免费智能真题库 > 历年试卷 > 信息系统监理师 > 2018年上半年 信息系统监理师 上午试卷 综合知识
  第62题      
  知识点:   安全管理   风险分析   环境安全   进行风险分析   系统工程   信息系统工程
  关键词:   安全管理   风险分析   环境安全   信息系统工程   应用环境   安全   风险   信息系统        章/节:   安全管理       

 
在信息系统工程建设中,应对信息系统的应用环境进行风险分析安全管理。应用环境安全管理的内容中不包括( )。
 
 
  A.  火灾控制
 
  B.  水灾探测
 
  C.  备份电力系统
 
  D.  公开敏感信息
 
 
 

 
  第62题    2019年上半年  
   54%
在信息系统安全管理中,( )不属于信息系统应用环境监控的对象。
  第50题    2020年下半年  
   29%
关于应用环境安全管理策略的描述,不正确的是:( )。
  第65题    2017年下半年  
   37%
在信息系统工程建设中,应对信息系统的应用环境进行风险分析与安全管理。应用环境控制可降低业务中断的风险,应用环境监控的对象..
   知识点讲解    
   · 安全管理    · 风险分析    · 环境安全    · 进行风险分析    · 系统工程    · 信息系统工程
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       风险分析
        在得到了项目风险列表后,需要对其中的风险做进一步的分析,以明确各风险的属性和要素,这样才可以更好地制定风险应对措施。风险分析可以分为定性分析和定量分析两种方式。风险定性分析是一种快捷有效的风险分析方法,一般经过定性分析的风险已经有足够的信息制定风险应对措施并进行跟踪与监控了。在定性风险分析的基础上,可以进行风险定量分析。定量分析的目的并不是获得数字化的结果,而是得当更精确的风险情况,以便进行决策。
               风险定性分析
               风险定性分析包括对已经识别的风险进行优先级排序,以便采取进一步措施。进行定性分析的依据是项目管理计划(风险管理计划、风险记录)、组织过程资产、工作绩效信息、项目范围说明、风险记录。在分析过程中,需要根据这些输入对已识别的风险进行逐项的评估,并更新风险列表。风险定性分析的工具和技术主要有风险概率及影响评估、概率及影响矩阵、风险数据质量评估、风险种类、风险紧急度评估。
               (1)风险可能性与影响分析。可能性评估需要根据风险管理计划中的定义,确定每一个风险的发生可能性,并记录下来。除了风险发生的可能性,还应当分析风险对项目的影响。风险影响分析应当全面,需要包括对时间、成本、范围等各方面的影响。其中不仅仅包括对项目的负面影响,还应当分析风险带来的机会,这有助于项目经理更精确地把握风险。对于同一个风险,由于不同的角色和参与者会有不同的看法,因此一般采用会议的方式进行风险可能性与影响的分析。因为风险分析需要一定的经验和技巧,也需要对风险所在的领域有一定的经验,因此,在分析时最好邀请相关领域的资深人士参加以提高分析结果的准确性。例如,对于技术类风险的分析就可以邀请技术专家参与评估。
               (2)确定风险优先级。在确定了风险的可能性和影响后,需要进一步确定风险的优先级。风险优先级的概念与风险可能性和影响既有联系又不完全相同。例如,发生地震可能会造成项目终止,这个风险的影响很严重,直接造成项目失败,但其发生的可能性非常小,因此优先级并不高。又如,坏天气可能造成项目组成员工作效率的下降,虽然这种可能性很大,每周都会出现,但造成的影响非常小,几乎可以忽略不计,因此,优先级也不高。
               风险优先级是一个综合的指标,优先级的高低反映了风险对项目的综合影响,也就是说,高优先级的风险最可能对项目造成严重的影响。一种常用的方法是风险优先级矩阵,当分析出特定风险的可能性和影响后,根据其发生的可能性和影响在矩阵中找到特定的区域,就可以得到风险的优先级。
               (3)确定风险类型。在进行风险定性分析的时候需要确定风险的类型,这一过程比较简单。根据风险管理计划中定义的风险类型列表,可以为分析中的风险找到合适的类型。如果经过分析后,发现在现有的风险类型列表中没有合适的定义,则可以修订风险管理计划,加入这个新的风险类型。
               风险定量分析
               相对于定性分析来说,风险定量分析更难操作。由于在分析方法不恰当或缺少相应模型的情况下,风险的定量分析并不能带来更多有价值的信息,反而会在分析过程中占用一定的人力和物力。因此一般先进行风险的定性分析,在有了对风险相对清晰的认识后,再进行定量分析,分析风险对项目负面的和正面的影响,制定相应的策略。
               定量分析着重于整个系统的风险情况而不是单个风险。事实上,风险定量分析并不需要直接制定出风险应对措施,而是确定项目的预算、进度要求和风险情况,并将这些作为风险应对策略的选择依据。在风险跟踪的过程中,也需要根据最新的情况对风险定量分析的结果进行更新,以保证定量分析的精确性。
               风险定量分析的工具和方法主要有数据收集和表示技术(风险信息访谈、概率分布、专家判断)、定量风险分析和建模技术(灵敏度分析、期望货币价值分析、决策树分析、建模和仿真)。
               (1)决策树分析。决策树分析法通常用决策树图表进行分析,它描述了每种可能的选择和这种情况发生的概率。期望货币价值分析分析方法常用在决策树分析方法中,有关这方面的知识,请阅读17.4.3节。
               (2)灵敏度分析。灵敏度分析也称为敏感性分析,通常先从诸多不确定性因素中找出对模型结果具有重要影响的敏感性参数,然后从定量分析的角度研究其对结果的影响程度和敏感性程度,使对企业价值的评估结果的判断有更为深入的认识。托那多图(Tornado Diagram,龙卷风图)是灵敏度分析中非常有效的常用图示,它将各敏感参数按其敏感性进行排序,形象地反映出各敏感参数对价值评估结果的影响程度。运用托那多图进行灵敏度分析的具体步骤包括:选择参数、设定范围、敏感性测试、将各敏感参数对价值结果的影响按其敏感性大小进行排序。
               (3)蒙特卡罗模拟。蒙特卡罗(Monte Carlo)方法作为一种统计模拟方法,在各行业广泛运用。蒙特卡罗方法在定量分析中的运用较为复杂,牵涉到复杂的数理概率模型。它将对一个多元函数的取值范围问题分解为对若干个主要参数的概率问题,然后用统计方法进行处理,得到该多元函数的综合概率,在此基础上分析该多元函数的取值范围可能性。蒙特卡罗方法的关键是找一组随机数作为统计模拟之用,这一方法的精度在于随机数的均匀性与独立性。就运用于风险分析而言,蒙特卡罗方法主要通过分析各种不确定因素,灵活地模拟真实情况下的某个系统中的各主要因素变化对风险结果的影响。由于计算过程极其繁复,蒙特卡罗方法不适合简单(单变量)模型,而对于复杂(有多种不确定性因素)模型则是一种很好的方法。其具体步骤包括选取变量、分析各变量的概率分布、选取各变量的样本、模拟价值结果、分析结果。
 
