10、信息系统管理

4.1.1管理基础

1、层次结构

信息系统是对信息进行采集、处理、存储、管理和检索，形成组织中的信息流动和处理，必要时能向有关人员提供有用信息的系统。它是由人、技术、流程和数据资源组成的人机系统，目的是及时、正确地收集、加工、存储、传递和提供信息，以实现组织中各项活动的管理、调节和控制。
在信息系统层次架构中，信息系统之上是管理，它监督系统的设计和结构，并监控其整体性能。同时，组织管理层制定信息系统层应满足的业务需求和业务战略。信息系统层次架构提供了一个蓝图，可以将业务和系统策略转换为组件或基础架构，并以恰当的人员、技术、流程和数据组合加以实现。

2、系统管理

信息系统管理覆盖四大领域：

（1）规划和组织：针对信息系统的整体组织、战略和支持活动。

（2）设计和实施：针对信息系统解决方案的定义、采购和实施，以及他们与业务流程的整合。

（3）运维和服务：针对信息系统服务的运行交付和支持，包括安全。

（4）优化和持续改进：针对信息系统的性能监控及其于内部性能目标、内部控制目标和外部要求的一致性管理。

4.1.2规划和组织

信息系统的规划和组织需要根据组织的发展目标和其他相关因素规划信息系统的战略、组成、建设、运行和运营等。目标是通过实施具备一致性的管理方法，满足业务对信息系统的管理需求。

1、规划模型

（1）信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性，如图4-2所示。

（2）成功的组织有一个压倒一切的业务战略，可以推动组织机制和信息系统的有机融合。有关组织机制的结构、招聘实践和其他组成部分的决策，以及有关应用程序、硬件和其他信息系统组件的决策，都是由组织的业务目标、总体战略与战术驱动的。成功的组织会仔细平衡信息系统战略三角，对自己的组织和信息系统战略进行细致规划，以补充其业务战略。23年5月第7、24年第2批考题

2、组织模型

1)业务战略

1、业务战略阐明了组织寻求的业务目标以及期望如何达成的路径。

2、描述业务战略的经典框架是迈克尔·波特(Michael E.Porter,1947一)提出的竞争力优势模型，如图4-3所示。23年11月第2批考题

3、当组织的目标是成为市场上成本最低的生产者时，总成本领先战略就会产生。采用该战略的组织通过最大限度地降低成本，从而获得高于平均水平的绩效。所提供的产品或服务必须在质量上与业内其他人提供的产品或服务相当，以便客户对象感知其相对高性价比。通常，一个行业中只存在一个成本引领者。

4、采用差异性战略时，组织通过差异化，以一种在市场上显得独特的方式，定义其产品或服务。组织确定哪些定性维度对其客户对象最重要，然后找到在其中一个或多个维度增加产品和服务价值的方法。为了使此策略起作用，差异化因素向客户对象收取的价格必须相对于竞争对手收取的价格，是公平的。

5、采用专注化战略时，专注化允许组织将其范围限制在更狭窄的细分市场，并为该组客户对象量身定制其产品。该策略有两种变体：

2)组织机制战略

组织机制战略包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。组织机制战略本质上需要回答“组织将如何构建以实现其目标并实施其业务战略”这一问题，并围绕这一问题形成有效的规划。理解组织设计的经典框架是哈罗德·莱维特(Harold J. Leavitt,1922-2007)提出的钻石模型，如图4-4所示

3)信息系统战略

信息系统战略是组织用来提供信息服务的计划。信息系统支撑组织实施其业务战略。业务战略是关于竞争(服务对象想要什么，竞争做什么),定位(组织想以什么方式竞争)和能力(公司能做什么)的功能。信息系统帮助确定组织的能力。现在使用一个基本的矩阵框架来理解组织必须做出的与信息系统相关的决策，如表4-1所示。

4.1.3设计和实施

开展信息系统设计和实施，首先需要将业务需求转换为信息系统架构，信息系统架构为将组织业务战略转换为信息系统的计划提供了蓝图。信息系统是支持组织中信息流动和处理的所有基础，包括硬件、软件、数据和网络组件，并以最适合计划的方式进行选择和组装，因此其最能体现组织总体业务战略。

