信息系统管理

IT审计基础

IT审计定义：IT 审计是根据 IT 审计标准的要求，对信息系统及相关的 IT 内部控制和流程进行检查、评价，并发表审计意见(GB/T 34690.4)。

IT审计目的：通过开展审计工作，了解IT系统和IT活动的状况，对IT目标实现进行审查和评价，充分识别评估IT风险，提出改进建议，促进IT目标实现(了解当前IT系统运行状况，评估风险，提供改进建议，促进IT目标实现)。

IT审计范围：根据审计目的和投入来确定。

IT审计人员，要求职业道德，知识，技能，资格与经验，专业胜任能力及利用外部专家服务等方面。

IT审计风险：固有风险，控制风险，检查风险。

审计方法与技术

IT审计依据和准则

• 法律法规:《中华人民共和国审计法》《 中华人民共和国网络安全法》《 中华人民共和国数据安全 法》《中华人民共和国个人信息保护法》等
• 审计准则：《信 息系统审计指南一一计算机审计实务公告第 》《第 22 号内部审计具体准则一一信息系统审计》等
• IT 审计国际标准：GB/T 49 0.4 《信息技术服务治理第 部分 》等
• 组织内部控制：《组织内部控制基本规范》《组织内部控制应用指引第 号一一信息系统》等
• 行业规范：《商业银行信息科技风险管理指引》《证券期货经营机构信息技术治理工作指引（试 行）》《保险公司信息化工作指引（试行）》等

IT审计常用方法

访谈法，调查法，检查法，观察法，观察法，测试法，程序代码检查法

IT审计技术

风险评估技术:

• 风险识别技术：用以识别可能影响 个或多个目标的不确定性，包括德尔菲法、头脑风 暴法、检查表法、 SWOT技术及图解技术等
• 风险分析技术：是对风险影响和后果进行评价和估量，包括定性分析和定量分析。
• 风险评价技术：是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度 进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。
• 风险应对技术： IT 技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链 路、冗余资源、系统弹性伸缩、两地 中心灾备、业务熔断限流等。

审计抽样技术:

• 统计抽样
• 非统计抽样

计算机辅助审计技术(CAAT)

大数据审计技术:

• 大数据智能分析技术
• 大数据可视化分析技术
• 大数据多数源综合分析技术

IT审计证据

充分性，客观性，相关性，可靠性，合法性。

IT审计底稿

• 综合类工作底稿(计划阶段和审计报告阶段)
• 业务类工作底稿
• 备查类工作底稿

审计流程

• 审计准备阶段(综合类工作底稿)
• 审计实施阶段
• 审计终结阶段
• 后续审计阶段(备查类工作底稿)

审计内容

IT审计业务分类：

• IT内部控制审计
• IT专项审计

审计内容与审计方法:

• 组织管理
• 项目启动与计划
• 项目实施与控制
• 项目收尾管理
• 工程方法审计

管理方法

管理基础

层次结构：

1.管理 2.信息系统 3.人员，技术，流程，数据

系统管理：

1.规划和组织 2.设计和实施 3.运维和服务 4.优化和持续跟进

规划和组织

规划模型：业务战略，组织机制和信息系统协同。

组织模型

业务战略：专注战略，差异性战略，总成本领先战略 组织机制战略：莱维特钻石模型(任务，结构，人员，信息与控制) 信息系统战略：信息系统战略矩阵(硬件，软件，网络，数据)

设计和实施

设计方法流程：战略，目标，业务，架构，功能，协议规格，基础设施。 架构模式：集中式架构，分布式架构，面向服务的架构。

运维和服务

运行管理和控制：

过程开发，标准制定，资源分配，过程管理。

IT服务管理

服务台，事件管理，问题管理，变更管理，配置管理，发布管理，服务级别管理，财务管理，容量管理，服务连续性管理，可用性管理。

运行与监控

任务：按照计划执行；监控作业，按优先级分配资源；重启失败作业或进程；备份作业；监控系统运行和性能；日常空闲期维护活动。 工作内容：运行监控，安全监控

终端侧管理

管理终端设备和访问。

程序库管理

访问控制，程序签出，程序签入，版本控制和代码分析等。

安全管理

行为和风险管理。

介质控制

对存储介质进行管理。

数据管理

管理数据获取、处理、存储、使用和处置。

优化和持续改进(PDCA，戴明环，plane计划，do实施，check检查，act行动)

进化体：五阶段方法

DMAIC:Define定义， Measure度量，Analysis分析，Improve改进，Control控制 DMADV:Define定义， Measure度量，Analysis分析，Design设计，Verify验证

阶段拆解

定义阶段：待优化信息系统定义，核心流程定义(SIPOC)，团队组建。 度量阶段：流程定义，指标定义，流程基线，度量系统分析。 分析阶段：价值流分析，信息系统异常的源头分析，确定优化改进的驱动因素。 改进/设计阶段：改进/设计的解决方案的推进，定义新的操作/设计条件，定义和环节故障模式。 控制验证阶段：标准化新程序/新系统功能的操作控制要素，持续验证的优化的信息系统的可交付成果，记录经验教训。

管理要点

数据管理

数据管理能力成熟度评估模型（Data Management Capability Maturity Assessment Model, DCMM）

组织

数据战略：战略规划，实施，评估。 数据生命周期：数据需求，数据设计和开发，数据运维和数据退役。

制度

数据治理：组织制度建立，进行沟通。 数据架构：数据模型，数据分布，数据集成与共享，元数据管理。

流程

数据标准：业务术语，参考数据和主数据，数据元和指标数据。 数据质量：数据质量需求，数据质量检查，数据质量分析和数据质量提升。

技术

数据安全：数据安全策略，安全管理，安全审计。 数据应用：数据分析，数据开放共享，数据服务。

数据管理能力评价模型（Data Management capability Assessment Model, DCAM ）

初始级：项目级体现，没有统一管理，被动管理。 受管理级：数据是资产，有管理流程和管理人员。 稳健级：数据是重要资产，标准化管理流程。 量化管理级：数据是竞争优势，数据管理量化分析。 优化级：数据是生存发展基础，行业内分析优化最佳实践。

