大数据环境下，如何进行企业信息化过程中的数据安全管理？

制定MIS战略规划的方法有多种，主要有关键成功因素法（Critical Success Factors, CSF）、战略目标集转化法（Strategy Set Transformation，SST）和企业系统规划法（Business System Planning, BSP）等三种。 还有几种用于特殊情况，或者作整体规划的一部分使用，如企业信息分析与集成技术（BIAIT ）、产出／方法分析 (E/MA )、投资回收法（ROI）、征费法（Chargeout）、零线预算法、阶石法等。

一、关键成功因素法（CSF）

1970年哈佛大学William Zani 教授在MIS模型中用了关键成功变量，这些变量是确定MIS成败的因素。 过了10年，麻省理工学院John Rockart教授把CSF提高成为MIS的战略。应用这种方法，可以对企业成功的重点因素进行辨识，确定组织的信息需求，了解信息系统在企业中的位置。所谓的关键成功因素，就是关系到组织的生存与组织成功与否的重要因素，它们是组织最需要得到的决策信息，是管理者重点关注的活动区域。不同组织、不同的业务活动中的关键成功因素是不同的，即使在同一组织同一类型的业务活动中，在不同的时期，其关键成功因素也有所不同。因此，一个组织的关键成功因素 应当根据本组织的判断， 包括企业所处的行业结构、企业的竞争策略、 企业在本行业中的地位、 市场和社会环境的变动等。

CSF是通过分析找出企业成功的关键因素， 然后再围绕这些关键因素来确定系统的需求，并进行规划。其步骤如下：

（1）了解企业和信息系统的战略目标。

（2）识别影响战略目标的所有成功因素。

（3）确定关键成功因素。

（4）识别性能指标识别和标准。

确定关键成功因素所用的工具是树枝因果图。例如，某企业有一个目标，是提高产品竞争力，可以用树枝图画出影响它的各种因素，以及影响这些因素的子因素，见图421所示。

图421 树枝图

如何评价这些因素中 哪些因素是关键成功因素， 不同的企业是不同的。对于一个习惯于高层人员个人决策的企业，主要由高层人员个人在此图中选择。对于习惯于群体决策的企业，可以用德尔斐法或其他方法把不同人设想的关键因素综合起来。在高层中应用关键成功因素法，一般效果好，因为每一个高层***员日常总在考虑什么是关键因素。一般不大适合在中层领导中应用，因为中层领导所面临的决策大多数是结构化的，其自由度较小，对他们最好应用其他方法。

二、战略目标集转化法（SST）

1978年William King把组织的战略目标看成是一个“信息集合”，由使命、目标、战略和其他战略略变量等组成。战略规划过程是把组织的战略目标转变为MIS战略目标的过程。如图422所示。

图422 战略目标集转化法

这个方法的第一步是识别组织的战略集，先考查一下该组织是否有写成文的战略或 长期计划，如果没有，就要去构造这种战略集合。

第二步是将组织战略集转化成MIS战略，MIS战略应包括系统目标、系统约束以及设计原则等。这个转化的过程包括对应组织战略集的每个元素识别对应MIS战略约束，然后提出整个MIS的结构。最后，选出一个方案送总经理。

三、企业系统规划法（BSP）

企业系统规划法（Business System Plane， 简称BSP）是由IBM公司于20世纪70年代提出的一种企业管理信息系统规划的结构化的方法论。它与CSF法相似，首先自上而下识别系统目标， 识别业务过程，识别数据，然后自下而上设计系统，以支持系统目标的实现。如图423所示。

图423 BSP方法

1．主要步骤

BSP法从企业目标入手， 逐步将企业目标转化为管理信息系统的目标和结构。它摆脱了管理信息系统对原组织结构的依从性，从企业最基本的活动过程出发，进行数据分析，分析决策所需数据，然后自下而上设计系统，以支持系统目标的实现。BSP主要步骤如图424所示。

图424 BSP主要步骤

（1）研究开始阶段。成立规划组，进行系统初步调查，分析企业的现状、了解企业有关决策过程、组织职能和部门的主要活动、存在的主要问题、 各类人员对信息系统的看法。 要在企业各级管理部门中取得一致看法，使企业的发展方向明确，使信息系统支持这些目标。

（2）定义业务过程（又称企业过程或管理功能组）。定义业务过程是BSP方法的核心。 所谓业务过程就是逻辑相关的一组决策或活动的集合，如订货服务、库存控制等业务处理活动或决策活动。业务过程构成了整个企业的管理活动。识别业务过程可对企业如何完成其目标有较深的了解，可以作为建立信息系统的基础。按照业务过程的所建造的信息系统，其功能与企业的组织机构相对独立，因此，组织结构的变动不会引起管理信息系统结构的变动。