1、设计方法

1)从战略到系统架构

组织必须从业务战略开始，使用该战略制定更具体的目标。然后从每个目标派生出详细的业务需求。组织需要与架构设计人员合作，将这些业务需求转换为构成信息系统架构的系统要求、标准和流程的更详细视图。这个更详细的视图，即信息系统架构要求，包括考虑数据和流程需求以及安全目标等事项。组织还可以向架构设计人员清楚地了解信息系统必须完成的工作以及确保其顺利开发、实施和使用所需的治理安排。治理安排指定组织中哪个人保留对信息系统的控制权和责任。

2)从系统架构到系统设计

1、将信息系统架构转换为系统设计时，需要继承信息系统架构并添加更多细节，包括实际的硬件、数据、网络和软件。进而扩展到数据的位置和访问过程、防火墙的位置、链路规范、互联设计等。信息系统架构被转换为功能规格。功能规格可以分为硬件规格、软件规格、存储规格、接口规格、网络规格等。然后决定如何实现这些规范，并在信息系统基础架构中使用什么硬件、软件、存储、接口、网络等。

2、信息系统指的不仅仅是组件，这些组件必须根据设计蓝图进行组装，硬件、软件、数据和网络必须以一致的模式组合在一起，才能拥有可行的信息系统节日PPT背景图片：

3)转换框架

转换框架将业务战略转化为信息系统架构进而转变为信息系统设计，转换框架提出了三类问题：内容、人员和位置，需要为每个信息系统组件回答这些问题。“内容”相关问题是最常被问到的，需要回答组件是什么，并确定特定类型的技术等。“人员”相关问题旨在了解相关组件涉及哪些个人、团体和部门。第三类问题涉及“何处”,随着网络的激增，许多信息系统的设计和构建可能跨越多个位置使用组件，了解信息系统意味着需要了解所有内容各自的位置。

2、架构模式

1、传统上，信息系统体系架构有三种常见模式(见表4-3): 23年11月第2、3批考题

$⊚$ 集中式架构。集中式架构下所有内容采用集中建设、支持和管理的模式，其主体系统通常部署于数据中心，以消除管理物理分离的基础设施带来的困难。

$⊚$ 分布式架构。硬件、软件、网络和数据的部署方式是在多台小型计算机、服务器和设备之间分配处理能力和应用功能，这些设施严重依赖于网络将它们连接在一起。

$⊚$ 面向服务的系统架构(SOA)。SOA架构中使用的软件通常被引向软件即服务(SaaS)的相关架构，同时，这些应用程序在通过互联网交付时也被称为Web服务。

2、组织在考虑集中式与分布式架构决策时，必须注意权衡与取舍。

例如，分布式架构比集中式架构更加模块化，允许相对容易地添加其他服务器，并能为特定用户添加具有特定功能的客户端，从而提供更大的灵活性和多中心化的组织治理机制，这有可能令架构决策与组织治理目标更协调。

相比之下，集中式体系架构在某些方面更易于管理，因为所有功能都集中在主机或小型机中，而不是分布在所有设备和服务器中。集中式架构往往更适合具有高度集中式治理的组织。

而SOA则越来越受欢迎，因为该设计允许几乎完全从现有的软件服务组件构建大型功能单元。它对于快速构建应用程序非常有用，因为它为管理人员提供了模块化和组件化设计，是一种更易于变更的构建应用程序的方法。

4.1.4运维和服务

信息系统的运维和服务应从信息系统运行的视角进行整合性的统筹规划，包括对信息系统、应用程序和基础设施的日常控制进行综合管理，以有效支持组织目标达成和流程实现。信息系统的运维和服务由各类管理活动组成，主要包括：运行管理和控制、IT服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等。

1、运行管理和控制

管理信息系统运行的管理控制主要活动包括：

（1）过程开发：操作人员执行的重复性活动应以过程的形式记录下来，需要开发、审查和批准描述每个过程及其每个步骤的相关文档，并将其提供给运营人员。

（2）标准制定：从运行执行任务的方式到所使用的技术，采用标准化定义和约束，从而有效推动信息系统运行相关工作的一致性。

（3）资源分配：管理层分配支持信息系统运行的各项能力，包括人力、技术和资源。资源分配应与组织的

（4）过程管理：应测量和管理所有信息系统运行的相关过程，确保过程在时间上和预算目标内被正确和准确地执行。

2、IT服务管理

IT服务管理是通过主动管理和流程的持续改进来确保IT服务交付有效且高效的一组活动。IT服务管理由若干不同的活动组成：服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。24年第1批考题

