苏宁公司信息系统安全管理分析.doc

1、苏宁公司信息系统安全管理分析一、苏宁公司的信息系统基本情况：苏宁公司的企业背景：苏宁电器连锁集团始创于 1990 年，历经二十年的努力拼搏，苏宁已发展成为连锁企业遍及全国 24 个省市地区的大型零售连锁企业集团，成为中国 3C(家电、电脑、通讯)连锁零售企业的领先者。在商务部统计的全国前 100 家连锁企业中，位居前三甲，企业品牌价值高达 425 亿元，成为中国商业领域第一品牌，是国家商务部重点培育的“全国 15 家大型商业企业集团”之一 。苏宁之所以如此成功，是基于后台信息平台系统的建设为内部管理带来一系列变革性的影响。沃尔玛给苏宁的最大启示，是它用于全球连锁管理的信息和物流配送系统。苏宁旨

2、在建立“E 连锁” （ ERP 系统管理）模式，以实现与供应商和市场信息的对接，在进货、销售、库存、售后服务等环节实现以客户为中心的协同效应。三星、海尔等供应商可以随时进入苏宁的 ERP 系统查看自己产品的销售进度和库存情况，同时，利用苏宁电器与消费者直接接触得来的市场信息，供应商可以更快地清除库存，生产适销对路的产品。苏宁信息化先后经历了四代：第一代服务系统信息化、第二代销售与财务信息化、2000 年苏宁开始实施第三代信息化工程：集中式 ERP 信息管理系统。苏宁的 ERP 信息平台的建设不仅针对企业内部的管理，也针对供应商开放。苏宁目前有 900 多家零售终端门店，供应商数量 1 万多家，

3、供应链运作相当复杂。对于下游业务，苏宁电器需要通过分布在全国的门店，将商品销售给最终消费者；对于上游业务，苏宁电器同时从商品、采购计划、订单、收发货、结算对账、信息交流等多方面需要和供应商进行沟通，包含物流、资金流、信息流等交叉作业。因此，供应链上的每一环节增值与否、增值的大小都会成为影响苏宁电器、以及上游供应商各自的竞争能力。2005 年，苏宁正式确定构建一个大企业的管理体系，启动第四代信息化工程。苏宁电器选择了 eFuture POS-ERP+SAP 信息管理系统，彻底改变苏宁运作模式，把传统简单的、粗放型的、体力化的商业运作，全面提升到现代化的、高科技型的商业运作。2006 年，efut

4、ure ONE CRM eCard R2005 一卡通系统和 efuture ONE R2000 连锁百货系统,并与总部后台 SAP 呼叫中心系统紧密集成，满足和适应了苏宁电器集团连锁零售多业态、全国顾客服务的需求。苏宁电器实施了 ERP 和 SAP 平台后，为公司的发展带来了巨大的力量：1、建立信息共享平台，整合上游资源，组织适销对路的商品；2、降低商品库存，减少库存成本，加快商品周转速度；3、大大缩短商品交易时间，明显节约上下游的交易成本；在系统软件开发方面，2008 年苏宁增加了 5778.4 万元人民币的投入，共完成各类大型应用项目开发 34 个，有效地支撑着内部资源整合和管理效率的提

5、升。二、苏宁公司的信息系统安全分析：SAP-ERP 的功能涵盖了企业管理业务的各个方面，这些功能模块可以服务于各个不同的企业管理领域。因为 SAP 的庞大、复杂，如何管理和规避项目实施中的风险，实现相关的安全控制及数据安全往往是企业所面临的一个巨大挑战。统计数据显示，我国企业在 ERP 系统实施过程中，接近 70%的预期目标不能实现。由于 ERP 系统的数据收集和使用方法都基于 IT 技术，计算机进行自动处理，比起手工，信息技术大大减少了信息审核所需的时间。在控制薄弱的系统里，在对企业经营造成重大影响之前很难发现错误或舞弊行为，尤其是在实时的分布式的系统里。苏宁公司做了银企互联，并且通过ERP

6、 系统直接付款。由于供应商客户账号的变动的风险则会导致付错款很难追回。因此对 ERP 系统的风险管理及审计变得尤为重要，以保证 ERP 系统足够安全，并得到合规控制。对于苏宁的 ERP 项目而言，风险存在于项目的全过程，包括项目规划、项目预准备、实施过程和系统运行。归纳起来，苏宁的 SAP-ERP 项目的风险主要有以下几方面：1.缺乏规划或规划不合理：因为没有合适的，正确的规划，带来需求，销售过称的风险。其风险内容包括苏宁公司对产品需求缺少认同；做需求分析时缺少客户认同；客户没有优先需求，缺少有效的需求，销售变化管理过称；对需求，销售变化缺少相关分析，导致销售减少。2.项目预准备不充分，导致实

