企业信息资产管理中的问题分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇企业信息资产管理中的问题分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】文章分析了企业信息资产管理现状,根据国网公司系统信息化建设与发展需要,提出了规范信息资产管控流程的具体措施,对加强企业信息资产管理、信息网络安全管理和信息系统运行维护,具有较好的借鉴和指导作用。
【关键词】信息资产;管理;流程;措施
【中图分类号】F273.4
【文献标识码】A
【文章编号】1672—5158(2012)10-0130-01
1 引言
信息资源是指企业生产及管理过程中所涉及到的文档、数据以及生产和承载数据的软硬件系统(设备)的总和。国务院颁发的《2006-2020年国家信息化发展战略》指出:“进入21世纪,信息资源日益成为重要生产要素、无形资产和社会财富”,正式明确信息是一种资产。
信息资产是指由企业拥有或者控制的、能够为企业带来经济利益的信息资源,企业信息资产具有来源渠道多、更新周期快、分布范围广、流转频率高、公私通用性强、配件调换方便等特点,因此,企业信息资产管理,既有别于传统意义上的固定资产管理,也不同于ERP(企业资源计划)、EAM(企业资产管理)等系统中的资产管理概念,它在具备常规企业资产管理特征的同时,更注重于资产的识别及其动态的管理,进而为ISMS(信息安全管理体系)提供准确、可靠的识别信息,为企业信息和承载信息的网络环境、终端设备及业务应用的安全稳定运行提供基本保障。
2 信息资产管理现状分析
随着企业信息化水平的不断提高,信息资产管理对信息网络安全管理与信息系统运维管理的影响越来越大。为此,国家电网公司下发了“信息计划(2008/37号文件”,将信息资产中的物理资产和软件分为7大类31小类(不包括复印机、照相机、录像机等办公设备和移动存储介质),要求建立包括设备序列号及各种性能参数的资产信息数据库和设备台账,并定期统计、上传信息资产报表,其目的是实现企业信息资产“账、卡、物”一致和资产存在状态“可控、在控、能控”,以满足信息安全管理需要。
同时,国网公司还通过信息安全技术督查和信息网络综合运维监管系统,进一步加强了企业信息资产监管工作力度。尽管如此,我们的信息资产管理还是存在着制度不健全、台账不完整、存在状态不清楚、报表数据不准确等问题,不能满足企业网络及信息安全管理需要,主要原因是:
第一,信息资产的所有权与控制权分离,管理手段落后、监管乏力。长期以来,企业信息资产一直是二级单位使用、信息部门统计、财务部门监管,实际上是二级单位在行使常用信息资产的调配控制权。资产管理、统计报表、配置审批相互脱节,管配置的不掌握资产的配置情况和用户需求,管资产的不知道资产的存量情况和存在状态,信息管理部门则是无法全面掌握资产的来源、数量、配置及具体使用情况。
第二,信息资产来源渠道多、配置变化快,统计报表不能真实反映企业信息资产现状。企业信息资产除正常计划购置外,还有工程项目配套的、业务应用系统建设附带的、推广应用项目配备的、工作需要特批的、主管部门下发的、其它费用变通的等等,由于没有有效的归口管理制度和专职信息资产管理人员,信息管理部门不能完全掌握资产来源情况,现有信息资产报表不能真实反映企业信息资产的实际情况,更不能为信息安全管理提供准确、可靠的数据保证。
第三,信息(数据库和数据文件)管理近乎空白,企业数据资源浪费严重。现行的信息资产管理还局限在物理资产(含软件)管理的层面上,对其它资产,尤其是最为重要的资产——信息的管理,还没有纳入信息资产管理工作中。企业信息化过程中产生的大量运行数据,大都是根据业务应用情况分别存贮,作为历史数据保存下来,并形成一个个信息孤岛。业务系统升级或更新改造后,许多历史数据没有导入新系统,而是随着原系统的报废而被束之高阁,并将随着业务管理人员的更新和时间的流逝而被遗弃。