（1）服务台。服务台是组织体现IT服务的重要环节，也是服务干系人体验的重要感知窗口。服务台是服务中与服务干系人沟通和交互的重要界面，负责对服务干系人遇到的问题和需求进行响应和处理；服务台是IT服务干系人的“官方”接口和信息发布点，组织内部各个团队之间相互协作的纽带和协调者；服务台对IT服务质量及服务干系人体验的管理至关重要，是组织IT服务能力持续提升的战略单元。

（2）事件管理。事件管理是IT服务中最常见的流程之一，也是IT服务必须建立和使用的流程，良好的事件管理必须具备快速解决事件的能力，从而在出现事件时能够尽快恢复服务的正常运作，可以有效提高服务的质量，提升服务干系人满意度。

（3）问题管理。当发生了几个看起来具有相同或相似根本原因的事件时，就会启动问题管理活动。问题管理的总体目标是减少事件的数量和严重性，这种对事件的控制既包括发生事件后的被动性措施，也包括采取主动措施(如：利用系统监控衡量系统运行状况和容量管理等)预防与容量相关的事件发生。与事件管理类似，当确定问题的根本原因时，应制定变更管理和配置管理以进行临时或永久修复。

（4）变更管理。变更管理的目标是确保使用标准化的方法和程序来高效、及时地处理所有更改，以最大限度地减少与变更相关的事件对服务质量造成的影响，从而改善组织的日常运行。变更管理的主要目的是确保对信息技术环境的所有建议更改都经过适用性和风险管控的审查，并确保变更不会相互干扰，也不会干扰其他计划内或计划外的活动。

（5）配置管理。配置管理的核心工作是识别、记录、控制、更新配置项信息，主要包含配置管理数据库

(CMDB)的建立以及配置管理数据库准确性的维护，以支持信息系统的正常运行。

（6）发布管理。发布管理负责计划和实施信息系统的变更，并且记录该变更的各方面信息。

（7）服务级别管理。服务级别管理就是对IT服务的级别进行定义、记录和管理，并在可接受的成本之下与干系人达成一致的管理过程，通过服务水平协议(SLA)、服务绩效监控和报告的不断循环，持续维护和改进服务质量，以及触发采取行动消除较差服务，从而满足干系人的服务需求。

（8）财务管理。IT服务财务管理是负责对IT服务运作过程中所有资源进行财务管理的流程。

（9）容量管理。容量管理用于确认信息系统中有足够的容量满足服务需求。容量管理由三个子过程组成：业务容量管理、服务容量管理、资源容量管理。

（10）服务连续性管理。服务连续性管理是一组与组织持续提供服务的能力相关的活动。

（11）可用性管理。可用性管理是有关设计、实施、监控、评价和报告IT服务的可用性以确保持续地满足服务干系人的可用性需求的服务管理流程。可用性是指一个组件或一种服务在设定的某个时刻或某段时间内发挥其应有功能的能力，即在约定的服务时段内，IT服务实际能够使用的服务的时间比例。

3、运行与监控

IT运行的任务常包括： $⊚$ 按照计划执行作业； $⊚$ 监控作业，并按照优先级为作业分配资源； $⊚$ 重新启动失败的作业和进程； $⊚$ 通过加载或变更备份介质，或通过确保目标的存储系统就绪来优化备份作业； $⊚$ 监控信息系统、应用程序和网络的可用性，保证这些系统具备足够的性能； $⊚$ 实施空闲期的维护活动，如设备清洁和系统重启等。

1)运行监控 IT团队应对信息系统、应用程序和基础设施进行监控，以确保它们继续按要求运行。2)安全监控组织需要执行不同类型的安全监控，并把安全监控作为其整体策略的一部分，以预防和响应安全事件。