（3）业务过程重组。在业务过程定义的基础上，分析哪些过程是正确的；哪些过程是低效的，需要在信息技术支持下进行优化处理；哪些过程不适合计算机信息处理，应当取消。检查过程的正确性和完备性后，对过程按功能分组，如经营计划、财务规划、成本会计等。

（4）确定数据类。 定义数据类是BSP方法的另一个核心。所谓数据类就是指支持业务过程所必须的逻辑上相关的一组数据。例如，记账凭证数据包括了凭证号、借方科目、贷方科目、金额等。一个系统中存在着许多数据类，如顾客、 产品、 合同、库存等。数据类是根据业务过程来划分的，即分别从各项业务过程的角度将与它有关的输入输出数据按逻辑相关性整理出来归纳成数据类。

（5）设计管理信息系统总体结构。功能和数据类都定义好之后，可以得到一张功能／数据类表格， 该表格又可称为功能／数据类矩阵或U/C矩阵。 设计管理信息系统总体结构主要工作就是可以利用U/C矩阵来划分子系统，刻画出新的信息系统的框架和相应的数据类。

（6）确定子系统实施顺序。由于资源的限制，信息的总体结构一般不能同时开发和实施，总有个先后次序。划分子系统之后，根据企业目标和技术约束确定子系统实现的优先顺序。一般来讲，对企业贡献大的、需求迫切的、容易开发的优先开发。

（7）完成BSP研究报告，提出建议书和开发计划。

2．子系统的划分

BSP方法是根据信息的产生和使用来划分子系统的， 它尽量把信息产生的企业过程和使用的企业过程划分在一个子系统中，从而减少了子系统之间的信息交换。划分子系统的步骤如下：

（1）作U/C矩阵。 利用定义好的功能和数据类作一张功能／数据类表格，即U/C矩阵，如表421所示。矩阵中的行表示数据类，列表示功能，并用字母U（use）和 C(create)表示功能对数据类的使用和产生， 交叉点上标C的表示这个数据类由相应的功能产生，标U的表示这个功能使用这个数据类。例如，销售功能需要使用有关产品、客户和订货方面的数据，则在这些数据下面的销售一行对应交点标上U； 而销售区域数据产生于销售功能，则在对应交叉点上标C。

表421 U/C矩阵（一）

（2）调整功能／数据类矩阵。开始时数据类和过程是随机排列的，U、C在矩阵中排列也是分散的，必须加以调整。

首先，功能这一列按功能组排列，每一功能组中按资源生命周期的四个阶段排列。功能组指同类型的功能，如“经营计划”、“财务计划”属计划类型，归入“经营计划”功能组。

其次，排列“数据类”这一行，使得矩阵中C最靠近主对角线。因为功能的分组并不绝对， 在不破坏功能成组的逻辑性基础上，可以适当调配功能分组，使U也尽可能靠近主对角线。表731的功能/数据类矩阵经上述调整后，得到表422表示的功能／数据类矩阵。

（3）画出功能组对应的方框，并起个名字，这就是子系统，见表422所示。

（4）用箭头把落在框外的U与子系统联系起来， 表示子系统之间的数据流。例如，数据类“计划”，由经营子计划系统产生，而技术准备子系统要用到这一数据类，见表422。

四、三种系统规划方法的比较

关键成功因素法（CSF）能抓住主要问题， 使目标的识别突出重点。由于高层领导比较熟悉这种方法，所以使用这种方法所确定的目标，高层领导乐于努力去实现。这种方法最有利于确定企业的管理目标。

战略目标集转化法（SST）从另一个角度识别管理目标， 它反映了各种人的要求，而且给出了按这种要求的分层，然后转化为信息系统目标的结构化方法。它能保证目标比较全面，疏漏较少，但它在突出重点方面不如前者。

企业系统规划法（BSP）虽然也首先强调目标， 但它没有明显的目标导引过程。它通过识别企业“过程”引出了系统目标，企业目标到系统目标的转化是通过业务过程／数据类等矩阵的分析得到的。由于数据类也是在业务过程基础上归纳出的，所以我们说识别企业过程是企业系统规划法战略规划的中心，而不能把企业系统规划法的中心内容当成U/G矩阵。

以上三种规划方法各有优缺点， 可以把它们综合成CSB方法来使用，即用CSF方法确定企业目标，用SST方法补充完善企业目标，然后将这些目标转化为信息系统目标， 再用BSP方法校核企业目标和信息系统目标，确定信息系统结构。这种方法可以弥补单个方法的不足，较好地完成规划，但过于复杂而削弱单个方法的灵活性。

管理信息系统战略规划的概念是帮助管理层建立以组织战略为导向、以外界环境为依据、以业务与IT整合为重心的观念，从而正确定位IT部门在整个组织的作用，保证信息系统的战略目标能够和组织发展目标相协调。