       环境安全
        应按照GB50174—2008《电子信息系统机房设计规范》的要求,保证提供符合网络设备运行要求的场地封闭、防火、防盗、防静电、通风、温湿度控制,以及UPS供电等的物理环境。重点保证中心机房的安全,涉及机房场地的选择、机房内部安全防护措施、建筑材料防火安全措施、机房供配电安全措施、机房防水与防潮安全措施、机房温度控制、机房防静电安全措施、机房接地与防雷击安全措施和机房电磁防护措施。
        机房场地设计。按一般建筑物的要求进行机房场地选择,避开易发生火灾和危险程度高的油库等地区,避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域;避开低洼、潮湿及落雷区域;避开强振动源和强噪声源区域;避开强电场和强磁场区域;避开有地震、水灾危害的区域;避免在建筑物的高层及用水设备的下层或隔壁。机房应只设一个常规出入口,并设置门禁系统;另设若干紧急疏散出口。
        建筑材料防火安全措施,包括机房和重要记录介质存放间,其建筑材料的耐火等级应符合GBJ45—1982中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16—1974中规定的二级耐火等级;设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和控制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断电源,关闭空调设备等。
        机房供配电、温度安全措施,将计算机系统供电与其他供电分开,并配备应急照明装置;配置抵抗电压不足的改进设备,如基本UPS、改进UPS、多级UPS;建立备用的供电系统,以备常用供电系统停电时启用,完成对运行系统必要的保留;采用线路稳压器,设置电源保护装置,以防止/减少电源发生故障。机房应配置有较完备的中央空调系统,保证机房温度的变化在计算机系统运行所允许的范围内。
        机房防水、防潮、防静电、防雷击安全措施。水管安装应采取可靠的密封措施;采取一定措施,防止雨水通过屋顶和墙壁渗透、室内水蒸气结露及地下积水的转移和渗透。安装对水敏感的检测仪表或元件,对机房进行防水检测,发现水害,及时报警。为计算机系统配置合理的防静电接地与屏蔽系统;控制机房温/湿度,使其保持在不易产生静电的范围内;机房地板从表面到接地系统的阻值,应在不易产生静电的范围;机房中使用的各种家具,工作台、柜等,应选择产生静电小的材料,包括采用接地的方法,防止外界电磁和设备寄生耦合对计算机系统的干扰。
        机房电磁防护措施。采用屏蔽方法,减少外部电气设备对计算机系统的瞬间干扰;采用距离防护的方法,将计算机机房的位置选在外界电磁干扰小的地方和远离可能接收辐射信号的地方;采用必要措施,防止计算机设备产生的电磁泄漏发射造成信息泄露。
 