7、施的阶段结果偏离预期。表现为项目计划中的时间等与实际不符。若项目实施时间过长则会影响员工对于系统成功实施的信心、并影响业务的连续性；年末是家电销售的旺季可能会与年末年初财务部门的繁忙季节冲突，导致实施计划受阻；这些时间上的延长往往导致系统实施项目严重超预算。因此，苏宁应合理安排评估，达到销售与企业内部管理相协调。3.系统安全设计不完善，存在系统被非法入侵的隐患;4.灾难防范措施不当或不完整，容易造成系统崩溃。3、风险解决防范： 战略规划 随着社会的信息化，苏宁应制定一个五年的信息系统规划。规划好苏宁未来的发展战略，如何稳住现有市场，开阔潜在市场。ERP 作为 IT 系统的重要组成部分，服务于企

8、业的长期规划，是长期规划的手段和保证。ERP 的目标源于IT 系统规划，是评价 ERP 系统成败的基本标准，应依据 IT 系统规划，明确 ERP系统的实施范围和实施内容。 项目预准备 苏宁现有的 SAP-ERP 系统虽然大伙好评，但也不免存在一些细致的不足，随着社会的进步期系统也应不断升级更新，确定硬件及网络方案、选择 ERP 系统和评估咨询合作伙伴是该阶段的三项主要任务，也是 ERP 系统实施的三大要素。 项目实施控制硬件及网络方案直接影响系统的性能、运行的可靠性和稳定性;ERP 系统功能的强弱决定企业需求的满足程度;咨询合作伙伴的工作能力和经验决定实施过程的质量及实施成效。在 ERP 系统

9、实施中，苏宁应该采用项目管理技术对实施过程进行控制和管理。有效的实施控制表现在科学的实施计划、明确的阶段成果和严格的成果审核。此外，有效的控制还表现在积极的协调和通畅的信息传递渠道。实施 ERP 的组织机构部门之间协调和交流得好坏决定实施过程的工作质量和工作效率。 业务流程控制苏宁的业务流程中的控制和监督环节保证 ERP 运行后，让各项业务处于有效的控制之中，避免人为损失。设计控制环节时，要兼顾控制和效率。过多控制环节和业务流程冗余势必降低工作效率。而控制环节不足将造成业务失控的风险。 项目实施结果项目评估的结果是 ERP 实施效果的直接反映。正确地评价实施成果，离不开清晰的实施目标、客观的评

10、价标准和科学的评价方法。目前普遍存在着忽视项目评估的问题。忽视项目评估将带来实施小组不关心实施成果这一隐患。这正是 ERP 项目的巨大风险所在。在实施效果分析基础上，苏宁还应更加关注消费者的售后反馈。 系统安全管理每个系统的系统安全均包括：操作系统授权、网络设备权限、应用系统功能权限、数据访问权限、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档，等等。目前，企业中熟练掌握计算机技术的人员较少，计算机接入 Internet 的也不多。因此，在实施 ERP 系统时，普遍存在着不重视系统安全的现象。诸如：用户不注意口令保密、超级用户授权多人等。缺乏安全意识的直接后果是系统在安全设计

11、上存在着漏洞和缺陷。近年来，不断有报章披露银行或企业计算机系统被非法入侵的消息，这给企业敲响了警钟。从防范策略上看，苏宁自身可以采取技术、管理、法律手段。（一）技术手段比如建立有效的防火墙防火墙；病毒防控企业网络系统；技术加密与认证密码技术。（二）管理手段强化安全保护意识，建立健全企业信息安全管理制度和操作规程制度加强计算机用户管理企业应结合自身硬软件。 (三) 法律手段加强法律意识在网络环境下，企业的信息安全问题应该有相应的法律法规作为保障。落实法律责任采取系列措施防范企业信息安全隐患。 意外事故或灾难水灾、火灾、地震等不可抗拒的自然灾害会给 ERP 系统带来毁灭性的打击。苏宁的 SAP-ERP 系统会因此遭到破坏直接造成业务交易的中断，给企业带来不可估量的损失。未雨绸缪的策略和应对措施是降低这一风险的良方。如建立远程备份和恢复机制;在计算机系统不能正常工作的情况下，恢复手工处理业务的步骤和措施。