 调整后的业务过程和业务活动 表
33.3业务模型
业务模型代码职能域—业务过程—业务活动名称 F01董事会。。。。。。F04设备 F0401设备需求F040101设备申请单F040102库存查询F040103制定需求计划 F0402采购 F0403设备维护。。。。。。。4用户视图 用户视图组成序号数据项名称数据项定义01KHDM客户代码02KHMC客户名称02KHDZ客户地址03FWLX服务类型
04DJRQ登记日期„„„„„„„„ 用户视图登记
标识:D041101名称:设备申请表流向:输入类型:报表生存期:永久记录数:0500 5 高炉配料计量数据流程图系统功能建模 钢铁企业顶层业务模型底层数据 原燃辅料外购板坯
/操作人员
采集设备状况
ERP订单
质量制造工艺规则产能物流设备按客户交货规则
(根据交货期、品种规格等)
订单接收反馈
质量保证书质量分析报告
订单进程
生产统计报告
订单进程
库存实绩报告板坯/钢板
修改订单接收处理功能的DFD模型确定主题数据库
订单管理:输入:①从ERP系统接收的原始订单;②从质量管理输出的质量设计失败的订单。控制:①标准和限制:订单合法性检查标准、订单制造可行性检查标准等;②从工序计划和调度、炼钢-连铸-轧钢车间管理和库存管理输出的订单进程:据此判断订单能否修改或取消输出:①订单接收处理的反馈(对ERP);②订单进程;③原始订单。机制:①销售部门人员;②企业遗留系统。
质量管理:输入:①从订单管理输出的原始订单;②从炼钢-连铸-轧钢车间管理输出的炉次、板坯、钢板等物料对象信息。控制:①质量参数标准:产品化学成分、外观尺寸、物理性能、公差等标准;②制造规范标准:制造工艺路线、工艺控制等标准。输出:①质量保证书;②质量分析报告;③订单进程;④质量判定结果;⑤质量设计完成的订单;⑥质量设计失败的订单。机制:①质量部门人员;②企业遗留系统。
工序计划和调度:输入:①从质量管理输出的完成质量设计的订单;②车间现场设备运行、检修等状况。控制:①工艺约束:异钢种连浇、板坯直送热装、中间板坯库缓冲等工艺约束;②限制条件:浇次内炉次数上下限,板坯/母板厚宽设计标准,轧机轧制单位内板坯厚宽变化标准等限制条件。③产能限制:转炉、连铸机、轧机等设备有限产能限制,以及产能匹配限制等;④从库存管理输出的库存产品信息。输出:①炼钢-连铸-轧钢生产计划;②炉次/浇次/板坯/钢板生产作业指示;③订单进程。机制:①生产计划人员;②企业遗留系统。
炼钢-连铸-轧钢车间管理:输入:①从工序计划 & 调度输出的炉次/浇次/板坯/钢板作业指示;②从车间底层设备中采集的实绩数据;③车间耗用的原燃辅料。控制:①物流跟踪:物料处理、转移、衔接的节奏匹配;②设备状况。输出:①生产统计报告;②炉次、板坯、钢板等物料对象信息;③订单进程;④板坯、钢板等产品入库信息。机制:①车间工艺/技术/操作人员;②企业遗留系统。
库存管理:输入:①从炼钢-连铸-轧钢车间管理输出的在线板坯、钢板产品入库信息;②外购板坯信息。控制:①从质量管理输出的板坯、钢板产品判定结果;②客户要求的交货条件。输出:①订单进程;②库存状况:库存产品品种规格、位置、客户等属性信息;③库存实绩报告:入库、出库、库存等统计报表;④板坯、钢板等产品实物出库。机制:①仓库人员;②企业遗留系统。结束语
进行用户需求收集和系统功能分析是实施信息资源规划的首要任务和基本条件,而钢铁企业业务流程复杂,业务人员往往很难有效的将领域知识和经验传达给开发人员,这样开发人员虽然掌握着先进的软件技术及工具,但在不了解业务的状况下也很难构建一个功能齐全、适应性良好的管理信息系统。使用不同建模方法构建业务模型,为业务人员和系统开发人员提供了良好的交流和沟通平台。
企业信息规划 第2篇
但是,由于企业信息化是一项相当艰巨复杂的系统工程,对许多中国企业来说仍然是全新的课题,无论在规划还是在建设信息化过程中,都存在很多疑虑和困惑。而一些it企业、咨询公司出于纯商业目的和竞争的需要,自觉、不自觉地误导企业,又进一步模糊了企业对信息化技术、应用及其效果的认识,使他们对究竟如何规划和建设本企业的信息化更加茫然,或仓促上马招致失败,或迟疑不决贻误良机。因此,对一批已经完成信息化战略抉择的用户企业来说,其当务之急是,在策略、战术上,借助外部的客观、中立、第三方的信息化咨询机构的知识、经验和力量,切实把握和解决好信息化规划和建设过程中的一些带有规律性、普遍性和策略性的问题,以确保其信息化建设顺利进行并取得成功。
本文从企业信息化项目规划和建设的实际流程、需求出发,从如何为用户企业提供客观、中立、第三方的咨询服务的角度提出企业信息化四个阶段的八个策略问题与大家讨论,供企业参考。
一是企业定位策略
尽管在企业制度、管理模式、技术工艺、行业属性、发展阶段、经营规模等方面具有共性的企业,可以相互借鉴信息化建设的经验教训,但是,从来不存在完全相同的企业,因此也就没有可以完全照抄照搬的企业信息化模式。在规划和建设信息化之前,企业高层决策机构首先应当借助外部的第三方信息化咨询机构,从经营战略、体制、技术、管理、企业文化、人力资源、行业境和竞争地位等方面,对企业进行全面地自我诊断和准确定位甚至重新定位,在此基础上确定本企业信息化建设的关键需求、方针、范围、阶段、力度和深度,才能既不脱离企业自身特点、基础和条件,又能很好地服从服务于企业未来经营发展和增强核心竞争力的需要。
二是时机选择策略
什么时候启动本企业的信息化建设,从战略上讲当然是时不待我,但从战术上看,并非所有的企业都适合“现在”就上马信息化项目。时机的选择关系到项目的成败。竞争的压力、信息技术的飞速发展、与供应商的供应链和价值链关系、快速响应市场变化和客户个性化需求的需要等等,构成信息化的拉力和动力。而企业在体制、管理、观念、人员it素质、资金预算等方面缺乏准备或准备不充分都会成为信息化的阻力,推迟信息化启动的时间。企业应当在第三方咨询顾问的帮助下,全面、客观地分析这两方面因素的消长变化,蓄积动力,克服阻力,积极地、有计划地准备信息化实施所需的条件,并由此确定启动信息化建设的最佳时机。