       进行风险分析
        信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
        资产评估是企业制定信息安全策略的前提条件,只有确定企业需要重点保护的资源,才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络,因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络,以及如果这些元素无法提供适当的功能,公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。
        在评估过程,企业要采用能够充分利用结合优秀的传统方法及联网计算的新业务模式,才能获得竞争优势。而且对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度,以及哪种安全能最有效地满足其特殊业务需求。所以,有效的评估方法就是要根据不同企业特殊条件有针对性地进行操作。
        组织在进行信息资产风险评估时,不可有侥幸心理,必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定,这就是一个风险评估的过程。
 
       系统工程
        系统工程是从整体出发合理开发、设计、实施和运用系统科学的工程技术。它根据总体协调的需要,综合应用自然科学和社会科学中有关的思想、理论和方法,利用计算机作为工具,对系统的结构、元素、信息和反馈等进行分析,以达到最优规划、最优设计、最优管理和最优控制的目的。
        霍尔(A.D.Hall)于1969年提出了系统方法的三维结构体系,通常称之为霍尔三维结构,这是系统工程方法论的基础。霍尔三维结构以时间维、逻辑维、知识维组成的立体空间结构来概括地表示出系统工程的各阶段、各步骤以及所涉及的知识范围。也就是说,它将系统工程活动分为前后紧密相连的7个阶段和7个步骤,并同时考虑到为完成各阶段、各步骤所需的各种专业知识,为解决复杂的系统问题提供了一个统一的思想方法。
               逻辑维
               逻辑维是解决问题的逻辑过程。运用系统工程方法解决某一大型工程项目时,一般可分为7个步骤:
               (1)明确问题。通过系统调查,尽量全面地搜集有关的资料和数据,把问题讲清楚。
               (2)系统指标设计。选择具体的评价系统功能的指标,以利于衡量所供选择的系统方案。
               (3)系统方案综合。主要是按照问题的性质和总的功能要求,形成一组可供选择的系统方案,方案是按照问题的性质和总的功能要求,形成一组可供选择的系统方案。
               (4)系统分析。分析系统方案的性能、特点、对预定任务能实现的程度,以及在评价目标体系上的优劣次序。
               (5)系统选择。在一定的约束条件下,从各入选方案中择出最佳方案。
               (6)决策。在分析、评价和优化的基础上作出裁决并选定行动方案。
               (7)实施计划。这是根据最后选定的方案,将系统付诸实施。
               以上7个步骤只是一个大致过程,其先后并无严格要求,而且往往可能要反复多次,才能得到满意的结果。
               时间维
               时间维是系统的工作进程。对于一个具体的工程项目,从制定规划起一直到更新为止,全部过程可分为7个阶段:
               (1)规划阶段。即调研阶段,目的在于谋求活动的规划与战略。
               (2)拟定方案。提出具体的计划方案。
               (3)研制阶段。作出研制方案及生产计划。
               (4)生产阶段。生产出系统的零部件及整个系统,并提出安装计划。
               (5)安装阶段。将系统安装完毕,并完成系统的运行计划。
               (6)运行阶段。系统按照预期的用途开展服务。
               (7)更新阶段。即为了提高系统功能,取消旧系统而代之以新系统,或改进原有系统,使之更加有效地工作。
               知识维
               知识维是完成各阶段、各步骤所需的专业科学知识。系统工程除了要求为完成上述各步骤、各阶段所需的某些共性知识外,还需要其他学科的知识和各种专业技术,霍尔把这些知识分为工程、医药、建筑、商业、法律、管理、社会科学和艺术等。各类系统工程,如军事系统工程、经济系统工程、信息系统工程等,都需要使用其他相应的专业基础知识。
 
