安全erp管理系統(tǒng)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　　Erp安全管理是指導(dǎo)和控制企業(yè)關(guān)于erp安全風(fēng)險(xiǎn)的相互協(xié)調(diào)活動(dòng)，通常包括制定安全方針、風(fēng)險(xiǎn)分析、控制目標(biāo)與方式選擇、風(fēng)險(xiǎn)控制、安全保證等。Erp安全管理實(shí)際上是風(fēng)險(xiǎn)管理的過(guò)程.風(fēng)險(xiǎn)管理是指用可接受的費(fèi)用，識(shí)別、控制、降低或消除安全風(fēng)險(xiǎn)的活動(dòng)，通過(guò)風(fēng)險(xiǎn)分析來(lái)識(shí)別風(fēng)險(xiǎn)大小，通過(guò)制定安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降低到一個(gè)被接受的水平.在風(fēng)險(xiǎn)管理方面應(yīng)考慮控制費(fèi)用與控制風(fēng)險(xiǎn)之間的平衡.Erp系統(tǒng)風(fēng)險(xiǎn)分析是指對(duì)erp系統(tǒng)的威脅、影響和薄弱點(diǎn)及三者發(fā)生的可能性的分析。威脅是指可能對(duì)系統(tǒng)造成損害的事故的潛在原因;影響是指威脅一旦發(fā)生給企業(yè)帶來(lái)的直接和間接的損失;薄弱點(diǎn)是指系統(tǒng)中能被威脅利用的弱點(diǎn);風(fēng)險(xiǎn)是指特定的威脅利用系統(tǒng)的薄弱點(diǎn)，導(dǎo)致企業(yè)損失的潛在可能，即特定威脅事件發(fā)生的可能性與后果的結(jié)合.風(fēng)險(xiǎn)分析也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程.Erp的系統(tǒng)風(fēng)險(xiǎn)分析應(yīng)考慮系統(tǒng)信息及其價(jià)值、對(duì)系統(tǒng)的威脅以及它們發(fā)生的可能性、系統(tǒng)的薄弱點(diǎn)、已有的安全控制措施等.Erp系統(tǒng)風(fēng)險(xiǎn)控制是指降低安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制.風(fēng)險(xiǎn)控制的選擇應(yīng)以風(fēng)險(xiǎn)分析的結(jié)果作為依據(jù)，判斷與威脅相關(guān)聯(lián)的薄弱點(diǎn)，決定什么地方需要保護(hù)，以及應(yīng)該采取何種形式的控制.風(fēng)險(xiǎn)控制選擇的另一個(gè)重要方面就是費(fèi)用因素.如果實(shí)施和維持這些控制的費(fèi)用比系統(tǒng)遭到威脅所造成的損失值還要高，那么所提議的控制就是不合適的.風(fēng)險(xiǎn)控制的內(nèi)容：(1、減輕風(fēng)險(xiǎn)2、預(yù)防風(fēng)險(xiǎn)3、轉(zhuǎn)移風(fēng)險(xiǎn)4、回避風(fēng)險(xiǎn)5、接受風(fēng)險(xiǎn)6、儲(chǔ)備風(fēng)險(xiǎn))

　　1.安全方針:是指在企業(yè)內(nèi)指導(dǎo)如何對(duì)信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示.

　　2、安全組織:是企業(yè)分管信息安全管理事宜的組織，負(fù)責(zé)企業(yè)信息安全方針的貫徹與落實(shí)，就重大問題及時(shí)與企業(yè)最高管理者和國(guó)家相關(guān)管理機(jī)構(gòu)進(jìn)行溝通.

　　3、系統(tǒng)資源分類和控制：ERP系統(tǒng)資源一般包括數(shù)據(jù)與文檔、軟件、計(jì)算機(jī)及網(wǎng)絡(luò)硬件、人員和服務(wù);系統(tǒng)資源控制主要指建立資源清單、確定資源價(jià)值，對(duì)資源進(jìn)行風(fēng)險(xiǎn)分析、指派專人管理、定期對(duì)資源進(jìn)行清查盤點(diǎn)等。

　　4、人員安全:指為加強(qiáng)企業(yè)內(nèi)部人員的安全管理而采取的有利措施，包括明確安全角色和職責(zé)、制定員工考察策略、簽訂保密協(xié)議、加強(qiáng)用戶安全培訓(xùn)、建立獎(jiǎng)懲機(jī)制。