三是全员培训策略
信息化项目启动前,借助第三方咨询机构,对上至董事长、总经理,下至普通员工就信息化意义、必要性、基本知识技能、预期效果等进行全员培训,不同于软件和解决方案提供商、实施商对系统和终端用户进行的应用操作技能的培训。它不仅有助于尽快形成全体员工对信息化建设总体思路、步骤等的共识,明确自己所应担当的角色和发挥的作用,增强员工参与度和积极性、创造性,减少障碍,克服阻力,提高项目成功率;而且更重要的是,它有助于“擦亮用户的眼睛”,培养和提高企业管理层特别高层决策者对信息技术、软件和解决方案提供商的认识和判断力,以便正确地选择适用的技术、解决方案及其供应商、实施商,降低选型风险,防止决策失误。
四是招标选型策略
国内外软件厂商特别是erp厂商参差不齐,鱼龙混杂。为确保正确选型,企业应当在第三方咨询顾问机构的帮助和组织下,根据企业信息化建设统一规划的要求和不同阶段、不同应用系统的项目内容,编制标书,面向国内外it企业进行广泛招标,这是项目成功与否的关键所在。
以上是企业在信息化项目准备阶段应当注意把握和解决好的四个策略问题。通过该阶段四个策略的运用,企业在外部引入的第三方咨询顾问的帮助下,完成自我诊断、时机选择、全员培训和选型招标,形成适合本企业发展需要的、在某种程度上说也是独一无二的信息化建设《项目建议书》、《可行性研究报告》和《整体规划》等前期工作成果。
五是实施监理策略
在完成选型后,供应商、实施商进入企业,信息化项目进入实施监理阶段。企业作为甲方,供应商和(或)其实施商作为乙方(一个或多个),需要由第三方作为监理方来沟通和协调双方的关系,以确保项目能够按照规划内容、进度要求顺利进行和设计功能的全面如期实现。在项目实施监理阶段,监理方应依据有关监理的法律法规,对项目进度、质量、投资等进行全程、全面的监理并提供甲、乙双方共同确认的《监理报告》。
六是验收评估策略
项目实施完毕,进入验收评估阶段。由于企业信息化项目的复杂性,在没有引入第三方的情况下,甲、乙双方常常在项目是否可以结束、何时验收以及依据什么标准验收等方面产生分歧,相持不下。第三方咨询机构,按照信息化规划、甲乙双方签订的合同以及一套各方公认的信息化项目评估体系,站在中立的地位,对项目进行全面验收评估,形成《评估报告》并提交双方确认,对确保项目成功和双方的利益都是十分必要和有利的。
七是维护扩展策略
验收评估结束后,信息化项目进入维护、管理与扩展阶段。对于it企业而言,项目竣工意味着用户买单,自己走人。但对用户企业而言,项目竣工,一切才刚刚开始。因为,系统建成正如生产线竣工,应用和投产才是目的.。此阶段,企业与第三方咨询机构可以建立长期的战略合作关系。第三方咨询机构可以帮助企业进行阶段性信息化项目完成后的维护、管理与升级工作,紧紧围绕用户应用系统升级、扩展的要求,跟踪研究信息技术及其应用的发展趋势,继续为用户企业提供富有前瞻性、战略性和针对性的服务。同时,帮助用户企业建立it供应商信用记录数据库及其根据用户系统维护、扩展需要作出快速响应、提供后续服务与支持的机制。
八是行业专家参与策略
这一组织策略贯穿上述四个阶段。在处于起步阶段的信息化咨询市场,it厂商、咨询公司尚未培养出“资深”的行业顾问,往往难以就项目规划、实施与用户的业务、管理部门进行深入的、实质性的交流,不可能为用户提供贴近其所在行业特点的专业、优质服务。第三方咨询机构要确保企业信息化成功,必须吸收真正行业专家参与用户信息化项目,用户企业和it企业也有理由要求其组建有用户所在行业的真正行业专家参与的专家团队,针对上述各个阶段工作的需要协同工作,为用户提供顾问服务,协调甲乙双方的关系。只有这样,it咨询与管理咨询的结合才不是简单相加而是有机融合,具有相乘、倍增效应,项目的成功率才会大大提高。
企业信息化规划流程 第3篇
企业进行信息化规划必须以下几点:首先, 信息化规划应能充分反映企业自身的发展战略, 体现企业未来的管理发展和业务发展。这样才能有效保证企业全方位的发展方向。其次, 信息化规划应注重可扩展性, 尽量适应信息化技术的快速发展, 并能适应业务模式与管理模式不断的变化。在科技进步一日千里的今天, 信息化技术、企业业务与管理模式经常会发生变化, 这些变化会将导致以前的信息化规划不适应新的变化。因此在做信息化规划时, 需要分析企业的战略与信息化支撑之间的影响度, 合理评估有关环境改变将会给企业战略带来的偏差, 在规划时充分考虑余量, 不盲目追求大而全, 做到贴切务实。企业需要依据新的变化不断调整信息化规划。最后, 信息化规划要适应和满足企业的规模发展节奏和需要。由于不同的企业规模效应在信息化规划时有着不同的要求, 因此在具体规划时一定要从企业自身的情况出发, 结合米钱的有关形势, 制定符合企业自身发展要求的信息化规划。
信息化主要包含6大部分内容, 相关定义如下:
1) 评估信息化现状
企业信息化评估就是从企业自己身信息技术的战略出发, 详细评估信息技术应用对企业经营和管理的作用。既要对目前已有信息化建设进行评价, 包括检查评估企业信息化的现状, 确定目前信息化建设所处的阶段, 并与企业的长远战略目标比较, 找出实施信息化具体过程中所存在的差距, 找出问题的根源。
2) 规划信息化战略
信息化战略规划是指, 根据信息化现状评估的结果, 制定和调整企业信息化的策略, 以适当的规模, 合适的成本, 做合适的信息化工作。第一步定义企业信息化的发展方向, 明确企业信息化的目的。第二步是起草企业信息化指导策略, 明确企业在实施和管理工作中要遵循的标准。
3) 规划基础设施