       信息系统工程
        简单地说,信息系统就是输入数据,通过加工处理,产生信息的系统。
        面向管理是信息系统的显著特点,以计算机为基础的信息系统可以定义为:结合管理理论和方法,应用信息技术解决管理问题,为管理决策提供支持的系统。管理模型、信息处理模型、系统实现的基础条件三者的结合产生现实信息系统,如下图所示。
        
        信息系统
        管理模型指系统服务对象领域的专门知识,以及分析和处理该领域问题的模型,也称为对象的处理模型。信息处理模型指系统处理信息的结构和方法。管理模型中的理论和分析方法,在信息处理模型中转化为信息获取、存储、传输、加工、使用的规则。系统实现的基础条件指可供应用的计算机技术和通信技术、从事对象领域工作的人员,以及对这些资源的控制与融合。
        从事信息系统的专业人员必须具备广阔的商务知识,懂得利用信息技术增强组织性能,有较强的分析和评判思维能力,具备良好的沟通能力、团队精神和正确的伦理价值观,如下图所示。
        
        信息系统专业人员的四个基本能力
               信息系统的基本功能
               信息系统具有数据的输入、传输、存储、处理、输出等基本功能。
               (1)数据的采集和输入。识别信息有3种方法:一是由决策者识别;二是系统分析员亲自观察识别;三是先由系统分析员观察得到基本信息,再向决策人员调查,加以修正、补充。
               (2)数据的传输。包括计算机系统内和系统外的传输,实质是数据通信,其一般模式如下图所示。
               
               数据传输
               信源即是信息的来源,编码是指把信息变成信号,所谓码,是指按照一定规则排列起来的、适合在信道上传输的符号序列。信道就是信息传递的通道,是传输信息的媒介,信道的关键问题是信道的容量。噪声就是杂音或干扰。译码是编码的反变换,其过程与编码相反。信宿即是信息的接收者,可以是人、机器或者另一个信息系统。
               (3)信息的存储。数据存储的设备目前主要有3种:纸、胶卷和计算机存储器。对数据存储设备的一般按要求是存储容量大且价格便宜。信息存储的概念比数据存储的概念要广,主要问题是确定存储哪些信息、存储多长时间、以什么方式存储、经济上是否合算等,这些问题都要根据系统的目标和要求确定。
               (4)信息的加工。信息加工的范围很大,从简单的查询、排序、归并到负责的模型调试及预测。
               (5)信息的维护。包括经常更新存储器中的数据,使数据保持合用的状态。广义上来讲,包括系统建成后的全部数据管理工作。信息维护的主要目的在于保证信息的准确、及时、安全和保密。
               (6)信息的使用。指高速度和高质量地为用户提供信息。
               信息系统分类
               信息系统分类方法很多,从应用角度,可以分成人工信息系统和基于计算机的信息系统;从独立性角度,可分成独立信息系统和综合信息系统;从处理方式角度可分为批处理信息系统和联机处理信息系统。下面主要介绍以数据环境分类和以应用层次分类。
               (1)以数据环境分类。按照数据环境,可以把信息系统分为数据文件、应用数据库、主题数据库和信息检索系统。数据文件是没有使用数据库管理系统;应用数据库虽然使用了数据库管理系统,但未实现共享。主题数据库建立了一些数据库与一些具体的应用有很大的独立性,数据经过设计,其存储结构与使用它的处理过程都是独立的,各种数据通过一些共享数据库被联系和体现;在信息检索系统中,一些数据库被组织为能保证信息检索和快速查询的需要,而不是大量的事务管理。
               (2)以应用层次分类。通常,一个组织的管理活动可以分成四级,分别是战略级、战术级、操作级和事务级。与此相对应的,信息系统也分为战略级信息系统(使用者都是企业最高管理层)、战术级信息系统(企业中层经理及其管理部门)、操作级信息系统(服务型企业的业务部门)和事务级信息系统(企业的管理业务人员)。
               信息系统建设
               信息系统建设周期长、投资大、风险大,比一般技术工程有更大的难度和复杂性。这是因为技术手段复杂;内容复杂,目标多样;投资密度大,效益难以计算;环境复杂多变。
               信息系统在使用过程中,随着其生存环境的变化,要不断维护、修改,当它不再适应的时候就要被淘汰,就要由新系统代替老系统,这种周期循环称为信息系统的生命周期,如下图所示。
               
