缺乏科學的組織與管理,信息系統不會自動地為管理工作提供高質量的信息服務,而且系統本身也會陷入混亂。信息系統管理則主要指壹種過程管理,涵蓋了信息系統生命周期的各個階段,運用計劃、控制、維護和評價等管理技術和方法,對信息系統開發和應用活動進行科學的管理。信息系統的管理是長期的、不斷的,從信息系統幾十年的發展過程來看,許多問題出現在信息系統的管理上,因此,對於信息系統管理的各個環節,必須進壹步加以研究與分析。
5.2.1 信息系統管理的組織與人員
有效地組織好信息系統運行,對提高管理信息系統的運行效率是十分重要的。信息系統管理的組織建立是與信息系統在企業中的地位分不開的。目前國內企業組織中負責系統運行的大多是信息中心、計算中心、信息處等信息管理職能部門。隨著人們認識的提高,信息系統在企業中的地位也逐步提高。
由於信息系統本身所體現的運用先進技術為管理工作服務的特點,其工作中必然要涉及多方面的、具有不同知識水平及技術背景的人員。這些人員在系統中各負其責、互相配合,***同實現系統的功能。這些人員能否發揮各自的作用,他們之間能否互相配合、協調壹致,是系統成敗的關鍵之壹。系統主管人員的責任就在於對他們進行科學組織與管理。如果系統主管人員不善於進行這樣的組織及管理工作,就談不上實現信息管理的現代化和科學化。在這種情況下,整個系統的運行就會出現混亂。人員管理好壞是系統發揮作用的關鍵,沒有好的人員管理,分工協作不能有效管理,這種人-機系統的整體優化將是壹句空話。
人員的管理包括三個方面的內容:
(1)明確規定其任務及職權範圍,盡可能確切規定各類人員在各項業務活動中應負的責任、應做的事情、辦事的方式、工作的次序。簡單而言,要有明確的授權。
(2)對於每個崗位的工作要有定期檢查及評價。為此,對每種工作都要有壹定的評價指標。這些指標應該盡可能有定量的尺度,以便檢查與比較。這些指標應該有壹定的客觀衡量辦法,並且要真正按這些標準去衡量各類工作人員的工作,即必須有檢查和評價。
(3)要在工作中對工作人員進行培訓,以便使他們的工作能力不斷提高,工作質量不斷改善,從而提高整個系統的效率。
5.2.2 信息系統管理活動
信息系統管理貫穿於信息系統開發和應用的全部過程,涉及信息資源管理的所有方面。現在重點分析信息系統的項目管理、運行管理、質量管理和安全管理。
5.2.2.1 項目管理
信息系統中的項目管理,也是壹項復雜的系統工程,它要負責協調、處理各類開發人員和各級用戶的關系,負責做好文檔管理工作,負責制定、控制系統開發進度,負責對項目經費開支的預算和使用監督等壹系列工作。
(1)主要內容。項目管理指的是通過項目經理和項目組織的***同努力,運用系統工程的理論和方法,對項目及其資源進行計劃、組織、協調和控制,來實現項目的特定目標的管理方法體系。對於壹個確定的項目,其任務範圍是確定的,項目管理就轉化為在壹定的任務範圍下,如何處理好質量、進度和成本三者之間關系的問題。換言之,就是要如何處理好“好中求快”、“好中求省”的問題。信息系統項目管理是指在壹定資源,如時間、資金、人力、設備、材料、能源、動力等約束條件下,為了高效率地實現特定的信息系統項目目標(即到項目完成時計劃達到的質量、投資、進度),按照其內在規律和程序,利用工程化開發方法,在項目全過程中對需求、成本、人員、進度、質量、風險等進行科學分析和有效的計劃、組織、協調、領導和控制的系統管理活動。
(2)組織管理。要想保證信息系統項目開發工作順利進行,必須建立壹個結構合理的項目管理組織機構。可以由負責項目管理不同方面的小組構成,由項目經理(或項目管理組長)來領導。其組織結構如圖5.3所示。
通常,信息系統的開發需要成立專門的項目委員會。在壹個項目團隊中,項目管理負責人(項目經理)是其領導者,他的任務是保證整個開發項目的順利進行,負責協調各類人員、各級用戶之間、開發人員與廣大用戶之間的關系。他擁有資金的支配、使用權,通過對資金的使用,對項目進行有效管理。項目經理是項目的執行者,參與項目的需求確定,項目選擇,計劃直至結束的全部過程。