规划基础设施是指对企业信息化的基础设施进行设计, 包含硬件设施、软件设备等。具体表现为约束条件及数据流量分析、拓扑结构设计、网络安全方案、网络建设方案等;硬件设备规划包括路由器、服务器、集线器、交换机、计算机、打印机、手持设备等的配备等;基础软件规划包括操作系统软件、数据库软件等软件的规划。
4) 规划数据
规划数据是对企业自己的数据进行整理, 从数据管理基础层面、基础应用系统层面和管理决策集成层面三个层面对这些信息进行汇总整合, 建立自己得标准, 同时确立数据存储的具体方式。
5) 规划信息系统
对信息系统的应用架构、技术架构、功能架构、选型、建设阶段和投资预算等进行具体的列出, 是信息化规划的重要工作。
6) 设计信息化组织
信息化组织是企业内部的信息化管理部门, 信息化组织设计包括对其组成、职能、分工、考核、员工信息化的设计等。
根据以上所包含的六大内容, 通常企业信息化规划都需经历4个阶段:
阶段一:管理诊断阶段, 管理诊断包括了IT现状能力评估、企业战略、IT战略等。
阶段二:信息化管理基础提升阶段, 包括运营管理优化和IT管理标准化, 即运营模式的优化、业务流程的优化、组织机构的调整, 信息化编码以及名词规范等。
阶段三:IT规划阶段, 包括IT业务蓝图规划、IT软硬件平台规划、网络架构规划、IT信息集成点规划等。
阶段四:系统选型阶段, 包括系统方案选型及系统实施指导方案等。按照上述逻辑思路归纳整理, 企业信息化规划通常按照以下12个步骤进行:
信息化现状评估
现有系统与基础设施评价
现有系统评价从应用系统和基础设施两方面展开, 应用系统的评价包括功能应用的范围, 对管理和运营业务的支撑程度, 应用系统之间的体系性;基础设施包括主机系统、网络、存储、安全等内容, 主要是从对应用系统运行有效支撑的角度判断存在的问题和改进空间。
信息化关键成功要素分析
五个要素成为决定信息化建设的成败:领导、战略、组织、机制、资金。
信息化需求分析
企业战略对信息化的需求
管理运营对信息化的需求
信息化的价值在于支持战略实现、支撑企业管理、促进流程优化, 因此信息化的需求来自于战略、管理和流程三个方面, 战略和管理模式对信息化的要求, 决定了信息化建设的方向、阶段和应用系统总体架构及部署方式, 满足IT战略规划的需要, 而对于IT应用规划, 则需要对核心流程进行详细梳理, 结合流程优化方案, 归集应用系统的细致需求, 从而提出解决方案。
企业业务流程梳理
现有业务流程分析
管理诊断与流程优化建议
流程分析关注整体效率, 流程分析和改善侧重部门之间的协作, 岗位之间的动作衔接。流程优化将采用清除/简化/集成/自动化等方式来促进效率改善。
应用系统详细需求
应用系统的需求分析
信息化发展战略
信息化使命与价值定位
明确战略定位, 需要识别信息化与企业战略的关系, 信息化与核心竞争力的关系, 信息化与管理提升的关系, 以及信息化的价值落实在什么地方。
信息化建设目标
信息化建设策略与阶段
信息化系统规划
应用系统规划
基础设施规划
网络/主机/安全/存储等
根据信息化目标与需求, 结合当前信息系统发展趋势, 对信息系统应用架构进行初步设计, 形成信息化全景图信息化应用业务蓝图。在业务蓝图规划基础上、依据企业管理问题的迫切性, 目前管理基础与IT能力基础上的建设复杂程度, 来确定软件系统需求优先级状态;再根据优先级, 初步制定的信息化行动计划、信息化规划实施的路线图;在实施路线图的基础上, 进行软硬件平台、网络平台的规划。
信息化治理模式
信息化治理模式选择
确认与企业管理模式以及系统架构相适应的治理模式, 例如在“集中资源、分散控制”, “集中资源、集中控制”、“分散资源、分散控制”、“分散资源、集中控制”等4种选取适合企业的治理模式。
信息化组织设计
关键管理运营流程设计
信息化实施计划
信息化项目推进计划
项目范围/进度/资源要求
实施风险管理建议
信息化投资估算
信息化投资估算
信息化收益分析
应用系统解决方案
总体解决方案
各应用系统解决方案
应用系统选型比较
系统功能架构与核心需求
主流软件产品比较
依据信息化规划的内容、形成选型的目标、范围、应用重点与标准、在此基础上制定选型方法。
应用系统执行计划
项目执行计划
投资详细估算
在系统选型阶段完成后, 开始制定实施指导方案。具体指导管理提升与规划内容, 组织、流程、规范成果在信息系统实施过程中的应用。给出全面的系统实施指导方案。
参考文献
《信息化规划方法论》肖建国
《信息化与信息管理实践之道》雷万云清华大学出版社2012年4月
《Pattern of EnterpriseApplicationArchitecture》Martin Foeler
《企业架构》周金银
浅析纺织企业信息化规划 第4篇
1.企业信息化规划的内容与方法
企业信息化规划的内容分战略和战术两个层次。战略层次包括信息化前景和使命分析、战略的识别、指导原则的建立和具体目标的明确;战术层次则包括信息化架构的搭建以及技术标准的建立。
现有的信息化战略规划方法主要包括如下几类:传统的以数据为中心的“底层数据”规划法,如企业系统规划(BSP)和战略系统规划(SSP)等;以支持企业战略决策信息为核心的“决策信息”规划法,如战略目标集转化(SST)和关键成功因素(CSF)等;以分析企业流程链及其价值创造为核心的“内部流程管理”规划法,如业务流程再造(BPR)和价值链分析(VCA)等;“内部流程管理”进一步向企业上、下游拓展的“供应链管理”规划法,如战略网格模型法(SGM)等。
2.纺织行业的发展特点
中国纺织企业中,99.4%为中小企业,95.0%为非公有制企业,中小民营制造企业是中国纺织业最大的也是最具活力的群体。
近年来,在国际金融危机背景下,我国纺织产业的价格优势日益减弱,依靠数量增长的模式正在发生变化,加快产业升级是产业发展的当务之急。
