上述信息安全和岗位隔离的要求,对采购模块的实施,形成了难以逾越的障碍……
案例:忽略了安全需求的erp
a企业是国内一家从事制造建筑工程施工车辆的公司。该企业从九十年代就开始准备erp项目,并在二十世纪九十年代后期选定了软件,开始实施包括财务、分销和制造在内的整合的erp系统。
为此,a公司专门成立了erp实施小组,在专业咨询公司的协助下,经过一段时间的需求分析、流程设计、用户培训,实施工作进入了紧张的上线前数据准备的关键阶段。
这时候,采购部门对敏感的采购信息在系统中的安全性提出了质疑,包括对相关采购数据的输入、修改、批准、查询、报告、打印等,提出了一系列要求。整个采购部门有几十个从事采购相关业务的工作人员,分管几十个大类、数以万计的不同物品的相关采购工作。根据内控的要求,不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息,对其他无关部门,甚至同部门的其他采购人员,都是保密的。
在这样的内控要求下,erp用户权限的设定,不是仅在功能模块的菜单上设定权限,就能符合岗位隔离的要求的。不少安全要求,具体到需要对数据库内的数据表的字段做出相应的权限设定。岗位隔离的要求,形成了一个极其复杂的安全需求矩阵。
在系统实施工作的后期阶段,提出这样的安全要求,对erp实施小组无疑是个难题。由于事先准备不足,erp系统的功能、需求分析、流程设计、项目实施的资源,都没有充分考虑公司内控和信息安全的要求。上述信息安全和岗位隔离的要求,对采购模块的实施,形成了难以逾越的障碍,并且直接导致:
◆ 采购模块没有和其他模块一起集成上线。
◆ 应付账款模块、库存管理模块、成本计算功能的应用,都受到了很大的制约。
◆ 该erp系统的实施,没能达到产供销财务一体化的目标。
其实,该公司内其他部门也有类似的信息安全的考虑和内控的要求,只不过没有采购部门反应强烈而已。
这些问题深深困扰着a企业……
点评一:毕马威华振会计师事务所 信息风险管理部高级经理 朱恩良
● a企业的案例,由于最终用户对erp系统功能的过分关注,很大程度上淡化了对erp系统信息安全的考虑。
● 从目前国外公司的实践来看,绝大部分公司都是通过对运行中的erp系统再次实施或逐渐优化和完善信息安全管理机制,来实现erp系统的信息安全管理。这也不失为一种比较切合实际和可行的方案。
● 要建立一个良好的erp系统的信息安全管理机制, 既需要一个完善的初始化建立和运作的实施,更需要用户的参与和定期的内部信息系统审计来保障其有效性。
当很多企业老总或高层领导和erp专家在探讨erp项目成功与否的时候,常常会忽略erp系统的信息安全的问题。健全的信息安全管理是影响erp系统实施效果的重要环节。erp系统的最终用户对信息安全的担忧,会对erp系统的实施应用产生很大的负面影响。如果不能对erp系统的信息安全问题施以有效的管理,不但可能增加系统的实施成本,还可能极大地限制系统功能的应用。
上面提到的案例就是一种很典型的情况,在erp系统的实施过程中经常会遇到。我想从以下几个方面谈一谈个人的体会。
被忽视的信息安全
在信息技术的应用初期,人们对信息安全的考虑是比较初级和不完整的。除了用户进入系统的权限设定外,更多的考虑是如何降低系统的损坏和数据的丢失所带来的风险。因此,除了用户口令的有限应用外,备份技术的应用是防范风险的主要手段。无论是erp系统的产品供应商、实施服务商,还是最终用户,都更多地关注erp系统的应用功能,而较少地考虑信息安全问题。
信息安全问题具体表现在erp系统的实施应用上。过去的经验,实施小组往往是通过用户口令和权限分配,限制或允许用户进入某个功能菜单,再加上系统和数据的备份,就是erp系统的信息安全的管理架构。这是很典型的做法。