圖5.3 信息系統項目管理組織構成
(3)管理過程。從具體的項目執行過程而言,項目管理可分為項目授權、需求分析、項目選型、開發計劃的制訂與實施、項目評估及更新、項目完成驗收6個步驟。
首先,在管理信息系統的開發要求提出後,需要確定開發項目管理的責任者,由其負責項目的可行性分析、需求評估,並進行項目開發的總體規劃和管理與質量控制等,即將項目開發與管理的權限授予某壹部門。需求分析則分為三個過程,即可行性評估、需求評估和項目總體安排。在明確了項目的期望和需求後,項目選型階段的主要工作就是為開發選擇合適的軟件系統和硬件平臺。開發計劃制定與實施要充分考慮具體開發人員對開發過程的意見,項目開發的負責人應當協同開發人員進行盡量精確的對開發過程情況的估計。項目評估及更新階段的核心是項目管理控制,就是利用項目管理工具和技術來衡量和更新項目任務。項目完成驗收階段是整個實施項目的最後壹個階段。
5.2.2.2 運行管理
信息系統運行管理的目標就是對信息系統的運行進行實時控制,記錄其運行狀態,進行必要的修改與擴充,以便使信息系統真正符合管理決策的需要,為管理決策者服務。在信息系統中,管理和決策的主體是人,信息系統的任務是為管理工作服務,它的管理工作是以向企業或其他組織提供必要的信息為目標、以能夠滿足管理工作人員的信息需求為標準的,而機器本身的管理與維護工作只是這項工作的壹小部分,只是提供了硬件的保證,真正做到向管理人員提供信息還需要做許多軟件操作、數據收集、成果提供等工作。
(1)主要內容。信息系統的運行管理工作是系統研制工作的繼續,是系統能否達到預期目標的根本,主要包括日常運行的管理、運行情況的記錄以及對系統的運行情況進行檢查與評價。信息系統的運行管理工作是系統開發工作的正常繼續,是系統能否達到預期目標的具體體現。信息系統的運管與維護工作必須由了解系統功能及目標、能與企業管理人員直接接觸的信息管理專業人員專職負責。信息系統運行管理就是對信息系統的運行(包括維護)進行監測和控制,跟蹤和記錄其運行狀態,對信息系統進行完善和調整,促進信息系統的可持續發展。
(2)組織管理。有效地組織好信息系統運行,對提高信息系統的運行效率是十分重要的。為保證系統運行期正常工作,就必須明確規定各類人員的職權範圍和責任,建立和健全信息系統管理體制,保證系統的工作環境和系統的安全,為此要有效地利用運行日誌等對運行的系統施行監督和控制,這也是系統正常運行的重要保證。作為高層領導的經理要定期檢查系統運行情況,發現問題及時處理,而信息管理部門的負責人除了要負責監督系統運行外,還要對本部門各類人員的工作進行檢查和監督,積極做好各類人員的管理工作,只有這樣才能保證信息系統為各層管理服務,充分發揮信息資源的作用。同時,必須加強系統運行管理人員的組織管理,建立和健全信息系統運行管理制度,有效地利用運行日誌等信息系統運行與維護檔案管理,對運行的系統進行監督和控制,保證信息系統正常運行和安全。
(3)管理過程。在信息系統運行和維護中,需要對構成信息系統的各種要素,如設備、軟件、配置和數據等進行管理。信息系統投入使用後日常運行的管理工作量巨大,通過信息系統必須完成數據的收集、校驗和錄入、數據處理、信息服務、設備的管理和定期維護、系統的安全管理等任務。其中,數據的搜集、校驗和錄入必須持之以恒地做到全面和準確,支持系統數據分析的有效性和決策支持的成功率。信息系統維護的目的是要保證信息系統正常可靠運行,並能使系統不斷得到改善和提高。
5.2.2.3 質量管理
質量管理是信息系統管理的重要方面之壹,貫穿了信息系統管理的全過程,是信息系統管理中對質量的動態管理和全面管理。
(1)主要內容。在通常意義上講,質量管理是為了保證和提高產品質量而進行的調查、計劃、組織、協調、控制等壹系列活動的總稱。無論是項目管理中,還是在日常管理中,質量管理都是重要的組成部分。壹個管理信息系統項目,從立項開始,直到投入運行,其質量受到各種因素的影響。如何保證系統開發中各階段的工作質量,是壹個重要問題。目前,世界上廣泛推廣的全面質量管理思想,就是壹個有效的解決途徑。