中国纺织产业约85%以上的工业产值在东部地区实现,而原材料和劳动力主要分布在中西部,生产要素与生产能力的配置不合理,加快纺织服装业向中西部地区转移已成为产业发展的迫切要求。
“十一五”期间,内需市场一直是我国纺织行业发展的第一驱动力,内销占比也逐年提高。“十二五”时期,中国将坚持扩大内需战略,把居民消费潜力有效转化为消费行为,内需市场在相当长的时间内仍将是产业发展的第一驱动力。
3.纺织行业信息化特点
纺织行业信息化起步于上世纪70年代末,其间经历了几个阶段,从2000年到现在,则被视为发展快速期,该阶段主要以企业管理信息系统为重点,并具有如下几个特点。
(1)两化融合是大方向
两化融合是工业化和信息化的结合,是具有中国特色的跨越式发展之路,可以缩短我国的工业化进程。对于纺织企业而言,信息化的大方向即在于将信息技术全面融入到企业运营的各领域中,合理配置资源、提高管理精细度,从而达到提升企业竞争力的目的。
(2)细分行业各具特色
纺织产业链冗长复杂,细分行业众多,信息化侧重也不尽相同,如化纤更加注重管控一体化,棉纺则深入到车间生产管理,毛纺更关注工艺与质量,印染要重点解决绿色化技术,服装致力于供应链管理,纺机的重点在设计与管理的集成等。
(3)行业ERP是应用重点
管理信息化一直是纺织企业的主要需求,针对各个细分行业的、适应企业规模与生产经营特点的行业ERP将是未来很长一段时间内企业信息化的共性需求与应用重点。
4.基于价值链的纺织企业信息化规划
对于纺织企业来说,由于整个行业处在转型升级期,组织结构极具易变性和多样性,如果在规划时偏重考虑现有的部门职能,则最终开发的信息系统很难适应企业变化。
上世纪80年代,迈克尔-波特在《竞争战略》中首次提出价值链概念,认为企业的活动主要分为基本活动和辅助活动,基本活动包括后勤、生产、销售、服务等;辅助活动由采购、开发、人力资源管理和企业基础设施等组成。
基于价值链的规划方法不是直接把部门作为规划对象,而是把业务流程转换为价值链上的基本活动,无论部门如何调整,价值链是相对固定的,这对于组织架构调整频繁的中小企业是更适宜的。另外,纺织企业多属制造业,虽细分行业众多,但价值链环节分工明确,均有相对应的IT应用系统。从价值链出发,通过需求与权重分析,可以对IT应用系统做出取舍,并确定开发顺序,从最能提升企业竞争力的环节上着手,这对于信息化投入有限的中小企业而言也是有利的。
综上考虑,本文提出基于价值链的纺织企业信息化规划方法,共分为相互关联的四部分内容,通过十个操作步骤来完成。
4.1纺织企业信息化规划的内容
第一,企业价值链分析,包括明确企业发展战略、完成现有业务流程向价值链的转换、找出企业运营的关键价值链环节;第二,价值链信息系统需求分析,包括优化企业活动流程、明确价值链各环节的信息化需求;第三,信息化平台体系搭建,包括制定企业信息化战略、构建完整的信息系统架构;第四,完成信息化实施方案,包括排定系统的开发顺序与资金计划、明确网络与软硬件环境要求、对项目完成后的效益给出评估。
4.2纺织企业信息化规划的操作步骤
第一,项目启动。要成立相应的项目组织和管理制度,咨询公司要成立项目团队,企业也要建立甲方团队直接参与项目,甲方人员组成应涵盖各个业务板块。联合团队建立后,要针对企业中高层进行用户培训,提高企业对待信息化的整体意识。
第二,形势分析。包括两部分:(1)企业外部环境,涉及整体纺织行业以及所在子行业的发展态势、政策导向、相关产品市场、技术进展等;(2)信息技术环境分析,涉及时下纺织行业信息化应用的特点、水准、相关软硬件的主流技术趋势、主要供应商等。
第三,企业调研。从三个方向展开:(1)生产经营情况,包括企业规模、主营业务、运营状况、竞争对手等;(2)企业管理情况,包括组织结构、人员配备、业务流程等;(3)信息化现状,包括信息化投入、信息化管理制度、人员配置、信息化基础设施、管理信息系统与生产过程控制系统等。
第四,信息化战略识别。从三个方面着手:(1)对企业战略进行研究,做到对企业发展思路有全面深入的理解;(2)对企业现有信息化状况做整体评估;(3)在企业战略的指引下制定信息化战略,其关键是要让企业的战略思想在信息化愿景与目标中得到充分体现。
第五,价值链识别与优化。包括三个层面:(1)价值链识别,要从计划与控制、产品与服务、支持资源三个环节勾勒出企业完整的价值链活动,并识别出其中的关键环节;(2)价值链优化,要对现有价值链活动进行评估,并给出优化意见;(3)定义数据类,要以优化后的企业价值链为基础,给出支持每个价值链活动所必需的逻辑相关数据类别和要求。
第六,搭建信息系统整体架构。包括总体结构、应用层、数据层、开发层、技术层和操作层六部分内容。这部分的工作是整个信息化规划的核心,它以层次化的结构涉及到企业信息化的各个领域,每一层次由许多功能模块组成,每一功能模块又可分为更细的层次,其工作原则是根据信息的产生和使用来划分子系统,并尽量把减少子系统之间的信息交换。
第七,搭建信息化技术架构。信息平台架构搭建完成后,要对企业信息化的软件、硬件和网络环境等支撑技术进行规划,包括三部分内容:网络拓扑结构、系统布置策略、信息技术标准。
第八,搭建信息化治理架构。要在前期调研的基础上,对企业现有的信息化管理体系进行评估,给出调整意见,然后规划出未来信息化治理的架构蓝图。
第九,制定实施计划。首先要根据价值链环节的权重,对整体架构中各个功能模块进行优先级评定,再结合技术架构明确每个子项目具体的建设原则、目标、要求、预算、时间进度等内容,最后选定各个子项目的实施部门或小组。
企业信息化建设重在规划 第5篇
我们所谓的信息化战略竞争已经从原本量的竞争演变成质的竞争,随着信息技术大众化的趋势的继续,企业在信息化上投资的效率决定了未来信息化建设水平和竞争能力的高低。
审视企业目前的信息化现状和企业经营环境,做好企业信息化的规划,从企业发展的战略角度思考如何进一步创造价值,就是那些已经成功地实施了信息系统的企业的当务之急。
