系統(tǒng)訪(fǎng)問(wèn)風(fēng)險(xiǎn)及其控制
由于ERP系統(tǒng)將所有大量的業(yè)務(wù)應(yīng)用功能集成在一個(gè)系統(tǒng)環(huán)境之下��,ERP用戶(hù)就可能有更多的機(jī)會(huì)訪(fǎng)問(wèn)其它與之不相關(guān)的信息��。雖然�,ERP系統(tǒng)中都有權(quán)限控制的功能,但這并不能完全保證信息的保密性和完整性�����。另外����,通過(guò)無(wú)線(xiàn)或遠(yuǎn)程登錄ERP系統(tǒng)在這兩年已開(kāi)始推廣���,它們?cè)谝欢ǔ潭壬线M(jìn)一步增加了訪(fǎng)問(wèn)系統(tǒng)的機(jī)會(huì)���。伴隨著這些訪(fǎng)問(wèn)機(jī)率和途徑的增加,對(duì)數(shù)據(jù)的準(zhǔn)確性控制難度和各類(lèi)惡意攻擊將對(duì)系統(tǒng)構(gòu)成威脅都將加大�。
縱觀目前市場(chǎng)上的ERP系統(tǒng),幾乎都具備不同程度的安全控制功能��。例如在某ERP系統(tǒng)中�����,就有大量的安全參數(shù)設(shè)置�����,包括用戶(hù)密碼、入侵鎖定���、超級(jí)用戶(hù)訪(fǎng)問(wèn)等等����。為了確保萬(wàn)無(wú)一失�����,有些ERP系統(tǒng)還通過(guò)插件的方式獲得更強(qiáng)的安全控制�����。除了技術(shù)手段外��,企業(yè)還應(yīng)該制定面向企業(yè)級(jí)的安全策略����,用戶(hù)的訪(fǎng)問(wèn)權(quán)限應(yīng)該基于這個(gè)安全策略來(lái)定義,而不僅僅是基于業(yè)務(wù)需求的考慮���。在實(shí)踐中���,對(duì)于訪(fǎng)問(wèn)風(fēng)險(xiǎn)控制我們可以考慮下面一些因素:
*訪(fǎng)問(wèn)權(quán)限的定義和訪(fǎng)問(wèn)權(quán)限的使用應(yīng)由不同的人員來(lái)執(zhí)行���;
*權(quán)限應(yīng)局限于用戶(hù)的工作需要或根據(jù)用戶(hù)在業(yè)務(wù)流程中的角色來(lái)定義,并符合企業(yè)級(jí)安全策略的要求����;
*權(quán)限的定義還要根據(jù)風(fēng)險(xiǎn)控制和成本效益平衡的原則,也就是說(shuō)�,消除用戶(hù)某個(gè)權(quán)限后��,規(guī)避的風(fēng)險(xiǎn)和可能付出的代價(jià)是否是合理的��。
數(shù)據(jù)質(zhì)量風(fēng)險(xiǎn)及其控制
許多實(shí)施了ERP系統(tǒng)的企業(yè)中流傳這樣一句話(huà)�,如果數(shù)據(jù)的準(zhǔn)確性、完整性不能保證�����,那么ERP系統(tǒng)的使用是沒(méi)有任何意義的����,“進(jìn)去的是垃圾,出來(lái)的肯定也是垃圾”。ERP系統(tǒng)中��,數(shù)據(jù)的錄入一般有兩種方式����,一種是人工鍵入,另一種是通過(guò)數(shù)據(jù)錄入裝置�����,例如條形碼掃描����。對(duì)于后一種方式,數(shù)據(jù)錄入的差錯(cuò)風(fēng)險(xiǎn)較小�����,但人工鍵入的方式差錯(cuò)率就比較高�。雖然,ERP系統(tǒng)中可以設(shè)置一些參數(shù)來(lái)對(duì)錯(cuò)誤數(shù)據(jù)進(jìn)行報(bào)警�����,但無(wú)法根本上解決這類(lèi)問(wèn)題��。
實(shí)驗(yàn)中,我們發(fā)現(xiàn)�,對(duì)于系統(tǒng)彈出的警告,系統(tǒng)用戶(hù)在經(jīng)歷多次后會(huì)變得麻木�,甚至完全忽略。實(shí)踐證明���,建立完善的輸入控制機(jī)制是有效化解這方面風(fēng)險(xiǎn)的手段��。一方面����,要加強(qiáng)人員的培訓(xùn)和增加控制點(diǎn)��。例如�,數(shù)據(jù)輸入后�,由另外一個(gè)人進(jìn)行核對(duì)并確認(rèn)。這種方式采用得比較普遍���。但由于這種校對(duì)受到員工責(zé)任心�����、情緒和工作環(huán)境等因素影響�����,往往控制效果不是非常顯著�����。因此��,我們常常需要采取另外一些手段�。這些手段是從“人機(jī)工程學(xué)”的角度來(lái)考慮,例如�,原始憑證的設(shè)計(jì)和布局符合人們?nèi)粘i喿x的習(xí)慣,關(guān)鍵的數(shù)據(jù)采用加粗�����,鍵盤(pán)的設(shè)計(jì)有利于錄入操作等等�����。
小結(jié)
企業(yè)信息化過(guò)程中���,ERP系統(tǒng)的實(shí)施和應(yīng)用是一個(gè)重要的方面�����。對(duì)于準(zhǔn)備信息化的企業(yè)�����,無(wú)論是使用ERP系統(tǒng)還是選用CRM系統(tǒng)或其他商業(yè)應(yīng)用系統(tǒng)����,無(wú)論是屬于制造業(yè)還是服務(wù)業(yè),都將面臨業(yè)務(wù)流程越來(lái)越依靠信息系統(tǒng)來(lái)實(shí)現(xiàn)這樣一個(gè)趨勢(shì)�。從辯證的角度來(lái)看,任何事物總存在正反兩方面的因素��。通過(guò)對(duì)ERP系統(tǒng)風(fēng)險(xiǎn)的討論��,希望大家對(duì)企業(yè)信息化過(guò)程中信息技術(shù)可能給我們所帶來(lái)的負(fù)面影響��,特別是業(yè)務(wù)方面的影響有個(gè)初步的認(rèn)識(shí)��。
本次有關(guān)ERP系統(tǒng)風(fēng)險(xiǎn)管理的講座只是起個(gè)拋磚引玉的作用����。信息系統(tǒng)風(fēng)險(xiǎn)及其伴隨的商業(yè)風(fēng)險(xiǎn)管理���,在國(guó)內(nèi)無(wú)論是研究還是實(shí)踐都處于一個(gè)起步階段��,而在信息技術(shù)發(fā)達(dá)的國(guó)家已經(jīng)成為一個(gè)非常受企業(yè)關(guān)注的領(lǐng)域���,相應(yīng)的風(fēng)險(xiǎn)分析手段和控制方法非常豐富����。針對(duì)項(xiàng)目管理風(fēng)險(xiǎn)和系統(tǒng)使用風(fēng)險(xiǎn)控制的手段和方法����,在以后的有關(guān)風(fēng)險(xiǎn)管理的專(zhuān)題中我們將進(jìn)一步探討。
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線(xiàn)啦�����!快來(lái)測(cè)測(cè)你排多少名吧~
http://m.opto-elec.com.cn/pmqhd/index.html
