壹個管理信息系統案例分析問題

無視安全要求的ERPA是壹家制造工程車輛的國內公司。企業從90年代開始準備ERP項目，90年代後期選定軟件，開始實施包括財務、分銷、制造在內的壹體化ERP系統。為此，A公司成立了ERP實施小組。在專業咨詢公司的協助下，經過壹段時間的需求分析、流程設計和用戶培訓，實施工作已進入緊張的投產前數據準備的關鍵階段。這時，采購部門對系統中敏感采購信息的安全性提出了質疑，包括相關采購數據的輸入、修改、審批、查詢、上報、打印等，並提出了壹系列要求。整個采購部門有幾十名從事采購相關業務的工作人員，負責幾十個品類、幾萬個不同物品的采購。根據內部控制的要求，不同類別商品的采購價格和數量，以及到貨時間等訂單信息和供應商信息，對其他無關部門，甚至同壹部門的其他采購人員都是保密的。在這樣的內控要求下，ERP用戶權限的設置可以滿足崗位隔離的要求，而不僅僅是在功能模塊的菜單上設置權限。許多安全需求是特定於需要為數據庫中的數據表中的字段設置相應的權限。崗位隔離的需求形成了極其復雜的安全需求矩陣。在系統實施的後期，ERP實施團隊提出這樣的安全需求無疑是壹個難題。由於事先準備不足，ERP系統的功能、需求分析、流程設計、項目實施資源都沒有充分考慮公司內部控制和信息安全的要求。上述信息安全和崗位隔離的要求，對采購模塊的實施形成了不可逾越的障礙，並直接導致:1。采購模塊尚未與其他模塊整合。2.應付賬款模塊、庫存管理模塊和成本計算功能的應用受到很大限制。3.ERP系統的實施未能實現產供銷財務壹體化的目標。其實公司其他部門也有類似的信息安全考慮和內控要求，只是沒有采購部門的強烈反應。這些問題深深困擾著企業A...