关键词:高效沟通 组织目标 面子关系
1、当前企业信息化管理应用中存在的问题
1.1 应用缺乏总体规划
ERP/MRPⅡ思想理念的形成时间不长,国内应用的时间较短,原来并未引起人们的广泛关注。
近几年随着市场经济的建立,其在工业发达国家成功应用实施,因而被当作提高企业管理水平的工具甚至是治疗企业管理问题的“灵丹妙药”,成为炒作的热点。
有些企业领导和管理人员没有深入学习研究ERP/MRPⅡ的思想哲理,只是看过几篇报道,听几次讲座或同行介绍,未能全面、准确地了解和掌握ERP/MRPⅡ的实质,以为买来软件装上就行了。
但是在实际中的运用效果可想而知,根据我国有关方面调查,在两次企业管理信息化热潮中,我国企业在应用MRPⅡ已经投资80亿元人民币,但是应用成功率只达到10%,达到预期目标的更是廖廖无几。
人云亦云,盲目跟风,是信息化在我国企业管理领域应用的一个突出问题。
1.2 迷信最佳实践
企业在信息化建设的过程中,总是不由自主的向行业领跑者学习,在前期规划和选型的时候过于强调系统的先进性和标杆案例,忽略了企业自身的业务和管理现状,导致系统建设过程不可控,而供应商总是试图用技术驱动管理和业务的变革,并且缺乏和企业各个层面有效的沟通,因而很难帮助企业建立务实高效的信息化框架,甚至会给企业带来一些误导,以致在后续的信息化建设过程中出现各种各样困惑企业的实际问题。
迷信最佳实践,一切向标杆看齐,信息化设施时忽略了企业的实际情况,包括企业的人文环境、地域文化、历史传统等的差异,尤其是处于变革期的国内企业需要发展所面临的各种各样的管理和运营的“个性化”问题。
1.3 先进却空洞的信息系统
信息化建设过程中重视应用系统和网络、硬件平台的建设,而忽略了跟企业管理和业务密切相关的信息内容本身,往往是建设了很多信息系统,但却得不到支撑企业运营的信息资源。
在信息系统建设完之后,绝大多数的员工不知道如何利用信息,以及如何让这些信息产生价值,供应商所做的更多是满足企业的技术需求,而不是为企业的.业务拓展和管理运营服务。
企业的信息系统,也就没有任何管理和维护的意义和价值。
2、用IT规划指导信息化建设
IT规划即信息化建设规划,是指在企业发展战略目标的指导下,结合企业管理需求、业务流程和信息化基础,对信息化目标和内容进行整体规划,全面系统地指导企业信息化建设。
2.1 明确信息化建设的使命
信息化建设的核心目标的为企业的长远战略规划提供支持。
IT规划需要做的是明晰企业的战略,进而找到支撑战略实现的业务发展策略,然后分解到核心价值链的各个业务环节,看看这些业务环节需要具备怎样的能力才能够支撑这些业务发展策略,同时分析出这些业务环节要想具备这些能力哪些是需要IT系统来辅助实现的,并阐明IT系统应该如何做才能让业务环节具备这些能力。
这样就可以一层层分解出来IT到底怎么支持业务运营,并进而支持企业战略。
2.2 IT规划要结合企业自身实际
企业IT规划应该讲究因人而异、因时为变、因事有别、因地制宜。
首先,企业IT规划决不只是IT部门的事,企业管理层大多有着丰富的管理经验,业务部门人员的信息化初衷则主要在于提升业务工作效率,IT部门人员则往往对技术痴迷,如何将所有这些“人”的因素整合起来,是每一个想要做好IT规划的企业都要重点考虑 的问题。
其次,市场经济时代,市场形势时刻都在发生迅速的变化,企业IT规划无疑要适应这种变化,才能实现其辅助业务、支撑管理的职能。
因为市场形势的变化导致业务模式的 变化,这将导致业务模式支撑IT发生相应的变化,IT的变化必然要求企业IT规划抢先一步对企业IT蓝图及其实现方式、资金预算等加以部署。
再次,业务种类不同的企业,其IT规划自然应有不同,因为企业IT规划是为企业业务及管理“内容”服务,而不是为IT规划“形式”本身服务。
最后,企业IT规划要做到因地制宜:不同的地方有着不同的文化,而文化对企业的发展模式、成长历程都会有根本性的影响,从而也就决定了企业的不同特质,因此这些企业的IT规划自然也应该是不同的。
2.3 培养自己的技术和管理人才
“以人为本”,是现代管理思想的核心,在推进企业信息化过程中也必须坚持以人为本,立足于调动人的积极性。
CIO的角色和定位必须是走出计算机中心、信息中心的,他应是一把手的助手,必须透彻了解本企业的情况,充分了解社会资源,同时善于把握高层意图,并参与和影响决策,实在地、具体地、细致地带领好团队推进工作。
同时企业必须培养和造就一支高水平、高素质的队伍,成为企业信息化的骨干,他们既具有运用现代信息技术的本领,又具有为管理服务、为经营服务的理念;既善于学习,又勇于实际。
这样可以使每个员工都既是信息化的应用者,又是信息化的推动者,从而使企业信息化获得真正的、持久的成功。
3、结语
在企业和它的竞争对手都已经引进了信息系统的今天,信息化已经开始了新一轮的竞争。
从企业战略的角度出发考虑IT的发展,在不断变化的经营环境、技术环境、竞争环境中敏锐的捕捉信息化建设的方向,根据企业的信息化现状制定适合自己的IT规划已经成为企业在市场竞争中的成败关键。
参考文献
[1]樊重俊.企业信息化与管理提升的互动[J].上海企业,(06).
[2]薛华成,黄丽华.企业持续发展与信息战略[J].管理科学学报,(02).
[3]杨青,黄丽华,何崑.企业规划与信息系统规划战略一致性实证研究[J].管理科学(04).
[4]解艳艳,解得钦,刘慧兰.对企业核心信息技术能力的研究[J].现代情报,(11).
[5]秦敏,徐升华.基于能力的企业IT规划模型研究[J].科学学与科学技术管理,(07).
[6]毛海军,巩见刚,郭京福.基于IT应用的IT能力对竞争优势的影响研究[J].中国管理信息化,2007(11).
[7]况志军,郑淑娟,宋夏云.IT资源、IT能力与持续竞争优势 [J].科技管理研究,2007(01).