全面質量管理的特點,主要突出在“全”字上:為了保證使廣大用戶滿意,壹切從用戶的需要出發,對產品質量進行全面管理;從保證和提高產品質量的各個環節出發,對產品的生產、項目的開發工作進行全過程的監督和控制;在產品的生產過程中,將質量目標層層分解和落實,充分調動廣大職工的積極性,實行全員管理;在對產品質量的監督、控制上,廣泛應用各種先進技術和手段,進行全面的質量分析和控制。
(2)組織管理。由於受信息系統項目本身的特點影響,對於管理信息系統項目的質量,不同人員會有不同的標準。對於用戶來說,他們往往只關心其提出的要求能否得到滿足,軟件運行是否可靠,運行效率的高低以及系統的適應性強弱等問題,至於系統內部結構如何,如何開發實現等問題,他們並不關心。對於開發人員,要求在系統開發的各階段,工作高質量,同時亦應是在總體目標約束下滿足系統的質量要求。對於系統維護人員來說,他們對質量的要求往往是系統各階段的文檔資料清楚完整,系統的維護工作簡便、易行。要建立質量管理的組織機制,必須有上層管理部門的全力支持,充分調動有關部門和人員的參與積極性。在組織方面,質量管理是管理部門和管理者的重要工具。
(3)管理過程。信息系統質量管理要以壹般管理控制方法為基礎,緊密結合技術經濟學的理論與方法,形成科學的質量管理方法體系並應用於具體管理過程中。①建立標準。制定信息系統的質量評價體系和質量控制標準,就是依據系統建設和應用的功能需求,通過計劃和實施過程提出具體要求,以此作為信息系統審計和控制的基礎與核心。②把握現狀。通過信息系統建設和運行過程中的各種渠道,搜集相關信息,了解其實際表現情況。③確認偏差。通過進行實際表現和控制標準的比較,對實際進展情況做出全面分析、客觀判斷,發現和確認各類偏差,及時采取必要的措施。④實施調整。比較信息系統實際運行和衡量標準後,如果出現偏差,就需要采取適當的調整措施,如對建設和運行流程進行合理化調整,協調相關資源的合理分配,建立系統、全面、準確的技術文檔資料,調整組織形式和管理方法等,糾正不同類型的偏差。
5.2.2.4 安全管理
信息系統安全管理就是在充分分析信息系統安全風險和建立信息系統安全機制的基礎上,制定信息系統的安全策略,采取先進、科學、適用的安全技術,對信息系統進行安全防護和監控,使系統具有靈敏、迅速的響應和動態調整的功能。
(1)主要形式。對信息系統安全構成威脅的原因是多方面的,有人為和非人為的,惡意的和非惡意的,有的來自網絡外部,有的來自網絡內部。攻擊者主要是通過以下途徑對信息構成威脅:系統存在的安全漏洞;系統安全體系的安全缺陷;使用人員的安全意識薄弱;管理制度的不健全。網絡信息受到的威脅日益嚴重,面臨的威脅手段五花八門,常見的有:內部攻擊、截收和輻射偵測、非授權訪問、破壞信息的完整性、冒充、偽造、重放、抵賴、傳播病毒、陷阱門、特洛伊木馬、緩沖區溢出攻擊、口令攻擊、破壞系統的可用性等。
(2)安全機制。信息系統的安全管理目標是管好信息資源安全,信息安全管理是信息系統安全的重要組成部分,管理是保障信息安全的重要環節,是不可或缺的。實際上,大多數安全事件和安全隱患的發生,與其說是技術上的原因,不如說是由於管理不善而造成的。因此說,信息系統的安全是“三分靠技術,七分靠管理”,可見管理的重要性。處理信息系統的安全性問題需要運用多種管理機制和管理對策,主要包括法規機制、環境機制、技術機制等。
(3)安全策略。從信息安全的角度看,任何信息系統都存在安全隱患,都有各自的系統脆弱性。信息系統的安全策略是為了保障系統壹定級別的安全而制定和必須遵守的壹系列準則和規定,它考慮到入侵者可能發起的任何攻擊,以及為使系統免遭入侵和破壞而必然采取的措施。實現信息安全,不但靠先進的技術,而且也得靠嚴格的安全管理、法律約束和安全教育。