数据治理框架（ Data Governance Institute, DGI ）

数据管理模型（ DAMA 定义的模型）

运维管理

能力模型

能力建设

具体能力

人员能力，资源能力，技术能力，过程

融合使用:过程

智能运维

能力要素

人员，技术，过程，数据，算法，资源，知识。

能力平台

数据管理，分析决策，自动控制。

能力要素

场景分析，能力构建，服务交付，迭代调优。

智能特征

能感知，会描述，自学习，会诊断，可决策，自执行。

信息安全管理

CIA三要素：保密性（Confidentiality ）、完整性（ Integrity ）和可用性（Availability ）

信息安全管理体系

信息系统安全管理

落实安全机构和人员，明确角色职责，制定计划 开发安全策略 实施风险管理 制定业务持续性计划和灾难恢复计划 选择和实施安全策略 保证配置、变更的正确和安全 进行安全审计 保证维护支持 进行监控、检查，处理安全事件 安全意识与安全教育 人员安全管理等

总结： 谁去做？建立安全机构，配备安全人员，落实角色和责任。 怎么做？制定安全策略，业务持续性计划和灾难恢复计划。 做什么？人员安全管理，安全意识和安全教育，安全审计，进行监控、检查，处理安全事件。

建立安全管理机构

配备安全管理人员 建立安全职能部门 成立安全领导小组 主要负责人出任领导 建立信息安全保密管理部门

网络安全等级保护

安全保护等级划分

第一级：危害公民，法人和其他组织 第二级：严重危害公民，法人和其他组织，或危害社会秩序或公共利益 第三级：严重危害社会秩序或公共利益，危害国家安全 第四级：特别严重危害社会秩序和公共利益，严重危害国家安全 第五级：特别严重危害国家安全

安全保护能力等级划分

第一级：防护个人，很少资源 第二级：防护小型组织，少量资源 第三级：防护组织团体，较为丰富资源 第四级：防护国家级别，丰富资源 第五级：略(国家联军或星球大战？)

课后习题

选择题

企业信息化架构一不属于信息系统架构模式。

问题不属于 IT 运维能力的关键指标。

财务咨询一不属于信息系统咨询设计的范畴。

智能运维场景实现的关键审核要点应围绕场景分析、场景构建、场景交付、效果评估四个关键过程。

问答题

请给出信息系统规划的战略三角关系，并阐述信息系统战略应如何与业务和组织战略保持一致？ // 战略三角关系的组成和关系 三角关系由业务战略，组织机制和信息系统构成，它用于描述信息系统与业务系统必要的协同关系，以及理解信息系统与组织机制间的相互影响。 // 战略三角关系与业务和组织策略保持一致的方法 以业务战略为导向，信息系统积极适应并优化组织机制，避免有害影响。

请详细阐述运维能力模型的主要内容。 运维能力模型模型包含治理要求、运行维护服务能力体系和价值实现。 治理要求是为实现运行维护服务绩效、风险控制和服务合规性的组织目标，提出的关于最高管理层领导作用及承诺的能力体系建设要求。 （治理要求是实现运维服务绩效，风控和服务合规而提出的要求） 运行维护服务能力体系(MCS)是组织依据运行维护服务方针和目标，策划并制定运行维护服务能力方案，确保组织交付的运行维护服务内容符合相关规定，并满足质量要求，对运行维护服务交付过程、结果以及运行维护服务能力体系进行监督、测量、分析和评审，以实现运行维护服务能力的持续提升。 (运行维护服务能力体系：以维护目标为导向，制定并交付针对方案，对结果不断检测优化，实现运维服务提升的整个过程) 价值实现是组织结合业务对信息系统的网络化、数字化和智能化要求，识别内部和外部用户对服务的需求或期望，定义多样化的服务场景，并通过服务能力、要素、活动的组合完成服务的提供，直接或间接地为服务需求方和利益相关者实现服务价值。 (价值实现指了解服务需求，提供对应服务，实现服务价值)

请阐述 IT 服务管理的主要活动，及这些活动的主要管理要点。 服务台：便于交流，及时处理。 事件管理：快速解决事件，跟踪处理相关问题避免反复出现。 问题管理：确定产生多次相似问题的原因并修复，避免重复出现。 变更流程：确保变更统一高效，减少变更不利影响。 配置审查：确保配置信息一致，方面后续问题分析检查。 发布管理：控制生产环节版本功能，避免版本混乱。 服务级别管理：在现有条件下尽可能满足服务需求。 财务管理：管理IT服务活动财务，衡量财务价值。 容量管理：考虑满足未来服务升级的潜在需求。 服务连续性管理：保证服务连续稳定。 可用性管理：评价IT服务可用性。

知识点速查

基础管理的层级接口和系统管理分为哪几个内容？

什么是规划模型？

组织管理常见的三个战略是啥？

设计方法流程是什么？

架构模式有哪三种？

运维和服务涉及哪些内容(概述)？

请简述PDCA，DMAIC, DMADV的含义，对阶段进行拆解。

请简述DCMM。

请简述DCAM,分为哪五级？

DGI，DAMA指的是什么？

什么是能力模型？

什么是智能运维？

CIA三要素指的是什么？

请简述信息系统安全管理涉及的方面？

如何建立安全管理机构？

安全保护等级划分为哪五级？

安全保护能力等级划分为哪五级？