炼化企业信息化规划研究 第6篇
2013-12-15 15:45:00文章来源:中国管理信息化杂志
【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】
在明确炼化企业信息系统的业务范围、需求与设计原则的基础上,结合企业的自身实际情况,制订适合炼化企业信息系统的设计方案;然后,根据企业战略指导思想及原则,进一步对炼化企业的信息系统建设组织实施提出一些指导性建议。
0 引言
作为一家现代化的炼化企业。从炼油化工生产的角度出发,其面临的主要问题有原油采购选择、加工方案优化、节能降耗、降本增效、安全环保、销售风险控制等。而在人员编制方面,新建的炼厂往往只有数百人,与过去少则成千、多则上万人相比,在员工素质不断提高的同时,员工数量的变化也十分显著。这一切的问题与变化,都必须依靠信息化手段来寻求解决与应对的方案。
信息化建设与企业的战略目标、组织结构和业务流程息息相关。业务战略目标是组织结构与业务流程设计的指导纲领,组织结构和业务流程是业务战略目标的具体表现,而信息技术是企业实现业务战略的重要手段,同时也为进一步推动企业业务战略、完善组织结构和业务流程创造了条件。通过分析、汇总,将炼化企业业务战略与信息化战略协调一致,可以有效保障企业业务战略目标的实现与信息化投资效益的最大化。
因此,站在炼化企业的角度,对于新建、并购和已有的炼厂。依照其规格与定位,统一进行应用系统的功能分析与设计,以达到新炼厂应用系统快速建没、实现工程建设与信息化建设同步提供参考,也可以作为并购或已有炼厂进行系统升级改造的参考依据。炼化企业信息系统的业务范围、需求与设计原则
1.1 业务范围
典型炼化企业涉及的监务范围涵盖原油采购、装置生产、仓储物流、动力供应及产品销售,现实中的炼化企业根据其自身特点及在集团公司中的定位对某些环节进行了弱化处理。
1.2 主要需求
当前国际上炼化企业的信息化发展趋势是:信息化建设与工程建设同步,信息系统建设与应用朝着管控一体、整体集成、协同优化的方向发展。从信息系统建设的主要需求来看,在炼化企业推行“经营管理层以ERP为主、生产管理层以MES为主”的信息化整体解决方案已被业界广泛接受,更受到新建炼厂的重视。
结合国内炼化企业的实际情况,炼厂应用系统建设的主要需求可以总结为“精确、共享、统一、优化”8个字:
(1)精确。精确管理才能保证迅速、可靠的信息来源.通过应用系统的建设,可以集成各子系统数据,形成及时、准确、真实、清晰的生产经营信息。
(2)共享。信息共享可以加强生产领域间的业务集成和数据共享,以及各管理层次纵向查询和分析数据的能力。
(3)统一。统一平台可以减小业务交流成本,提高效率,应用系统建设要为整个炼油与化工生产运行业务运作建立一个统一的业务运作平台。
(4)优化。系统建设的目标在于合理配置资源、优化业务流程,找出潜在的效益增长点或发展的“瓶颈”,及时调整经营策略和生产计划,挖掘出增效的新方向。
1.3 设计原则
炼化企业信息系统设计需要着重考虑如下4个方面的基本原则,即标准规范、经济效益、功能划分与系统集成。
(1)标准规范。尽量遵循ISA-95等国际标准。并与企业的信息化规划整体方案对接。
(2)经济效益。兼顾先进性与经济适用性,追求经济效益最大化,根据炼厂原油加工能力、流程长短与加工深度的不同,量身定制经济适用的解决方案。
(3)功能划分。应用系统功能架构全面覆盖经营管理与生产过程,功能模块划分合理并且界面清晰、不重、不漏。
(4)系统集成。充分考虑各子系统或功能模块间数据交换与互操作需求,合理控制接口数量,系统集成关系清晰、冗余度小。炼化企业信息系统功能设计方案
通过参考炼化企业标准化框架模型(如:ISA-95、AMR、MESA),并结合炼化企业的生产特点。规划出炼化企业信息系统总体上包括4个层次内容,即决策层、经营管理层、生产执行层、和生产控制层,如图1所示。其中决策层与经营管理层属于企业级应用,而生产执行层与生产控制层为工厂级应用。
图1 炼化企业信息系统的4个层次(1)决策层。监控、分析、决策、绩效管理——实现全过程生产业绩的量化。并加以分析、比对,及时发现计划和生产结果的差异。使生产持续改进。决策层主要提供了运行监控与绩效管理的功能。
(2)经营管理层。面向企业经营管理人员,形成以财务管理为中心的物流、资金流和信息流高度集成的一体化企业经营管理平台,包括销售管理、生产计划、物料管理、质量管理、采购管理、库存管理、工程项目管理、设备维护管理、财务管理与入力资源管理。其主要作用包括:为企业管理人员经营决策、成本核算、绩效考核等提供信息支撑;为预算管理、资金运作、成本控制等提供必要手段;为企业的生产、采购、库存、销售、财务等业务人员提供一个统一的业务处理平台;向生产执行层下达成本控制和绩效考核指标。
(3)生产执行层。面向生产作业管理部门和各执行车间,实现生产管理的精细化、可视化、实时化和智能化。生产执行层通过先进计划(APS)实现与经营管理层的信息沟通与交流,而通过先进过程控制(APC)与区域优化,处理、分析与指导生产控制层的实际操作。其本身包括6大模块:计划调度优化、生产操作执行、化验检测与质量控制、生产过程统计分析、生产数据管理和生产过程模拟与仿真培训。
(4)生产控制层。以过程自动控制为基础,实现先进控制与优化控制,实现生产过程的卡边操作和过程优化,并建立完善的生产数据自动采集系统,为生产执行层提供实时、准确、完整的数据。炼化企业信息系统建设组织实施的指导原则
从总体上来说,炼化企业信息系统建设应充分考虑与企业统一要求的对接,需要统一规划、统一标准、统一管理、分步实施。
具体来说,针对企业级应用与工厂级应用在实际操作中的不同,各炼厂在应用系统的具体实施上有如下需要注意的事项:
(1)企业级应用(决策支持系统与ERP)。为避免重复建设、风格不一与可能带来的集成问题,需要由企业统一建设或由企业统一模板、统一软件选型。
企业信息化规划建议书 第7篇
MSE2011陈伟龙
1.企业信息化的定义:是利用计算机信息技术加强企业管理运作的一种手段。2.非信息化企业的不足:
1)“客户导向”不足,协同运作不够,缺少明晰的业务相关信息,部门协同能力差,对市场竞争和需求变化,应变能力不足,难以业务的持续性稳定和增长。
2)公司控制体系强势不足,现行管理体系未能与公司的绩效考核系统高度集成,导向
和执行力度弱
3)资源整合不够,缺少统一集成的信息系统支撑,经营计划的联动性较差也没有实现
各项生产经营活动的连动与闭环运营。
4)信息孤岛限制企业内部沟通,信息化应用缺乏系统规划,各信息系统分散应用,数
据隔离,各部门数据口径不一致。
3.信息化企业的优势:
1)数据共享:企业运作的所有业务环节,相关的基本管理和业务信息的集成化,包括
跨公司、跨部门数据的充分共享
2)实时反映:企业运作的所有业务的过程状态都能实时、如实地反映到系统上
3)高效准确:文件的电子化,利用计算机来代替传统的手工操作,提高工作效率与准
确性
4)强化控制:强化企业的内部控制,实现在线的业务审批和监控,规避或降低内部营
运风险
5)提升决策依据:通过对业务数据的提取和分析,营运结果如实地反馈给企业各级管
理者,支持企业的绩效考核和决策功能
6)增强竞争力:建立企业的对外信息平台和交互渠道,通过企业间的在线合作,降低
