ERP系统安全风险分析.docVIP

ERP系统安全风险分析 ■四川任泽坤 责任编辑:孙红娜联系电话:O10稿信箱:shn@365mastercom ERP系统安全风险分析 部署ERP系统可以实现公司 人事,财务,生产,经营物流等数 据信息的集中和标准化管理,将 生产,经营,管理,业务归到统一 的系统平台中,可以为公司领导 及相关业务人员提供准确,规范, 及时的数据信息,为公司的战略 分析和决策提供依据. 随着ERP系统实施和应用的 不断深入,ERP系统管理和维护 人员不得不面对这样的问题:如 何加强ERP系统的安全管理和 信息数据的保密措施,提升ERP 系统的安全性,并降低安全风险? 要解决这些问题,就需要加强 ERP系统的风险管理工作,正确 识别ERP系统管理中所存在的安 全风险类型和原因. 风险识别就是在风险发生之 前挖掘出潜在的风险,并对其发 生的可能性及危害程度进行综合 评估,以便采取措施缓解或避免, 将风险所带来的危害降到最低. 霉…障 ERP数据维 我们在ERP系统安全风险识 别工作中,可以采用会议讨论(头 脑风暴法)和调查分析,得出ERP 系统运行中存在的外部原因,操 作流程不规范,人为因素,基础资 料以及其他因素等五种风险因素 即一级风险评价指标,每个风险 因素又可以细分为多个风险子因 素即二级风险评价指标. ERP系统的风险鱼刺图如图 1所示. 外部原因造成的风险 (1)电脑硬件,网络设备故障 造成无法登录ERP系统,ERP管 理业务也就无法开展. (2)电脑软件系统故障也可 能造成无法正常登录系统,访问 不了远程数据库,引发业务无法 正常开展的应用故障,这其中就 包括计算机操作系统或ERP系统 软件本身的故障. (3)由于电脑系统存在安全 操作渡程 \数据繁^下规范,准确(撮f#流程或业舞欠馋化) 豫务器无安生备辑机制数据{盘查噼,捂韵数握艳直程序 数据丢失,滞露, 失真,业务无法 芷常开展理———————业务^黉系统不熟/—_|乏丕肇———/ 州张A费事按力/———.. 基础资辩人为魏素萁他不确定因素 图1ERP系统风险鱼刺图 安全管理 露墨瑟瑟盈 漏洞,或者未及时安装防火墙和 杀毒软件,系统和网络受到来自 电脑或网络的病毒攻击,造成网 络或操作系统瘫痪,无法正常使 用系统开展业务. (4)由于电脑系统受到黑客 攻击,导致信息数据被黑客窃取, 造成重要信息的泄露. (5)远程数据库服务器缺乏 安全备份机制,或备份机制不完 善,使系统数据的完整性存在潜 在的安全隐患,一旦系统瘫痪,很 可能无法恢复数据. 操作流程方面的安全风险 (1)由于系统操作人员或系 统维护员数据录入不规范,未严 格按照系统操作流程开展ERP系 统业务,造成系统数据不准确,不 规范,不全面,不能达到集团公司 ERP系统数据存储标准. (2)业务人员在开展系统业 务时,因为疏忽,错误地选择系统 功能模块,造成系统误操作,张冠 李戴,致使系统数据失真. (3)业务人员在数据批量导 入或更新数据时,使用已过期的 数据模板或错误选择数据导入模 板,再加上数据审核不够,导致进 入系统的数据失真. 由于人为因素引起的风险 (1)由于业务人员缺乏系统 应用培训,对ERP系统操作和使 用不熟悉,无法使用系统开展日 常业务工作,数据进入系统延时. (2)由于业务人员在利用系 网管员?2011.01?I?67? 安全管理J责任编辑孙红娜联系电话:010稿信箱:shn@365mastercorn 统开展业务工作时,责任心不够, 不认真或者没有认识到人力资源 管理系统的重要性,造成系统数 据的失真. (3)ERP系统管理科室或人 员对系统运行监督检查力度不 够,业务指导不够. (4)由于ERP系统使用人员 政治素质觉悟不高,组织纪律差, 保密政策和法律法规执行力度不 够,或因出于某种利益和目的人 为造成人力资源数据泄露. (5)系统应用人员岗位的调 整频繁造成其业务性质发生改 变,随之对系统的操作水平也会 造成影响,系统应用专业技术人 员流失也会造成系统应用障碍或 无法为公司人力资源系统运行提 供技术支持. (6)ERP人力资源管理系统 管理人才流失或者系统运行维护 专业技术队伍未建立,造成公司 系统运行维护工作无法正常开 展,没有强有力的系统维护队伍 支持,也就不能为公司ERP系统 的安全稳定运行提供保障. 数据基础资料的安全风险 (1)系统建设初期所收集的 数据失真. (2)系统建设初期资料审核 人员对所采集的数据审核力度不 够,使得基础数据的质量不高. 其他因素造成的安全风险 (1)系统后期运行中人力,物 力投入不够,无法正常支持系统 运行和维护 (2)外部环境或因自然灾害 等不确定因素造成系统运行和应 用故障,甚至数据的丢失. 不同类型的风险其成