相关简介（管理信息系统的战略规划）

①为了保障规划目标能够在企业内推行，需要有信息化领导小组保证总体战略目标能够从上而下贯彻执行，使决策层的意图能够贯彻到企业的执行层，并通过执行层提供决策和评估活动所需要的信息。下层应用要和企业总体目标采用相同的原则，提供评估业绩的衡量方法，从而保证信息系统目标的实现。

②策略与流程的目标是通过最大限度的控制达到公司设定的目标。在进行外部审计和内部管理时，必须考虑管理策略与流程。管理者支配组织如何划分成若干控制组。为准确评估信息系统审计范围，信息系统审计师要了解现有的策略与流程手册。

③策略与流程应该是完备的文档，描述职能的范围、活动，以及和其他职能的联系等。所有策略和流程都应该被组织成标准化手册，此手册与组织目标紧密相连。

目前中国企业大多数是中小型企业，这些企业整体信息化进程不高、意识薄弱，企业信息化建设和信息安全现状令人担忧， 主要表现在以下几个方面：

1 信息安全管理制度不完善

公司对信息化重视程序不够，内外部的网络使用管理比较混乱，普遍缺少正确的信息化观念。很多公司只配备了一个网络管理员的岗位，负责简单的桌面运维和IT设备维护等工作，更别提建立一套信息安全管理制度了。对于员工的上网行为也极少有效管控，容易造成网络病毒的攻击，存在安全隐患。

2 缺乏信息安全意识

信息安全不光是由IT部门来制定实施的，而是源于每一个员工、每一台设备、每一台终端、每一个系统，只有控制到最细小的颗粒度，安全保护才能达到最大化，达到每一层的安全保护。大部分企业管理架构的信息安全保护意识不足，全员没有进行相关的安全教育和培训。

3 太过重视项目建设，忽略安全建设

很多企业经营者认为，只要建设了几个项目，企业就有了信息化。这也是长期存在企业主大脑中的固有思维，都太过于重视单个信息系统的项目建设，而忽略整体IT战略的规划，更没有信息安全建设一说。

4 信息系统陈旧落后

过于陈旧的系统设备、过于老化的系统软件、不及时的补丁更新等都会导致信息安全漏洞，使安全风险加大。安全漏洞防范机制不健全、对于紧急事故处理不及时，还有一个就是企业舍不得投资花钱，最终一旦出了安全事故，会付出比设备和系统本身更昂贵的成本。

因此，为了谋求企业的长远发展，企业应该在经营层面制定信息安全体系。企业IT部门要建立多层次的安全防护体系，制定和完善相应的信息安全管理策略，要以预防为主、综合管理、人员防范和技术防范相结合的原则，具体措施建议以下：

1 构建并完善信息安全管理制度

重视IT部门的建设，将IT部门的定位由服务部门转为业务部门，对IT部门的岗位职责必须进行统一规划和分工，分工明确，各司其职。保障管理的效率性，防止多头控制和执行不力的现象出现，保障权责统一。设定使用权限，未签订允许授权单不得进入计算机信息网络或者使用计算机信息网络资源，将安全信息工作落到实处。

2 提升全员信息安全意识

建立信息安全培训教育制度，定期培训，开展讲座。组织全体工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高自上而下工作人员的维护网络安全的警惕性和自觉性。一旦发现从事危害计算机信息网络安全的 *** 作活动的，承担相应的处罚责任，签订安全信息保密承诺书。从各部门级出发，针对这些信息隐患制订安全防范措施。

3 及时改进安全方案，调整安全策略

随着信息技术的不断进步和发展，企业的信息安全策略也要因时而变。面对各种新的未知技术和威胁，不是所有的信息安全问题都可以一次性解决，人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的，不可能一次就发现所有的安全问题。

综上，信息安全是相对的，不是绝对的，是一个伴随着企业信息化应用发展而发展的永恒课题。所以要以战略的角度来考虑，从信息建设、人员配置、机制流程等方面入手，制定有效的管理策略与措施，加强应对信息安全事件的应急处置能力，维护基础信息网络、重要信息系统和重要控制系统的安全，保障公司各项生产经营活动安全的顺利开展。

策略是组织的高层文档，代表组织的哲学和高层管理者以及业务过程所有者的战略思考。文档必须清楚、简洁以保证有效性。管理者必须创建一个积极的控制环境，承担制定和开发覆盖战略目标的策略，将策略文档化，并负责对文档的宣传和策略实施的控制。管理者必须采取必要步骤保证受某一具体策略影响的人员能够接受该策略，并且能够理解和运用它的内容。

