企业信息资产管理中问题分析.docVIP

企业信息资产管理中问题分析 　　【摘要】文章分析了企业信息资产管理现状，根据国网公司系统信息化建设与发展需要，提出了规范信息资产管控流程的具体措施，对加强企业信息资产管理、信息网络安全管理和信息系统运行维护，具有较好的借鉴和指导作用。 　　【关键词】信息资产；管理；流程；措施 　　【中图分类号】F273.4 　　【文献标识码】A 　　【文章编号】1672—5158（2012）10-0130-01 　　1　引言 　　信息资源是指企业生产及管理过程中所涉及到的文档、数据以及生产和承载数据的软硬件系统（设备）的总和。国务院颁发的《2006-2020年国家信息化发展战略》指出：“进入21世纪，信息资源日益成为重要生产要素、无形资产和社会财富”，正式明确信息是一种资产。 　　信息资产是指由企业拥有或者控制的、能够为企业带来经济利益的信息资源，企业信息资产具有来源渠道多、更新周期快、分布范围广、流转频率高、公私通用性强、配件调换方便等特点，因此，企业信息资产管理，既有别于传统意义上的固定资产管理，也不同于ERP（企业资源计划）、EAM（企业资产管理）等系统中的资产管理概念，它在具备常规企业资产管理特征的同时，更注重于资产的识别及其动态的管理，进而为ISMS（信息安全管理体系）提供准确、可靠的识别信息，为企业信息和承载信息的网络环境、终端设备及业务应用的安全稳定运行提供基本保障。 　　2　信息资产管理现状分析 　　随着企业信息化水平的不断提高，信息资产管理对信息网络安全管理与信息系统运维管理的影响越来越大。为此，国家电网公司下发了“信息计划（2008／37号文件”，将信息资产中的物理资产和软件分为7大类31小类（不包括复印机、照相机、录像机等办公设备和移动存储介质），要求建立包括设备序列号及各种性能参数的资产信息数据库和设备台账，并定期统计、上传信息资产报表，其目的是实现企业信息资产“账、卡、物”一致和资产存在状态“可控、在控、能控”，以满足信息安全管理需要。 　　同时，国网公司还通过信息安全技术督查和信息网络综合运维监管系统，进一步加强了企业信息资产监管工作力度。尽管如此，我们的信息资产管理还是存在着制度不健全、台账不完整、存在状态不清楚、报表数据不准确等问题，不能满足企业网络及信息安全管理需要，主要原因是： 　　第一，信息资产的所有权与控制权分离，管理手段落后、监管乏力。长期以来，企业信息资产一直是二级单位使用、信息部门统计、财务部门监管，实际上是二级单位在行使常用信息资产的调配控制权。资产管理、统计报表、配置审批相互脱节，管配置的不掌握资产的配置情况和用户需求，管资产的不知道资产的存量情况和存在状态，信息管理部门则是无法全面掌握资产的来源、数量、配置及具体使用情况。 　　第二，信息资产来源渠道多、配置变化快，统计报表不能真实反映企业信息资产现状。企业信息资产除正常计划购置外，还有工程项目配套的、业务应用系统建设附带的、推广应用项目配备的、工作需要特批的、主管部门下发的、其它费用变通的等等，由于没有有效的归口管理制度和专职信息资产管理人员，信息管理部门不能完全掌握资产来源情况，现有信息资产报表不能真实反映企业信息资产的实际情况，更不能为信息安全管理提供准确、可靠的数据保证。 　　第三，信息（数据库和数据文件）管理近乎空白，企业数据资源浪费严重。现行的信息资产管理还局限在物理资产（含软件）管理的层面上，对其它资产，尤其是最为重要的资产——信息的管理，还没有纳入信息资产管理工作中。企业信息化过程中产生的大量运行数据，大都是根据业务应用情况分别存贮，作为历史数据保存下来，并形成一个个信息孤岛。业务系统升级或更新改造后，许多历史数据没有导入新系统，而是随着原系统的报废而被束之高阁，并将随着业务管理人员的更新和时间的流逝而被遗弃。 　　3　规范管理信息资产的具体措施 　　规范信息资产管理流程、完善信息资产管理措施，是提高信息安全技术督查管理水平、提高企业信息网络安全可靠性的基础和保证。 　　3.1　健全制度、规范流程是信息资产“可控、在控、能控”的保证。 　　根据国网公司资产全寿命周期管理、信息系统运行维护工作规范、信息资产统计报表、信息安全督查规范等文件要求，梳理工作内容与管理流程、明确岗位职责与业务关系，建立以“信息资产数据库”为核心、信息管理部门归口负责、专人管理的企业信息资产管理与考核体系，明确相关部门的职责、权限和义务，确保信息资产管理部门与物资采购、财务核算、人力资源、系统运维等部门齐抓共管、密切配合，实现企业信息资产管理与“人财物集约化”、“信息网络综合运维监管系统”的在线联动、信息共享。 　　3.2　集中管控、统一调配是信息资产台账准确、“账、卡、物”一致的关键。 　　企业信息资产集中管控