面臨的挑戰(zhàn)是相同的，產品管理同樣面臨怎樣保證產品適應市場的變化、客戶的需求，同時還要在長期的應用中保持穩(wěn)定。要達到這樣的要求，從本質上講，規(guī)劃是根本，但從日常管理上講，完備的配置管理是保障。

軟件配置管理的目的是在軟件系統(tǒng)的整個生存周期過程中建立和維護軟件項目產品的完整性和一致性。具體講，涉及三個方面：版本管理、變更管理和過程支持，有效地版本管理要能夠的標示系統(tǒng)的變化，變化要可追溯；變更管理要記錄每次變化的原因，或是Bug，或是需求，建立變更和系統(tǒng)版本之間的聯(lián)系，保證系統(tǒng)的變更是受控的。

3、    信息系統(tǒng)建設中應規(guī)劃風險控制支持功能

企業(yè)在引入信息系統(tǒng)時，應將信息系統(tǒng)作為一個風險源，對業(yè)務流程規(guī)劃時，應考慮其影響，根據(jù)效益原則進行風險控制。在建設信息系統(tǒng)時，需明確提出建立必要的風險控制措施，或從制度、或從信息系統(tǒng)自身。例如：系統(tǒng)對外報出的數(shù)據(jù)，在報出前完成和原始數(shù)據(jù)的核對；自動處理的業(yè)務，階段性的進行核查。相應的信息系統(tǒng)要提供合適的功能支持完成此類工作。

有了這樣的手段，在各部門崗位中再輔以恰當?shù)膷徫宦氊熣J定，業(yè)務崗位工作職責中納入風險控制要求，業(yè)務部門對業(yè)務執(zhí)行結果負責。信息系統(tǒng)建設和業(yè)務部門日常工作之間建立責任推動機制，相互配合，相互促進，實現(xiàn)信息系統(tǒng)風險控制工作的良性發(fā)展。

4、    建立企業(yè)信息安全審計制度

上面討論的方法僅僅是一些針對性的辦法、措施，上升到整個企業(yè)的高度，依然無法有效地保證企業(yè)的信息安全。因為這些辦法都體現(xiàn)為部門的行為，行為的選擇具有主觀性、靈活性的特征，只有通過企業(yè)的制度建設來約束行為，才能夠保證行為方向的一致和有效，因此企業(yè)的信息安全保障需要通過建立一套有效的控制制度來實現(xiàn)。

在制度建設上，企業(yè)信息系統(tǒng)審計制度是個比較好的選擇，其中就包括了信息安全的審計。企業(yè)可在適當?shù)臅r機，逐步引入審計制度，通過第三方或內部獨立的審計機構對企業(yè)的信息安全工作周期性的進行審計，出具審計報告，形成對信息安全的客觀評價，根據(jù)評價來指導、監(jiān)督信息安全的建設。

這個方面業(yè)界已經有了成熟的信息管理審計的標準和方法，影響力比較大主要有COBIT和ISO17799。COBIT是信息系統(tǒng)審計與控制協(xié)會公布的標準，全稱叫“Control Objectives for Information and Related Technology”。COBIT將IT過程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個三維的體系結構。ISO17799的前身是英國國家標準局制定的BS7799-1《信息安全管理實踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》，目的是幫助銀行在組織中建立一個初步的、易于實施和維護的安全管理框架。后來BS7799-1已被國際標準化組織采納成為ISO17799。該標準包含100多個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素。這100多個控制措施被分成10個方面，成為組織實施信息安全管理的實用指南，這10個方面分別是：方針、安全組織、信息分類與控制、人事安全、物理與環(huán)境安全、通信與運營安全、訪問控制、系統(tǒng)開發(fā)與維護、商務可持續(xù)運營、法律符合。

這些相關標準對系統(tǒng)安全管理分析得比較透徹。個人觀點，全面引入標準在企業(yè)中實施，難度非常大，可行的辦法是：參照標準，基于企業(yè)現(xiàn)狀，又針對性的選擇加強管理的措施，由點及面，逐步推行應用。大家有興趣的話，可以學習一下。

總結：

    信息化是企業(yè)改革的一把利器，可以制敵，同樣也可傷己。企業(yè)在引入信息系統(tǒng)同時，迫切需要加強自身能力的建設，唯此才可達到信息化建設的目的——推動企業(yè)發(fā)展。轉貼于：http://www.vanceur.cn

    項目經理勝任力免費測評PMQ上線啦！快來測測你排多少名吧~

    http://www.vanceur.cn/pmqhd/index.html