除了公司策略为组织奠定战略基调以外，各个部门也需要定义更低层次的策略。这些策略从高层策略演化而来，是对上层策略的细化，主要应用于 *** 作层，保证策略的可实施性。低层策略可以采取自上而下的方法，这样可以保证组织的战略一致性。然而，有些组织也自下而上的方法，即优先定义 *** 作层策略，将公司策略作为一个后续的开发和对现有 *** 作策略的综合。这种策略方式看起来更实用，但是却容易产生策略之间的冲突，无法达成上下一致性的策略。

组织中的高层管理者需要审查所有策略。策略需要实时更新以反映组织或部门的新技术及明显的变化。

下面是有关IT战略的一些资料，供您参考！

1IT战略的定义

IT战略规划（IT Strategy Planning，ITSP）是在诊断和评估企业信息化现状的基础上，制定和调整企业信息化的指导纲领，争取企业以最适合的规模，最适合的成本，去做最适合的信息化工作。首先是根据本企业的战略需求，明确企业信息化的远景和使命，定义企业信息化的发展方向和企业信息化在实现企业战略过程中应起的作用。其次是起草企业信息化指导纲领。它代表着信息技术部门在管理和实施工作中要遵循的企业条例。是有效完成信息化使命的保证。然后是制定信息化目标。它是企业在未来几年为了实现远景和使命而要完成的各项任务。

2IT战略的意义

战略一致性模型（Strategy Alignment Model）是John Handerson于1994年在哈佛商学院提出的一套思考架构，其主要目的在于帮助企业如何检查经营战略与信息架构之间的一致性。

路线1：1组织与业务流程；2信息架构

当企业处在信息化管理的初级阶段，业务部门根据现有的业务流程和组织直接提出信息化需求，信息技术部门按照需求实施。如，财务部门提出财务电算化的需求，运作部门提出库房管理的需求，信息技术部门会分别独立实施。

路线2：1经营战略；2组织与业务流程；3信息架构

当企业处在信息化管理的中级阶段，公司会指定整体的经营战略，业务部门会根据公司经营战略和目标的指导，对现有的业务流程和组织进行变革（业务流程重组），然后由不同的业务部门分别提出信息化需求，由信息技术部门分别独立实施。

路线3：1经营战略；2信息技术战略；3信息架构。

当企业处在信息化管理的高级阶段，公司会根据整体的经营战略，通盘考虑各业务部门的信息化需求，制定整体的信息化战略，统一规划，分步实施。

3IT战略的内涵

通常而言，信息技术战略规划（IT Strategic Planning）包括两个部分：信息技术战略（IT Strategy）的制定和信息技术行动计划（IT Action Plan）的制定。前者偏重战略方向，后者具体行动计划。

31 信息技术战略

信息技术战略（IT Strategy）是企业经营战略的有机组成部分，和财务战略、人力资源战略、运作战略等一样，是公司的职能战略。它是关于企业信息技术职能的目标及其实现的总体谋划。对于大的集团公司而言，子公司或大的业务单元（Business Unit）也会有其相对独立的信息技术战略。如图2所示。

32 信息技术行动计划（IT Action Plan）

信息技术行动计划（IT Action Plan）是落实信息技术战略（IT Strategy）而制订的中长期的详细行动计划，它包括：

1 信息化项目进程：未来2-3年信息化项目的投资进程及项目之间的逻辑关系

2 项目描述和投资分析：每个项目的具体描述和ROI(投资回报率)分析

3 信息化核心能力发展计划：为实现上述信息化进程，企业应相应具备的核心能力及其培养计划，同时也会涉及公司的IT资源策略：如外包策略、自主开发等。

33 IT战略的方法

信息技术战略的制定分为三个阶段：项目启动阶段、信息技术战略制定阶段、信息化行动计划制定阶段，如图3所示：

第一阶段：项目启动阶段

1项目启动：确定信息技术战略规划项目的目标范围、组织结构和计划。

第二阶段：信息技术战略制定阶段

通过从业务（2理解业务战略和描述业务模型和3定义高阶流程和运作模型）和IT（4信息化现状调查与评估和5信息技术趋势和最佳实践分析）两条线索进行分析，制订企业信息技术战略（6信息技术战略制定），包括信息技术的使命、远景目标、中长期目标和相应的策略路线。

第三阶段：信息化行动计划制定阶段

根据已制订的信息技术战略目标和现状进行差距分析（7现状与未来差距分析），并制订消除差距的行动计划（8信息技术行动计划制订），包括项目进程、投资分析和相应核心能力培养计划。

整个信息技术战略规划过程中，1项目启动、6信息技术战略制定和8信息技术行动计划制订为项目重要的里程碑（Milestone）。

希望提供的信息对您有所帮助！

以上就是关于信息系统战略规划有哪些方法全部的内容，包括:信息系统战略规划有哪些方法、管理信息系统战略规划的概念、大数据环境下，如何进行企业信息化过程中的数据安全管理等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！