3 规范管理信息资产的具体措施
规范信息资产管理流程、完善信息资产管理措施,是提高信息安全技术督查管理水平、提高企业信息网络安全可靠性的基础和保证。
3.1 健全制度、规范流程是信息资产“可控、在控、能控”的保证。
根据国网公司资产全寿命周期管理、信息系统运行维护工作规范、信息资产统计报表、信息安全督查规范等文件要求,梳理工作内容与管理流程、明确岗位职责与业务关系,建立以“信息资产数据库”为核心、信息管理部门归口负责、专人管理的企业信息资产管理与考核体系,明确相关部门的职责、权限和义务,确保信息资产管理部门与物资采购、财务核算、人力资源、系统运维等部门齐抓共管、密切配合,实现企业信息资产管理与“人财物集约化”、“信息网络综合运维监管系统”的在线联动、信息共享。
3.2 集中管控、统一调配是信息资产台账准确、“账、卡、物”一致的关键。
企业信息资产集中管控、归口管理、统一调配,二级单位或个人只有使用权没有调配权,用户对所用资产安全负全责。作为日常办公工具,信息资产落到个人账上,直至达到报废年限、履行报废程序后,再以旧换新;使用人调换工作岗位后,所用信息资产随人同时调转;特殊情况需要增减配置时,必须履行签报审批程序并按规定调配;使用人退休或调离本企业前,必须履行信息资产移交签字程序,否则人资管理部门不得办理退休或调离手续。
新增加的信息资产严格履行申报登记制度,不管是那条渠道进来的信息资产,到货验收单和使用分配表均须到信息资产管理部门登记造册,保证信息资产数据库的完整性、信息资产台账的准确性和“账、卡、物”的一致性。
3.3 科学管理是降低信息网络安全风险、提高运维水平的基础。
信息网络安全督察和信息系统运维管理需求的日益增长,对信息资产的管理提出了更高的要求。信息资产管理除实现资产基本特性、物理位置、管理责任的登记造册与统计查询外,还应该反映信息资产的逻辑位置、关联关系、存在历史、当前状态、最终去向等管理属性。只有将常规的平面管理方式提升到现代的立体管理方式,才能使信息资产管理与信息网络安全技术管理相辅相成,从而有效降低网络及信息安全风险、提高信息网络运维管理水平。
3.4 数据应用是企业信息化的根本目的、是信息资产管理的更高目标。
有形资产的购置和维护需要成本,信息(数据)的获取和存贮也需要成本。在加强物理信息资产管理的同时,加速研究、制定企业数据(数据库和数据文件)资产的管控制度,将其与物理资产一样管理,并通过对此类资产的开发利用,为企业创造效益。应在完成企业数据总体规划的基础上,规范企业数据库内容及其管理措施;业务应用系统投入运行后,必须建立包括数据库结构、存贮格式等属性在内的数据管理档案;业务应用系统升级或更新改造后,必须将原系统运行数据全部导入新系统中,保证企业数据的连续性和完整性;建立信息资产管理与企业数据的关联关系,以提高数据检索和查阅效率。企业数据的共享和有效利用,是企业信息化建设的根本目的,也是信息资产管理的更高目标。
4 结语
随着全球“数字化”及“物联网”的快速发展,国家电网公司也加快了“数字电网”和“智能化电厂”的建设步伐,企业信息资产将再次急骤增加,相应的信息安全管理和信息系统运维任务也会更加繁重。因此,建立健全信息资产管控制度,明确信息资产管理流程,强化企业数据等无形资产的管理与利用,实现信息资产管理的制度化、程序化、规范化,既是企业信息网络安全和信息系统运维管理的需要,更是企业信息化发展和“数字电网”建设的必然。
参考文献
[1]《国家电网公司资产全寿命周期管理评估指标体系》
[2]《关于开展国家电网公司信息系统设备(软件)统计工作的通知》
[3]《国家电网公司信息系统运行维护工作规范》
[4]《国家电网公司信息安全督查方案》