从上面的案例我们可以看到,这样的信息安全的管理架构,很难满足最终用户对信息安全的需求。只不过在当时的情况下,由于最终用户对erp系统功能的过分关注,很大程度上淡化了对erp系统信息安全的考虑。
国际标准的出台
近年来,各个国家和国际上相关的专业机构对信息安全的管理和要求越来越重视,对加强信息安全管理的呼声日趋高涨。
2001年,由信息技术治理学会 (it governance institute) 制定了“供董事会参考的it治理简介” (bOArd briefing on it governance)。该 “简介”以国际公认的信息技术监控标准《信息及相关技术监控宗旨》(cobit) 为蓝本,并以董事会、监事会、审计委员会、首席行政人员、信息总监和其它行政管理人员为对象,提出了信息技术的良好管理规范和有效的it治理的概念。
差不多在同时,以英国标准协会制定的信息安全标准bs7799为蓝本,国际标准化组织(ISO)颁布了一套全面和复杂的信息安全管理标准,ISO/iec 17799。
在全社会普遍关注信息安全的情况下,各个企业或机构都面临遵循保密标准与安全法规的要求,越来越多的经理人、董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。
在安然事件发生后,美国证监会(sec)提出了萨班斯法案(sarbans oxley act),对在美国上市的公司有了更为严格的内部控制要求,其中也包括对信息安全管理机制的内控要求。目前这些相关的公司,正根据萨班斯法案的要求,建立内部控制机制,包括对erp系统信息安全的控制管理机制,进行大规模的检查与整改。
在国内,信息安全管理,也逐渐成为社会关注的问题。不过总体上说,erp系统的信息安全管理问题,并没有引起太多的关注。
建立有效的安全管理机制
由于erp系统的实施过程相对比较复杂,在实施过程中往往很难全面顾及信息安全的要求。因此目前使用erp系统的公司中,其erp系统很可能是整个公司的信息系统中信息安全管理较薄弱的的环节。而erp系统却又涵盖了公司最重要和最敏感的信息资源。因此,如何建立有效的erp系统信息安全管理机制,从而增强企业识别、防止、减少和控制组织信息安全风险的能力,已经成为不容忽视的问题。
从目前国外公司的实践来看,绝大部分公司都是通过对运行中的erp系统再次实施或逐渐优化和完善信息安全管理机制,来实现erp系统的信息安全管理。这也不失为一种比较切合实际和可行的方案。
有一家在美国纳斯达克上市的软件企业,其中国公司在信息系统上线一个月后,发现在销售和客户管理子系统中,最终用户岗位隔离的系统设置有缺陷,于是再次实施了信息安全管理机制。项目小组通过对安全需求的深入分析,决定采用系统用户化的方式,在系统中增强最终用户岗位隔离的相关功能,并将安全需求在系统设置中落实到位。
经过一个月时间的努力,系统的信息安全管理机制的实施得到了相关业务部门的认可,信息系统的运作有了很大的改善。
这个例子也给我们一个启示。目前erp咨询服务市场的竞争相当惨烈,其实对于erp的服务商来说,与其被动地竞相降价以吸引客户,不如提供具有特色的实施服务,比如提供为客户建立相关的信息安全的管理机制,设定最终用户岗位隔离的用户管理体制等服务,也许更有竞争力。当然这也需要erp产品商和服务商在信息安全领域多下苦功,为最终用户提供更好的erp系统信息安全管理解决方案。
这里想强调的是,建立良好的erp系统的信息安全管理机制,不仅是erp产品供应商的问题,也不仅仅是服务商的问题,它还是一个用户参与的管理过程。建立一个良好的erp系统的信息安全管理机制, 既需要一个完善的初始化建立和运作的实施,更需要用户的参与和定期的内部信息系统审计,来保障其有效性。