               信息系统的生命周期
               从上图可见,信息系统的生命周期可以分为系统规划、系统分析、系统设计、系统实施、系统运行和维护五个阶段。
               系统规划阶段的任务是对企业的环境、目标及现行系统的状况进行初步调查,根据企业目标和发展战略,确定信息系统的发展战略,对建设新系统的需求做出分析和预测,同时考虑建设新系统所受的各种约束,研究建设新系统的必要性和可能性。根据需要与可能,给出拟建系统的备选方案。对这些方案进行可行性分析,写出可行性分析报告。可行性分析报告审议通过后,将新系统建设方案及实施计划编写成系统设计任务书。
               系统分析阶段的任务是根据系统设计任务书所确定的范围,对现行系统进行详细调查,描述现行系统的业务流程,指出现行系统的局限性和不足之处,确定新系统的基本目标和逻辑功能要求,即提出新系统的逻辑模型。这个阶段又称为逻辑设计阶段。这个阶段是整个系统建设的关键阶段,也是信息系统建设与一般工程项目的重要区别所在。系统分析阶段的工作成果体现在系统说明书中,这是系统建设的必备文件。它既是给用户看的,也是下一个阶段的工作依据。系统说明书一旦讨论通过,就是系统设计的依据,也是将来验收系统的依据。
               简单地说,系统分析阶段的任务是回答系统“做什么”的问题,而系统设计阶段要回答的问题是“怎么做”。该阶段的任务是根据系统说明书中规定的功能要求,考虑实际条件,具体设计实现逻辑模型的技术方案,也就是设计新系统的物理模型。这个阶段又称为物理设计阶段。这个阶段又可分为总体设计和详细设计两个阶段。这个阶段的技术文档是系统设计说明书。
               系统实施阶段是将设计的系统付诸实施的阶段。这一阶段的任务包括计算机等设备的购置、安装和调试、程序的编写和调试、人员培训、数据文件转换、系统调试与转换等。这个阶段的特点是几个互相联系、互相制约的任务同时展开,必须精心安排、合理组织。系统实施是按实施计划分阶段完成的,每个阶段应写出实施进展报告。系统测试之后写出系统测试分析报告。
               系统投入运行后,需要经常进行维护和评价,记录系统运行的情况,根据一定的规格对系统进行必要的修改,评价系统的工作质量和经济效益。
               除技术人员外,开发的各个阶段需要有业务人员的参加配合。开发的前期需要用户配合系统分析人员做好系统分析工作,后期需要用户承担测试、切换工作。为了使用户配合好开发工作,需要对用户进行培训。下图是各开发阶段人力需求曲线。
               
               各个开发阶段的人力需求
               信息系统的发展
               一个单位或一个地区的信息系统,都要经历由初级到成熟的发展过程,诺兰(Nolan)总结了信息系统发展的规律,在1973年提出了信息系统发展的阶段理论,并在1980年完善了这一理论,人们称之为诺兰模型,如下图所示。
               
               诺兰模型
               (1)初装。从单位购买第1台计算机用于管理部门就开始了初装阶段。在这一阶段,人们初步意识到计算机对管理的作用,有少数人具备了初步应用能力。
               (2)蔓延。计算机初见成效吸引力人们,使信息系统扩散到多数部门,便进入了蔓延阶段。在这一阶段,数据处理能力发展很快,但很多问题有待解决,如数据具有不一致性、共享性差等。这个阶段的投资迅速增长,但只有一部分系统取得实际效益。
               (3)控制。解决蔓延阶段的问题,要求加强组织协调,对信息系统建设进行统筹规划。严格的控制代替了自由蔓延。这一阶段利用数据库技术解决数据共享问题。控制阶段投资增长较慢。
               (4)集成。在控制的基础上,硬件重新链接,在软件方面建立集中式数据库和能充分利用各种信息的系统,这就是集成。诺兰认为前3个阶段属于“计算机时代”,从第4个阶段开始进入“信息时代”。这个阶段由于各种硬件、软件设备大量扩充,投资迅速增长。
               (5)数据管理。集成之后进入数据管理阶段。
               (6)成熟。成熟的信息系统应能满足组织各个管理层次的要求,实现真正的信息资源管理。
   题号导航      2018年上半年 信息系统监理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第62题    在手机中做本题