自身的经营成本,并增强市场竞争力
4.企业信息化实施的计划:
企业信息化规划建议书
MSE2011陈伟龙
5.企业信息化实施过程的风险评估与规避
1)实施过程问题的评估
2)实施过程问题的控制与处理a.引导全员参与的积极性
轨道交通企业信息系统的安全规划 第8篇
关键词:信息系统,安全规划,信息安全体系结构,信息安全管理体系
0 引 言
信息安全规划是信息化规划的重要组成部分之一,它所要完成的主要任务是围绕信息系统的发展规划,从网络安全、应用安全和管理安全三个层面,根据调研提出信息系统的信息安全需求,参照国内外相关标准,制定信息系统的信息安全规范,建立信息安全体系结构(包括信息系统安全体系结构和信息安全管理体系),并提出一套有效的信息安全保障措施和测评技术。
目前,尽管轨道交通信息化建设已经取得了一些成果,但在信息安全方面所做的工作则相对机械、薄弱。主要共性的问题包括:缺乏基于轨道交通网络层面上的信息安全体系结构整体规划;已有的信息系统安全设计无规划指导,实施相互独立,且所采用的安全保障技术和措施简单、单一,缺乏一套有效的信息安全保障和测评技术,以及适合该技术的评测、选择及优化的方法;尚未建立完善的信息安全管理体系ISMS(Information Security Management System),拥有一些简单的管理制度和方法,但缺陷较多。
轨道交通企业信息系统服务于网络化建设和运营生产,和与一般工业企业信息系统的重要区别在于其业务和应用的种类繁多、复杂性高且部分要求实时性强,特别的,此类信息系统除了有高信息安全特性要求之外,还要求具有高可靠性、高可用性、高安全性、高可维护性等。因此,在实施信息安全规划中要特别注意综合考虑、协调和平衡这些特性间关系。
本文将面向轨道交通网络化建设与运营的信息系统建设,研究制定安全规划的目标和内容、信息安全体系结构的设计、基于等级保护的信息安全系统和信息安全管理体系的建设等方面的一些基本问题。
1 安全规划的目标和内容
1.1 规划的目标
轨道交通企业信息系统的安全规划应该以国家和地方政府的法律法规为前提,遵循国内外的相关标准和规范,围绕城市轨道交通信息系统发展规划来制定轨道交通企业的信息安全规划,使城市轨道交通网络的信息系统建设和运营满足国家安全体系的要求。
1.2 主要规划内容
安全规划的主要内容应该包括如下三个方面:
(1) 从信息系统的网络安全、应用安全和管理安全三个层面,经过深入调研,结合轨道交通企业现有信息安全设施,提出信息系统的安全需求,并制定相应的安全规范。
(2) 制定符合安全管理国际国内标准、国内相关部门规定和城市轨道交通网络化建设与运营管理业务要求的信息安全管理体系规划及其实施指南。
(3) 参照国内外相关标准,通过合理评估,选出有价值的信息安全保障技术、信息安全评估技术,推荐作为轨道交通网络信息安全系统方案设计的参考技术。
2 信息安全体系结构
轨道交通信息系统的信息安全体系结构包括信息系统的安全体系结构和信息安全管理体系两个部分。
2.1 信息系统安全体系结构
信息系统的安全体系结构应该在反映整个信息系统安全策略的基础上,描述该系统安全组件及其相关组件之间的逻辑关系和功能分配。
信息系统的安全体系结构的定义有多种,包括ISO/IEC的OSI安全体系结构、X/Opengroup的分布式系统安全框架、美国国防部的目标安全体系结构、美国国家安全局的DTOS安全体系结构、Intel体系结构实验室的通用数据安全体系结构CDSA(Common Data Security Architecture),以及Flask安全体系结构等[1]。
美国国防部曾提出一种分类方法,把信息安全体系结构分成了4类[1]。由于为一个企业的信息系统进行安全规划,不能简单地理解成是为某个具体应用建立信息系统的安全体系结构,因此,基于美国国防部所提出的“抽象的安全体系结构”概念来设计信息系统的安全体系结构更为合理。所谓抽象的安全体系结构指的是描述安全需求,定义安全策略,选择相应的安全服务/功能,在抽象定义的信息系统体系结构的组件之间分配安全功能。
一个安全的信息系统是由若干个安全组件构成的,系统满足用户的安全需求,采用了有效的安全策略,提供/实现相应的安全服务/功能。
2.2 信息安全管理体系
信息安全管理是通过维护信息的机密性、完整性和可用性等特性来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程[2]。
信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标,以及完善这些目标所用的方法和手段所构成的体系。它是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合[2]。
典型的信息安全管理体系包括基于ISO/IEC 27002的信息安全管理体系、基于能力成熟度CMM(Capability Maturity Model)的信息安全管理体系和基于等级保护的信息安全管理体系。根据《信息安全等级保护管理办法》(公通字[2007]43号)文件第五条的要求,我国信息系统的运营、使用单位应当依照该办法及其相关标准规范,履行信息安全等级保护的义务和责任。
2.3 应该遵循的标准
轨道交通在进行信息系统建设过程中应优先考虑采用先进的标准和成熟的技术来设计、实现和验证信息安全体系结构[3]。
一般应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准来建设符合该等级要求的信息安全设施。
同时还应参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
轨道交通的信息系统将基于信息安全等级保护原则来建立,包括信息系统安全体系结构和信息安全管理体系。特别需要指出的是,交通运输的信息系统属于国家重点保护对象。而轨道交通是城市交通体系中的一个重要组成部分,所以,轨道交通的信息系统应当属于国家重点保护对象。在信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统终止等阶段,应按照相应技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行和维护管理工作。
信息安全建设所要做的工作一般包括信息安全的规划和实施两个方面,最终获得的将是安全信息系统和信息安全管理体系。它们的实现需要由符合要求的系统集成商、应用开发者、产品厂商和服务供应商等工程组织来完成,而其验证则需要有具有一定资质的认证机构、系统授权机构和产品评估机构等评估机构来完成。图1给出了实施规划的工程组织和评估机构所应该考虑采用的国家标准和国际标准。
ISO/IEC DIS 21827:信息技术-系统安全工程-能力成熟度模型(SSE-CMM)
ISO/IEC 27001:信息安全管理体系需求
ISO/IEC 27002:信息安全管理体系实践规则
ISO/IEC 27004:信息安全管理体系测量和指标
ISO/IEC 27005:信息安全管理体系风险管理
ISO/IEC 15408(GB/T 18336):信息产品通用测评准则(CC)
3 基于等级保护的信息安全系统
3.1 信息安全系统构建
3.1.1 层次化信息保护
