100104100117 王艳莲 管理信息系统在企业应用中的风险管理(2)

基本安全，只有建立包括技术、管理等在内的以风险管理为基础的综合管理安全管理机制才能够使信息安全得到全面保障。

风险评估是保障管理信息系统安全的基础和必要前提。对管理信息系统进行有效的风险评估，可以了解系统目前及预测未来的风险所在，评估这些风险可能带来的安全威胁与影响程度；可以有效地发现管理信息系统安全保障方面的主要问题和矛盾，为确定合适的风险管理安全策略、选择有效的防范措施提供必要信息，为管理信息系统建设及系统安全运行提供依据。

风险评估作为风险管理的基础，主要的研究工作包括评估和相关理论研究的研究。风险评估可分为定性评估、定量评估、定性与定量相结合的评估等三种方法。

3.1. 定性评估法

定性评估法：逻辑分析法采用流程图等方法进行因果关系、逻辑关系推理对系统风险进行定性分析。历史比较法是根据历史数据对风险状况作出定性评价。Delphi法是对影响信息系统安全的各种因素进行问卷调查，经过反复多次的征求专家意见，充分发挥专家的智慧、知识和经验，得到信息系统评估的统一结果。其他的定性分析方法包括：分类方法、分析归纳法、域分析法、解释分析法、语义分析法等。

3.2. 定量评估法

定量的评估方法是一种比较精确的风险评估方法，通常以数学形式进行表达，指运用量化指标来对风险进行评估。典型的定量分析方法有主成分分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。主成分分析法的思想是通过主成分分析，减少影响系统风险评估的多种指标，降低因素分析的复杂度，提高风险分析的效率和准确性。聚类分析法是在评估前对安全数据进行聚类分析，在简化数据分类的同时，降低风险分析和风险评估的复杂度，提高评估效率和准确性。此外，由于管理信息系统的动态变化性，资产、漏洞、威胁的不断变化，采取聚类分析数据可以将新的安全数据归类，便于安全数据的更新。聚类分析的算法有很多种，需要根据系统的实际情况选择。时序模型用于对系统风险随时间动态进行建模，目的是预测系统风险属性变化的趋势。系统环境变化、威胁源能力的不断增强，使得对风险分析发生概率和后果的预测越来越复杂，Cherkassky V等研究小组采用回归模型对风险后果和概率与变化属性之间的关系进行预测，给出风险点实时结果，提高风险评估的准确性，为风险管理提高保障。决策树法是采用树形结构对风险进行分类，然后对每类风险采用不同的评价指标分别分析和评估。

3

3.3. 综合评估法

综合评估方法中最为常用的是层次分析法，该方法是有运筹学专家Saaty提出的。这一方法的核心是将经验判断给与量化，提供定量信息依据，已被广泛地应用于复杂决策问题的分析，解决用纯参数数学模型方法难以解决的问题，后来，又将模糊理论、决策理论相结合，解决风险评估和风险管理中不确定性和受许多因素影响等问题。

4. 案例分析

4.1. 案例背景

医疗保险制度改革涉及面广，政策性强，操作难度大，而杭州市作为浙江省的省会城市及浙江省医疗保险改革的试点城市之一，工作难度更大。按照整个工作计划，在2001年11月，要将75万参保职工、上万家参保企业、100多家定点医疗机构纳入杭州医疗保险信息管理系统内。

在系统设计阶段，需要考虑75万参保职工账户的建立、上万家参保企业医疗保险基金的征缴、上百家定点医疗机构医药费用的审核与偿付、医疗保险基金的监控、征集比例的测算等多种问题。

4.2. 系统分析

在需求分析阶段，又有省劳社厅、省卫生厅、市卫生局、市商业银行、市地税局、省市的定点医疗机构、各定点医疗机构的HIS开发商、市广电、市电信局、参保企业等多家相关部门共同参与。系统庞大复杂，杭州劳动和社会保障局和东软都投入了最强大的力量。

经过详细的需求分析、各部门大量的沟通和项目会议，初步确定了杭州医保项目的实施范围，决定以广电线路为主干线路，以电信线路为备份线路，采用磁卡作为医保卡，系统采用C/S结构，以大集中模式来搭建医保系统。

4.3. 系统功能

杭州医保管理信息系统以市医疗保险服务中心为中心，覆盖了银行、地税、工商、定点医疗机构、定点药店、参保企业等多家单位和个人，主要包括参保对象管理

4

子系统、基金管理子系统、费用审核管理子系统、账户管理子系统等11个系统。其中医院端动态链接库子系统主要为医疗中心管理系统与医院管理系统（HIS）的数据交换提供统一规范和标准，医保卡管理子系统是根据本地医保系统和银行系统对卡管理的需求，与商业银行联合开发的医保卡管理系统，实现了银行联网和医疗保险系统的联网。整个系统开发完成了多达上百个模块，并和原有养老系统做了数据共享。

在系统架构上，市医保中心主机系统的架构以IBM RS/6000 M80双机互为备份为核心，以7133－SSA高速磁盘阵列为共享连接，以3590－E11磁带库为系统备份。在市医保中心内部，局域网主干网络带宽为千兆，与各二级交换机也采用千兆互联，为内部的各个科室提供10/100M到桌面的一套局域网系统。

该系统的广域网系统则根据各个定点医疗机构的具体数据量的大小情况，设计了不同的适合自身通讯线路的解决方案。对于大型的定点医疗机构来说，采用广电的宽带IP网保持与医保中心的实时连接，在医保中心提供100M的宽带接入，在医院端提供10M的宽带接入，以保证大中型定点医院的宽带连接数据库服务器，另外采用电信的帧中继数字通讯专线作为备份线路，在医保中心提供2M的帧中继带宽，在医院端提供64K或128K不等的带宽，以保证广电的宽带IP线路出现故障时，大型定点医院仍然可以使用足够的带宽连入医保中心。