点评二:国家信息资源管理北京研究基地 高级顾问 武秋和
● 从实战来看,项目小组和咨询公司没有对新问题采取有效的解决方案;从项目规划、实施来看,项目小组的应变能力还存在一定的问题。
● 本项目最值得探讨的问题是:企业的信息安全与企业信息管理之间的均衡问题,即如何在兼顾信息安全的前提下,保持最大限度的信息开放性。
● 本案例对信息安全问题的处理过于简单化,似乎一切活动都要为信息安全让路,从而使企业的erp项目及未来工作受到极大损害。
国内企业实施erp项目,不成功的案例非常多,无论企业如何精心计划,随着时间技术的发展、企业的变革、新的管理模式的采用,总有一些意想不到的问题出现。当然,主要问题是由于项目实施前缺乏必要的需求分析和与应用部门的沟通所致。
a企业的erp项目出现的问题是,采购部门在项目的后期提出了信息安全问题。对于项目小组和咨询公司来说,来自采购部门的信息安全问题可能是一个新的课题。从实战来看,项目小组和咨询公司没有对新问题采取有效的解决方案;从项目规划、实施来看,项目小组的应变能力还存在一定的问题。
在项目实施过程中,项目小组在实施需求分析、流程设计和软件原型上,没有留给采购部门对需求提出修改意见的余地和时间,其他部门或许也是一样。由于需求方的水平不一样,提出的问题也不相同,而项目在实施的过程中必须得到需求方的确认。
从现在的技术角度来看,权限管理、字段权限设定都不是难题,而这些恰好成为a企业的erp项目实施中的疑难之一,这除了与项目的时间、经费有很大关系外,项目团队的专业技术水平也应受到质疑。
本项目最值得探讨的问题是,企业的信息安全与企业信息管理之间的均衡问题,即如何在兼顾信息安全的前提下,保持最大限度的信息开放性。抛开网络病毒、硬件、黑客等类型信息安全问题不谈,如何解决企业商业秘密管理和企业信息交流的矛盾是非常有意义的事。
对于企业业务流程来说,信息安全管理是目前企业普遍忽视的问题,一般类似于a企业的企业,从采购、成本核算、库房管理、财务等的信息流程来看,所有参加人员,都有可能了解商品的价格或其它与企业的业务流程有关的信息,而且在工作当中也必须接触到这些信息,否则无法从事正常、高效的工作,企业业务信息已不仅仅是、也不应该是采购部门内部保密的事了。
a企业的erp项目是一个内部项目,解决这样的问题,企业可以通过建立保密制度,与相关业务人员签署信息安全协议,来保证公司内部商业信息的安全性。有些信息安全问题不能靠物理隔断来解决,因为技术只是经济、法律手段的一种。
而事实上,目前多数企业在实施信息系统时,一旦涉及信息安全问题,思考的仅仅是如何在技术层面来弥补安全漏洞问题,而全然忽略了员工的信息安全意识的培育,最终导致的是用于信息安全的成本看涨,信息安全防备手段对外起不到应有的保护措施,而对内给员工的日常工作带来诸多不便。
本案例对信息安全问题的处理过于简单化,似乎一切活动都要为信息安全让路,从而使企业的erp项目及未来工作受到极大损害。对于这样的问题,应开展信息安全审计与评估,在采购部门强调信息安全问题的同时,要准确评估这种措施对企业造成的损失。同时,针对这些问题:是采用erp的科学管理理念,还是保留采购当中的黑箱操作或传统方法;企业领导是否可以容忍非规范化的企业文化的出现,项目小组必须审时度势地加以考虑,这是项目在兼顾安全、业务支持的基础上,顺畅地实施项目的前提。
点评三:光明乳业股份有限公司 信息中心总监 赵春雨
● 数据保密是相对的,企业需要在业务、成本、共享之间寻求一个平衡点。改变保密方式和范围需要较长时间和一个痛苦的经历。