企业信息系统的安全保护可以采用安全圈的思想[4]。企业外部人员访问信息时,必须相应地通过四层保护圈,即万维网保护圈、企业内网保护圈、主机保护圈和信息保护圈。在各个安全保护圈中必须设置相应的防护措施。
1) 万维网保护圈应该实现的安全机制包括
工作人员的身份认证、采用VPN 实现的虚拟局域网、安全审计日志等。
2) 企业内网保护圈应该实现的安全机制包括
设置不同类型的安全分域、安全通信协议、设置冗余工作站、代理服务器、网络级入侵检测与防御系统、网络级访问控制策略等。
3) 主机级保护圈应该实现的安全机制包括
主机级授权与访问控制、关键性应用或系统的冗余、基于主机的入侵检测系统等。
4) 信息保护圈应该实现的安全机制包括
加密与解密、信息备份与冗余、核心级访问与控制等。
3.1.2 信息安全需求分析的内容
信息安全需求分析的主要内容如下[1,5]:
1) 物理安全 如物理位置的选择、物理访问控制、防灾、电力保护、环境温度与湿度控制等方面的需求。
2) 运行安全 如授权与访问控制、入侵检测、应急响应与入侵防御、漏洞扫描等方面的需求。
3) 数据安全 如防范信息泄密、防范信息伪造、防范信息篡改、防范信息抵赖、防范信息破坏等方面的需求。
4) 内容安全 如信息理解与分析、信息过滤等方面的需求。
5) 安全管理 如安全管理制度、安全管理机构、人员安全管理等方面的需求。
6) 安全策略 它由管理性安全策略和技术性安全策略两个方面的需求所组成。前者包括内部人员安全策略、物理和环境安全策略等;后者包括标识和认证策略、授权/访问控制策略等。
3.1.3 安全信息系统规范的描述
信息系统、子系统、安全单元的安全规范将根据它们的不同保护等级,分别采用形式化(如VDM、Z语言)、半形式化、非形式化的工具来描述,不同安全保护等级信息系统所推荐的规范描述工具如表1所示。
3.1.4 系统的安全保护等级定级
在对系统的安全保护等级进行定级时,首先应该对应用或应用系统进行风险评估,然后根据其风险值来确定保护等级。表2给出了一种风险值与安全保护等级的对应关系。
作为一个整体,城市轨道交通企业信息系统在受到破坏后,不仅会对社会秩序和公共利益造成严重损害,而且还对国家安全造成损害,因此,将其安全保护等级定为三级比较合理。
一个企业信息系统一般由多个具有不同功能的子系统所组成。因此,这里可以引入等级分配的思想把系统的安全保护等级按一定的方法合理地分配给子系统。其目的一是有利于合理地确定各个子系统的安全保护等级;二是有利于设计人员理解子系统之间的安全保护等级关系,从而提高系统的设计质量,确保最终所获得系统的等级满足要求。在进行安全保护等级分配时,要综合考虑子系统所承担的任务、重要程度、复杂程度,信息安全技术的水平等因素。一般来说,重要程度高的子系统,应该分配给较高的安全等级。根据典型城市轨道交通企业的应用架构,表2还给出了一种代表性应用或应用系统的安全等级保护部署方案。
3.2 信息安全测评
3.2.1 信息安全机制的检验
为了检验信息系统所提供的安全机制是否能够满足安全需求,应该采用合适的安全测试方法和工具对系统进行测试验证[6]。典型的测试方法有漏洞检测、渗透测试、恶意代码分析[7]等,相应的测试工具有CyberCop Scanner、Nessus、NetRecon、ISS Internet Scanner、Dsniff等。测试对象应包括网络的安全防护设备、应用服务器、数据库服务器等使用“英文题目”样式。
3.2.2 基于风险分析的信息安全评估
风险评估的方法,概括起来可分为三大类:定性的风险评估方法、定量的风险评估方法、定性与定量相结合的风险评估方法[8,9]。定性分析是定量分析的基础,定量分析应建立在定性分析的基础上。在复杂的信息系统风险评估过程中,应该将这两种方法融合起来。
基于风险分析的信息安全评估的典型方法有以下四种:
(1) 综合相乘法 把资产/脆弱性/威胁划分为5个等级,从1到5,由小到大分别代表5个级别的资产相对价值/资产脆弱程度/威胁发生的可能性,资产的相对价值一般等于该资产造成的最严重影响的程度等级。资产脆弱性的等级越大,表明脆弱程度越高。同样,威胁等级越大,威胁发生的可能性也越大。风险值为资产的相对价值、威胁的评估值与脆弱性的评估值之积。
(2) 风险矩阵测量法 首先需要对资产、威胁和脆弱性进行赋值。建立资产价值、威胁等级和脆弱性等级的一个对应矩阵,对于每一资产所面临的风险,都应该考虑资产价值、威胁等级和脆弱性等级,再根据对应矩阵确定风险等级。
(3) 威胁分级法 首先确定威胁对资产的影响,接着评价威胁发生的可能性,然后计算风险值。风险值可以是威胁影响值与威胁发生可能性之积,也可以是之和,具体算法由用户确定,只要满足是增函数即可。在得到风险值之后,归一化到1~100的范围内,从而定出风险级别。
(4) 层次分析法 从资产、脆弱性、威胁三个方面分析系统的风险,影响的因素不变,计算方法采用层次分析法。由不同的专家(包括管理人员、技术人员,后勤人员等)给出在不同系统中影响资产(脆弱性、威胁)的因素的重要性比较关系,形成成对比较矩阵,再计算此矩阵的特征向量,并进行归一化处理,从而得出不同的因素对资产(脆弱性、威胁)的影响权重。
为了与安全保护等级相对应,通过这些方法所获得的风险值可以根据表2进行相应的转换。
4 信息安全管理体系
信息安全管理机制的建立包括制定信息安全方针,构建信息安全组织,管理资产,保障人力资源安全、物理与环境安全,管理通信与操作,访问控制,获取、开发与维护信息系统,管理信息安全事故和业务连续性,健全法律制度等[2]。
信息安全管理体系的建设过程包括规划设计、建立、实施与运行、检查、维护等阶段。
应根据ISO/IEC DIS 21827、ISO/IEC 27001和ISO/IEC 27002等标准,确立企业信息安全管理机制的建设目的和建设内容,确定ISMS文件的编写原则,并进行分类和管理。
5 结 论
本文研究了轨道交通企业信息系统信息安全规划的一些基本问题。制定了信息安全规划的目标,确定了规划的内容,重点对信息安全体系结构设计、基于等级保护的安全信息系统和信息安全管理体系的建设等工作进行了分析。文中所述及的相关方法已经在一个实际的轨道交通企业信息系统安全规划过程中得到了应用,从而验证了所采用方法的合理性和可行性。
参考文献
[1]冯登国,孙锐,张阳.信息安全体系结构[M].北京:清华大学出版社,2008.
[2]张红旗,王新昌,杨英杰,等.信息安全管理[M].北京:人民邮电出版社,2007.
[3]中国信息安全产品测评认证中心.信息安全标准与法律法规[M].北京:人民邮电出版社,2003.
[4]Michael E.Whitman,Herbert J Mattord.信息安全原理(第二版)[M].齐立博,译.北京:清华大学出版社,2006.
[5]方滨兴.信息安全的模型[J].中国计算机学会通讯,2007,3(1):71.
[6]陈驰,冯登国,徐震.信息安全产品安全保证量化评估方法研究[J].电子学报,2007,35(10):1886-1891.
[7]王祥根,司端锋,冯登国,等.基于代码覆盖的恶意代码多路径分析方法[J].电子学报,2009,37(4):701-705.
[8]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.