对于中型定点医疗机构来说，采用广电的宽带IP网保持与医保中心的实时连接，以保证中型定点医疗机构的宽带连接数据库服务器，另外采用电信的ISDN线路为备份线路，以保证广电的宽带IP线路出现故障时，中型定点医院仍然可以通过拨号方式连入医保中心。

而众多的小型定点医疗机构和定点药店则通过拨号的方式用ISDN或PSTN来保持与医保中心的连接。

4.4. 系统实施

在软件开发上，东软采取了国际流行的控制方法。首先经过正式评审和认可，将一组配置项当作基准，作为进一步开发的基础，只有通过正式的更改控制规程才能被更改，因客户的业务需求变更而进行更改时应有客户的确认。因此，在合同阶段，与客户明确了系统更改的控制方法，防止开发人员对软件的随意更改，以确认系统的成功实施。

各项目小组采用团队开发的方法，开发过程中配置管理工具Source Safe 6.0来管理，在项目各阶段自动产生配置报告，提交给质量保证QA负责人和项目经理，以便随时了解项目的状态。

5

在各项目开发结束后，所有代码和文档备份到专用的代码备份服务器中归档。后期的维护作为新任务的开始，定期整理维护活动产生的结果，追加到原项目的备份中去，同时更新配置状态报告。测试时采用暗箱测试方法。

系统硬件平台搭建的工作主要分为设备到货的跟踪、设备到货的验收、系统的搭建、IP地址的规划、系统的验证等几个方面。在项目实施过程中，主要利用Microsoft Project工具软件来管理项目。

4.5. 总结

通过采用以上的方法，确保了杭州医保管理信息系统在2001年4月1日的试运行和5月1的正式上线。上线时，纳入杭州医保的参保职工有将近3万人，定点医疗机构将近20家左右，确保了杭州市医疗保险制度改革的顺利启动。

5. 建议

管理信息系统在企业中的成功应用与企业的很多方面息息相关。不同企业有不同的企业文化，对于管理信息系统也有不同的功能要求，所以一套合适的管理信息系统是企业应用成功的关键因素。

5.1. 需求分析

系统分析是研发信息系统最重要的阶段，它的基本任务是系统分析员与用户结合，在总体规划的指导下，充分了解用户的需求，在对各个子系统进行深入仔细调查研究的基础上，确定新系统逻辑结构的过程。充分了解用户的需求是至关重要的，包括功能需求、性能需求、环境需求、可靠性需求、安全保密要求、资源使用需求以及系统成本与开发进度需求等。

为了掌握用户的需求，首先，理解当前系统的像是环境，获得当前人工系统的具体模型；其次，从当前系统的具体模型抽象出当前系统的逻辑模型；然后分析目标系统与当前系统逻辑上的差别，建立目标系统的逻辑模型；最后，为目标系统的逻辑模型作补充。

6

5.2. 系统设计

系统设计阶段的主要任务是根据系统分析说明书确定系统的具体实施方案，即确定新系统的物理模型，包括总体设计和详细设计，其主要目标是从确保系统的可变更性入手，设计易于理解、易于维护的系统。由于系统个部分之间具有一定的联系，对一个部分的变更将影响整体，所以在设计系统时必须遵守结构化设计思想，即按自顶向下、逐步求精的原则将系统划分为功能明确、内容易懂、易于修改、层次清晰的功能模块。

5.3. 系统实施

系统实施是信息系统生命周期的第四个阶段，是系统开发的重要阶段，是指将新系统的设计方案转换成实际运行系统的全过程，它包括硬件的获取、软件的获取与开发、用户准备、聘用和培训人员、地点和数据的准备、安装、测试、试运行及用户验收。

系统实施要涉及开发人员、测试人员、各级管理人员，涉及大量的物质、设备和资金，涉及各个部门级应用环境，执行过程中具体情况十分复杂，如果没有强有力的管理措施，系统实施工作就无法顺利进行。

5.4. 系统的维护与管理

管理信息系统在实施阶段结束并投入正常运行之后，就进入了系统运行与维护阶段，其目的是保证信息系统正常而可靠地运行，并能使系统不断得到改善和提高，以充分发挥其作用。由于系统自身还隐藏着错误、系统环境的变化、用户对系统提出了更高的应用要求等原因，系统就必须要进行维护，内容包括应用系统的维护、数据的维护、代码的维护、硬件设备的维护。

系统维护的根据是系统的文档。成功的系统维护需要三个方面的条件：其一，系统维护工作应视维护内容派专人负责；其二，系统维护要有一套申报审批的管理程序，审批者应当对系统非常熟悉，能够判断维护的必要性和可能性、维护的影响范围、维护的工作量及维护的后果；其三，要形成规范的系统维护文档。

7

6. 总结

管理信息系统在企业中的应用过程非常复杂，有成功应用的例子，但失败的比例远比成功的大，所以还需要不断地探索、发展与完善。通过技术、理念的不断提高、深入人心，相信管理信息系统在企业中的应用风险会得到有效控制，应用也将会越来越成功，给企业带去真正的效益，为企业创造出巨大价值。

参考文献

[1] 姚建荣,王衍.管理信息系统教程[M].杭州：浙江科学技术出版社,2005.10. [2] 李志伟 .信息系统风险评估及风险管理对策研究[J] .北京交通大学 .2010

8

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库100104100117 王艳莲 管理信息系统在企业应用中的风险管理(2)在线全文阅读。