文章目录
0. 主要考点
❶ 信息技术服务标准(ITSS)
❷ 信息系统审计
1. 信息系统集成及服务管理体系(了解)
❶ 信息系统集成、运维服务和信息系统监理资质管理
❷ 信息系统集成、运维服务和信息系统监理相关人员管理
❸ 国家计划(投资)部门对规范的、具备信息系统项目管理能力的企业和人员的建议性要求
❹ 信息系统用户对规范的、具备信息系统项目管理能力的企业和人员市场性需求
2. IT服务管理的核心思想(了解)
IT服务管理ITSM的核心思想是,IT组织,不管它是企业内部还是外部的,都是IT服务提供者,其主要工作就是提供低成本、高质量的IT服务。ITSM也是一种IT管理。不过与传统的IT管理不同,它是一种以服务为中心的IT管理。它结合了过程、人员和技术三大要素,通过集成IT服务和业务,帮助企业提高其IT服务提供和支持能力。
ITSM要把IT部门从成本中心转为服务中心和利益中心;由职能为中心转为流程为中心。
实施ITSM的根本目标:
❶ 以客户为中心提供IT服务。
❷ 提供高质量、低成本的服务。
❸ 提供的服务是可准确计价的。
3. ITSM基本原理图(了解)
ITSM即:IT服务管理
ITSM的基本原理可简单地用“二次转换”来概况,技术➤流程➤服务。
4. IT服务管理补充(了解)
服务级别协议(SLA):是指提供服务地企业与客户之间就服务地质量、水准、性能等方面所达成地双方共同认可地协议或契约。
典型地服务级别协议包括下列内容:
☛ 参与各方所提供服务及协议有效期限地规定;
☛ 服务提供期间的时间规定,包括测试、维护和升级;
☛ 对用户数量、地点以及/或提供的相应硬件的服务的规定;
☛ 对故障报告流程的说明,包括故障升级到更高水平支持的条件。应包括对故障报告期望的应答时间的规定;
☛ 对变更请求流程的说明。可能包括完成例行的变更请求的期望时间;
☛ 对服务级别目标的规定;与服务相关的收费规定;
☛ 用户责任的规定(用户培训、确保正确的桌面配置、没有不必要的软件、没有方案变更管理流程等);
☛ 对解决与服务相关的不同意见的流程说明。
(2016年上半年试题:事件管理是信息系统运维中的一项重要内容,其主要职能是迅速回复系统的正常功能)
5. ITSS组成要素(掌握)
ITSS即:信息技术服务标准。
ITSS组成要素,IT服务由人员(People)、流程(Process)、技术(Technology)和资源(Resource)组成,简称 PPTR。并对这些IT服务的组成要素进行标准化。对这四个要素及其关系可以概括为:正确选择人员遵从过程规范,正确使用技术,并合理运用资源,向客户提供IT服务。
☞ 人员:提供IT服务所需的人员及其知识、经验和技能要求【正确选人】
☞ 流程:提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动【正确做事】
☞ 技术:交付满足质量要求的IT服务应使用的技术或应具备的技术能力【高效做事】
☞ 资源:提供IT服务所依存和产生的有形及无形资产【保障做事】
6. IT服务生命周期(掌握)
ITSS定义的IT服务生命周期由规划设计、部署实施、服务运营、持续改进和监督管理五个阶段组成,并规定了IT服务生命周期各阶段应遵循的标准,涉及咨询设计、集成实施、运行维护及运营服务等领域。
① 规划设计:从客户业务战略出发,以需求为中心,参照ITSS对IT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务
② 部署实施:在规划设计基础上,依据ITSS建立管理体系、部署专用工具及服务解决方案
③ 服务运营:根据服务部署情况,依据ITSS,采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营融合
④ 持续改进:根据服务运营的实际情况,定期评审IT服务满足业务运营的情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量。
⑤ 监督管理:依据ITSS对IT服务服务质量进行评价,并对服务提供方的服务过程、交付结果实施监督和绩效评估。
顺口溜:
龟步赴池间:
➢ 龟 (规划设计)
➢ 步 (部署实施)
➢ 赴 (服务运营)
➢ 池 (持续改进)
➢ 间 (监督管理)
7. 信息系统审计(掌握)
信息系统审计的目的是评估并提供反馈、保证及建议。
其关注之处可分为如下3类:
① 可用性:商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以及应对各种损失和灾难?
② 保密性:系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开发?
③ 完整性:信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
8. 信息系统审计的主要组成(掌握)
一个信息系统审计的主要组成部分包括以下6个方面:
❶ 信息系统的管理、规划与组织:评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
❷ 信息系统技术基础设施与操作实务:评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。
❸ 资产的保护:对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
❹ 灾难恢复与业务持续计划:这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
❺ 应用系统开发、获得、实施与维护:对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
❻ 业务流程评价与风险管理:评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
9. 信息系统审计的依据(掌握)
信息系统设计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
❶ 一般公认信息系统审计准则。包括职业准则、ISACA(信息系统审计与控制协会)公告和职业道德规范。
❷ 信息系统的控制目标。信息系统审计与控制协会在1996年公布的COBIT(信息及相关技术控制目标)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准。
❸ 其他法律及规定。政府或外部的有关规定和要求。
(2018年上半年试题:一般公认信息系统审计原则包括:ISACA公告、ISACA公共职业准则、ISACA职业道德规范)
10. 信息系统审计流程(了解)
(2018年下半年试题:针对信息系统审计流程,在了解内部控制结构、评价控制风险、传输内部控制后,下一步应道进行内部控制测试)
11. 基于风险方法审计的步骤(掌握)
基于风险方法来进行审计的步骤如下:
① 编制组织使用的信息系统清单并对其进行分类。
② 决定哪些系统影响关键功能和资产。
③ 评估哪些风险影响这些系统及对商业运作的冲击。
④ 在上述评估的基础上对系统分级,决定审计优先值、资源、进度和频率。审计者可以制定年度审计计划,开列出一年之中要进行的审计项目。
12. 信息系统工程监理活动(了解)
信息系统工程监理活动的主要内容:“四控、三管、一协调”。
四控:质量控制、进度控制、投资控制、变更控制。
三管:合同管理、信息管理、安全管理
一协调:在信息系统工程实施过程中协调有关单位及人员间的工作关系
工程管理三方:建设方、承建方、监理方。
13. 各监理文件说明(了解)
❶ 监理大纲:是社会监理单位为了获得监理任务,在投标前由监理单位编制的项目监理方案性文件,它是投标书的重要组成部分。
❷ 监理规划:是在监理委托合同签订后,由总监理工程师主持编写,监理单位技术负责人书面批准,用来知道监理机构开展监理工作的指导性文件。
❸ 监理实施细则:在监理规划指导下,在落实了各专业的监理责任后,由专业监理工程师针对项目的具体情况制定的更具有实施性和可操作性的业务文件。
❹ 监理合同:是解决争议的依据。
14. 信息系统工程监理(了解)
总监理工程师不得将以下工作委托总监理工程师代表:
① 主持编写项目监理计划;
② 签发工程开工/复工报审表、监理通知、工程款支付证书和工程竣工监理报告;
③ 调解建设单位与承包单位的合同争议、处理索赔和审批工程延期;
④ 根据工程项目的进展情况进行监理人员的调配、调换不称职的监理人员等;
(总监管大事,管人、钱、工期,这些事情均不可交由总监代表去做)
调整总监要建设单位同意,调整专业监理师只需通知建设单位就可以。
15. 习题练习总结
