课件案例4：忽略了安全需求的ERP.doc

《课件案例4：忽略了安全需求的ERP.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、忽略了安全需求的ERPA企业是国内一家从事制造建筑工程施工车辆的公司。该企业从九十年代就开始准备ERP项目，并在二十世纪九十年代后期选定了软件，开始实施包括财务、分销和制造在内的整合的ERP系统。为此，A公司专门成立了ERP实施小组，在专业咨询公司的协助下，经过一段时间的需求分析、流程设计、用户培训，实施工作进入了紧张的上线前数据准备的关键阶段。这时候，采购部门对敏感的采购信息在系统中的安全性提出了质疑，包括对相关采购数据的输入、修改、批准、查询、报告、打印等，提出了一系列要求。整个采购部门有几十个从事采购相关业务的工作人员，分管几十个大类、数以万计的不同物品的相关采购工作。

2、根据内控的要求，不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息，对其他无关部门，甚至同部门的其他采购人员，都是保密的。在这样的内控要求下，ERP用户权限的设定，不是仅在功能模块的菜单上设定权限，就能符合岗位隔离的要求的。不少安全要求，具体到需要对数据库内的数据表的字段做出相应的权限设定。岗位隔离的要求，形成了一个极其复杂的安全需求矩阵。在系统实施工作的后期阶段，提出这样的安全要求，对ERP实施小组无疑是个难题。由于事先准备不足，ERP系统的功能、需求分析、流程设计、项目实施的资源，都没有充分考虑公司内控和信息安全的要求。上述信息安全和岗位隔离的要求

3、，对采购模块的实施，形成了难以逾越的障碍，并且直接导致：（1） 采购模块没有和其他模块一起集成上线。（2） 应付账款模块、库存管理模块、成本计算功能的应用，都受到了很大的制约。（3） 该ERP系统的实施，没能达到产供销财务一体化的目标。其实，该公司内其他部门也有类似的信息安全的考虑和内控的要求，只不过没有采购部门反应强烈而已。这些问题深深困扰着A企业……1、在系统分析阶段，开发人员和A企业在哪方面存在重大的失误？2、如果你是A企业的CIO，面对上述问题，你会做出什么样的决策？答：1.分析阶段问题较多。一是，没有完全掌握各个业务部门的需求，进而无法从整个业务流程优化的角度来分析

4、ERP系统。二是，对信息安全方面考虑不周。三是对信息集成方面做得不够2.这个系统不仅带来了业务方面的问题，而且它是非常不安全的，很容易将企业的相关内部情报泄露出去。因此，应该首先在信息安全方面组织工作。同时，重新分析业务流程和各部门信息需求，并严格根据流程设定功能模块，实现信息集成和流程优化。