业务信息系统分析方法与流程.docx

业务信息系统分析方法与流程 信息系统现状调研包括了信息系统描述和信息系统分析两方面的内容。信息系统描述刻画信息系统面貌和特性，信息系统分析刻画信息系统的技术体系和管理体系。信息系统描述包括了数据采集、汇总整理、沟通澄清等过程。信息系统分析基于信息系统描述进行，包括了数据提炼、梳理分析、沟通澄清等过程。 信息系统描述 信息系统应从系统的业务目标、业务特性、技术特性、管理特性及附属特性五个方面描述。其中技术特性又可以分为系统特性（侧重于系统的设计，与实现无关）、实现特性（实现系统设计的软硬件环境）、管理特性又可分为技术管理和制度管理两个方面。 1）业务目标：了解客户组织的使命、信息化发展战略及战略目标，以明确支持组织完成其使命的信息系统的业务目标。 2）业务特性：了解信息系统提供的业务服务，包括业务用户、业务功能、业务数据和业务流程等，以明确实现其信息系统业务目标的各种功能特性。 3）技术特性：了解信息系统的系统架构设计、应用结构和应用平台、系统和数据库平台、网络结构和网络平台、通信结构和通信平台、物理部署及安全措施，以明确信息系统总体设计和软硬件环境实现的技术特性，明确对业务数据和业务流程的承载情况。 4）管理特性：了解信息系统的管理、运维组织结构和管理制度，包括岗位设置、职责划分、规章制度、管理流程等，以明确信息系统的制度管理特性。 5）附属特性：了解信息系统的各种支撑性或保障性服务，包括管理用户、管理功能、管理数据和管理流程，以及控制功能、控制数据和控制流程等，以明确信息系统的各种附属特性。 注：有时将业务特性和附属特性合起来称为系统提供或具有的功能。 另外，还应关注信息系统演化和发展情况。了解反映系统现状产生变化的方面，包括系统发展规划、系统改扩建计划及系统安全强化及完善计划等方面。 信息系统分析 信息系统分析人物包括技术分析和管理分析两部分，其中重点是技术分析部分。 1.技术分析 基于信息系统描述，对信息系统的技术特性、业务特性、附属特性、接口及外围环境进行分析。内容包括： 1）依据技术特性分析系统的设计架构与应用结构的关系、应用结构与网络结构的关系、网络结构与通信结构的关系、以及物理部署和位置等方面的关系； 2）依据业务特性在应用、网络、数据层面全面分析业务数据流、数据处理活动和数据存储等情况； 3）依据附属特性在应用、网络、数据层面全面分析管理控制数据流、数据处理活动和数据存储等情况。 4）依据数据流情况在应用、网络层面分析人机、机机之间的接口和协议。 5）分析系统外围环境的情况。 2.管理分析 基于信息系统描述，对与系统相关的的管理组织、管理制度和流程进行分析。 1）分析信息系统客户安全管理组织内部管理及外部合作的关系和运作机制； 2）分析安全管理制度的全面性、一致性及制度之间的相互联系和作用； 3）分析客户的安全管理运作流程。 4）分析管理流程的正常运作保障机制。 信息系统安全分析 基于信息系统描述和分析结果，对信息系统的安全需求进行分析。 信息安全需求来源于三个方面： 业务要求：来自业务发展战略、IT发展战略、运营业务的安全要求，包括业务的连续性要求、可控性要求、可核查性要求、保密性要求等等。 IT风险控制：将风险控制在可接受的范围内的各种要求，包括抵御威胁、减少脆弱性、降低及控制影响等等。 合规性需求：来自国家、行业、组织等等的政策、法律法规及标准规范等要求。 流程4.1信息系统描述和分析 根据调研内容的不同，可以分为技术和管理两部分。管理部分相对比较简单，这里主要说明技术部分。 图1.1信息系统描述和分析流程图 说明： 1）在对信息系统进行描述和分析时，一般应按照从上到下的顺序展开。 2）一般应在技术特性快完成时，进行管理、控制数据流、数据处理活动、数据方面的调研。 3）用户终端分散在应用结构、管理控制功能的分析中。 4）系统整体分析、外部环境分析主要从应用、网络层面对系统和外部环境进行分析，为跨边界通信分析奠定基础。 5）不同业务功能、管理功能、控制功能对应着不同的数据流，这样就可以梳理出所有的数据流、数据处理活动和数据。同时，通过业务信息系统的使命调研可以明确哪些业务数据流是重要的、关键的。 6）接口通信分析应基于各种数据流、数据处理活动进行，这样可以理出所有的接口通信。接口通信分析的重点是跨数据流、跨边界的接口通信。 4.2信息系统安全需求分析 图1.2信息系统安全需求分析说明： 1）以信息系统的业务数据流、数据处理活动为主线，对业务要求进行分析，可以识别和分析各种信息处理活动所受到的威胁、存在的脆弱性、受到的潜在危害，导出为保护信息处理活动所需的业务安全要求；2）以漏洞扫描、人工检查结果，汇总分析IT系统存在的脆弱性，并结合其被外部外泄利用的后果，可以总结出IT风险控制要求；3）对ISO2700