● 本案例冲突的根本症结是:在erp实施初期没有规划好流程和数据的安全标准。
● 过度的保密会严重阻碍企业学习、创新、知识积累和快速、持久的发展;没有数据安全措施的企业是不安全和不稳定的。
erp系统的基本要求是打破企业内部的“墙”,实现企业内部管理的规范化、规模化,让各个部门共享流程和数据。另外,企业内部数据互相保密是一个正常要求。这两个基本的需求在本案例中形成了强烈的冲突。总的来看,数据保密是相对的,企业需要在业务、成本、共享之间寻求一个平衡点。通常,数据保密的范围与企业文化、企业规模、市场规模、运作方式有密切的关系,改变保密方式和范围需要较长时间和一个痛苦的经历。
本案例的冲突看起来较为简单,可能因为这个主要矛盾掩盖了其他次要矛盾。这个主要矛盾的根本症结是:在erp实施初期,没有规划好流程和数据的安全标准。
由于企业在历史上的运作经验和环境,实际上一般存在一些“敏感”数据,这些“敏感”数据中,有许多是企业关键数据。要想解决这个问题,需要一些标准化工作:
1、 重新分类、整理和理清企业运行中的数据。
2、 识别出哪些是敏感的数据,列出可扩散的范围。
3、 从敏感数据中识别出哪些是关键数据,列出必须控制的范围。
4、 识别出哪些数据是必须共享的数据,列出共享的范围。
5、 识别敏感且关键的数据与必须共享的数据范围的交集,进行评估,划定分界线。
6、 如果矛盾突出,如案例中所述的情况,就需要企业高层领导重新评估企业的核心能力与关键且敏感的数据的关系,关键且敏感的数据共享后的损失和额外的价值,并做出决策。
从企业实施erp的过程来看,数据保密通常是变革管理没有做好的特征之一,是用户阻碍或延缓变革的重要借口。企业运作对保密数据的要求在不同的阶段是有区别的,小规模阶段或市场门槛较低,保密要求较高;企业规模较大、需要协作、市场门槛高,共享的要求较高;“人治”的企业保密性要求高,“法治”的企业共享要求高。企业高层领导和项目组需要综合评价这些因素,制定符合企业发展规律的保密和共享方案,这样可以从根本上消除这个问题。
项目得到如此结果,另外一方面的因素是技术的支持问题,但是技术支持的问题到最后是成本问题。erp软件以“共享”为出发点,当然也考虑了“保密”问题。针对每个企业,这两者之间的界限是不同的。实际上,可以用技术或成品软件支持这些需求,但是,理智的选择保密与共享的范围更为重要。
过度的保密会严重阻碍企业学习、创新、知识积累和快速、持久的发展;没有数据安全措施的企业是不安全和不稳定的。综合评估和平衡这些因素,是企业高层领导必须关注的内容。企业的变革经常会影响、调整这些因素,这是一个日常活动和任何项目执行中必须考虑的问题。
在本案例中,需要企业高层领导重新认真审视和评估这些“敏感”流程和“敏感”数据的“价值”和“风险”,按照企业的发展规律、社会环境进行调整和改革;其中特别需要关注流程和数据“共享”的价值。先进行企业的业务流程的保密和共享的执行工作,而后再进行系统技术方面的调整。
征集
“案例点评”刚刚起步,今后我们还要对这个栏目倾注更大的力量。“案例点评”栏目,通过“案例”,把一些在企业it运营中遇到的困境或两难问题抽象出来,并设置到一个日常工作的虚拟场景中;“点评”邀请不同背景的专家,多角度对案例进行点评和解剖。点评强调的不是答案的对与否,而是思考问题的方式和看待问题的角度。
本刊欢迎广大的it行业用户、咨询公司、it厂商与我们分享你们的案例或是提供案例的线索,“三人行” 随时恭候。联系方式:wangyg@staff.ccidnet.com;liumei@ccu.com.cn;hm@ccu.com.cn; ycy@ccu.com.cn。