　　5、實(shí)物和環(huán)境安全:指保護(hù)系統(tǒng)中的計(jì)算機(jī)及外設(shè)、網(wǎng)絡(luò)通信設(shè)備、信息介質(zhì)等硬件設(shè)備免受非法的事物訪問、自然災(zāi)害和環(huán)境危害，主要包括安全區(qū)域(或物理訪問)、設(shè)備安全及信息介質(zhì)安全三個(gè)方面的安全控制。

　　6、通信和運(yùn)作:包括erp系統(tǒng)操作程序和職責(zé)、系統(tǒng)測(cè)試、防范惡意軟件、數(shù)據(jù)備份和系統(tǒng)日志管理、網(wǎng)絡(luò)管理、介質(zhì)處理、與外界進(jìn)行信息交換的安全控制方法。

　　7、訪問控制:指對(duì)主體(人或軟件程序)、訪問客體(文件、軟件、信息處理設(shè)備等)的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制使用處理和儲(chǔ)存數(shù)據(jù)的過(guò)程(存取控制)，可分為物理訪問控制和邏輯訪問控制，包括用戶登記、口令管理、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、erp系統(tǒng)訪問控制、遠(yuǎn)程工作控制等方面

　　8.系統(tǒng)開發(fā)和維護(hù):指對(duì)與erp系統(tǒng)開發(fā)與維護(hù)活動(dòng)有關(guān)的安全控制方法，包括系統(tǒng)安全要求、應(yīng)用系統(tǒng)安全、加密技術(shù)控制、系統(tǒng)文件安全、開發(fā)和支持過(guò)程安全等方面

　　9、業(yè)務(wù)持續(xù)性:通過(guò)預(yù)防和恢復(fù)控制相結(jié)合的方式，使由災(zāi)難和安全故障所引起的破壞降至可接受的水平。

　　10、符合法規(guī)要求:為確保企業(yè)的erp系統(tǒng)安全，不僅要依著從企業(yè)自身的信息安全方針，而且要符合國(guó)家法律法規(guī)要求。

　　技術(shù)風(fēng)險(xiǎn)在項(xiàng)目中是客觀存在的，不可避免的，所以進(jìn)行有效的技術(shù)風(fēng)險(xiǎn)控制是項(xiàng)目取得成功的基本保障.最佳的風(fēng)險(xiǎn)對(duì)策是在至關(guān)重要的產(chǎn)品生命周期內(nèi)進(jìn)行有效的技術(shù)風(fēng)險(xiǎn)識(shí)別、量化和控制.Erp項(xiàng)目的實(shí)施風(fēng)險(xiǎn)是由項(xiàng)目的內(nèi)在性質(zhì)所決定，是客觀存在的.風(fēng)險(xiǎn)只在一定環(huán)境條件下客觀存在的導(dǎo)致?lián)p失或損害產(chǎn)生的可以識(shí)別評(píng)估和控制的變化.風(fēng)險(xiǎn)特性:客觀性、突發(fā)性、相對(duì)性、多變性、無(wú)形性

　　Erp項(xiàng)目風(fēng)險(xiǎn)管理組織的構(gòu)建:項(xiàng)目領(lǐng)導(dǎo)小組、項(xiàng)目風(fēng)險(xiǎn)管理團(tuán)隊(duì)、軟件供應(yīng)商

　　Erp項(xiàng)目風(fēng)險(xiǎn)控制策略執(zhí)行:運(yùn)用決策樹、運(yùn)用培訓(xùn)考核機(jī)制規(guī)避人力資源調(diào)配風(fēng)險(xiǎn)外部風(fēng)險(xiǎn):政治法律風(fēng)險(xiǎn)、經(jīng)濟(jì)風(fēng)險(xiǎn)、erp系統(tǒng)功能風(fēng)險(xiǎn)、erp公司二次開發(fā)能力風(fēng)險(xiǎn)、實(shí)施人員的風(fēng)險(xiǎn)

　　Erp項(xiàng)目中的技術(shù)風(fēng)險(xiǎn)可具體分為軟件風(fēng)險(xiǎn)、硬件風(fēng)險(xiǎn)及網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn).

　　Erp項(xiàng)目軟件系統(tǒng)中存在的風(fēng)險(xiǎn):數(shù)據(jù)風(fēng)險(xiǎn)、保密風(fēng)險(xiǎn)、操作界面風(fēng)險(xiǎn)、功能設(shè)計(jì)風(fēng)險(xiǎn)

　　Erp項(xiàng)目實(shí)施中的硬件技術(shù)風(fēng)險(xiǎn):斷電、硬盤損壞等

　　Erp項(xiàng)目實(shí)施中的網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn):內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性、病毒的攻擊、互聯(lián)網(wǎng)或外聯(lián)網(wǎng)絡(luò)的攻擊