4、终端侧管理

IT团队职能的一个关键环节是它向组织人员提供的服务，以改善他们对IT访问和使用的情况。组织通常使用IT管理工具来促进对用户终端计算机的高效和一致的管理。一般来说，最终用户计算机是“锁定”的，这限制了最终用户可能在其设备上执行的配置更改的数量和类型，包括操作系统配置、补丁安装、软件程序安装、使用外部数据存储设备等，最终用户可能会将此类限制视为不便。但是，这些限制不仅有助于确保最终用户的设备和整个组织的IT环境具有更高的安全性，而且还促进了更高的一致性，从而降低了支持成本。

5、程序库管理

程序库是组织用来存储和管理应用程序源代码和目标代码的工具。在大多数组织中，应用程序源代码非常敏感。它可能被视为知识产权，并且可能包含算法、加密密钥和其他敏感信息，这些信息应由尽可能少的人员访问。应用程序源代码应被视为信息，并通过组织的安全策略和数据分类策略进行管理。程序库的控制使组织能够对其应用程序的完整性、质量和安全性进行高度控制。程序库通常作为具有用户界面和多种功能的信息系统存在，其中主要功能包括：访问控制、程序签出、程序签入、版本控制和代码分析等。

6、安全管理

信息安全管理可确保组织的信息安全计划充分识别和解决风险，并在整个运维和服务过程中正常运行。

7、介质控制

确保数字介质得到适当管理，包括对其保护以及销毁不再需要的数据。这些过程通常与数据保留和数据清除过程相关联，以便通过物理和逻辑的安全控制充分保护所需的数据，同时有效丢弃和擦除不再需要的数据。处置不再需要的介质相关的程序，包括擦除该介质上的数据或使该介质上的数据无法以其他方式恢复的所有相关步骤。节日 PPT 背景图片：

8、数据管理

数据管理是与数据的获取、处理、存储、使用和处置相关的一组活动。

4.1.5优化和持续改进

1、优化和持续改进常用的方法为戴明环，即PDCA循环。PDCA循环是将持续改进分为四个阶段，即Plan(计划)、Do(执行)、Check(检查)和Act(处理)。

2、优化和持续改进基于有效的变更管理，使用六西格玛倡导的五阶段方法DMAIC/DMADV,是对戴明环四阶段周期的延伸，包括：定义、度量、分析、改进/设计、控制/验证。

1、定义阶段

定义阶段的目标包括待优化信息系统定义、核心流程定义和团队组建。

(1)待优化信息系统定义。该活动关注定义协同的范围、优化目标和目的、系统团队成员和出资人，以及优化时间表和交付成果。待优化信息系统范围与关键业务实践、服务对象交互有关，该定义需要了解信息系统相关的业务。可使用“延伸目标”概念来定义待优化的信息系统。延伸目标是那些超出当前组织结构、资源和技术可预见范围的优化目标。

(2)核心流程定义。该活动关注定义利益干系人、投入和产出以及广泛的功能。SIPOC(Supplier、Input、Process、Output、Customer)。(3)团队组建。该活动重点关注从关键利益干系人群体中确定人员组建高能力团队，对信息系统的问题和收益达成共识。

2、度量阶段

度量阶段目标包括流程定义、指标定义、流程基线和度量系统分析。

(1)流程定义。流程定义通常使用流程图工具定义度量阶段的流程，以图形方式实现给定信息系统的输入、操作和输出。

(2)指标定义。待优化信息系统的定义包括将用于评估流程的指标。

(3)流程基线。当明确了度量指标之后，必须通过基线确定现有系统的能力，以确定当前系统在多大程度上较好地满足了服务对象的要求，并验证定义阶段中确立的信息系统目标达成情况。(4)度量系统分析。质量始于度量。只有当质量被量化时，才能开始讨论优化和持续改进。度量是根据某些规则将数值分配给被观察到的现象。在对信息系统进行优化和持续改进过程中，需要十分注意度量水平、度量的可靠性与有效性问题。一个良好的度量系统具备特性可包括：

$⊚$ 准确：应该产生一个“接近”被测量的实际属性的数值。

$⊚$ 可重复：如果测量系统反复应用于同一物体，则产生的测量价值应彼此接近。

$⊚$ 线性：测量系统应能够在整个关注范围内产生准确和一致的结果。

$⊚$ 可重现：当任何经过适当培训的个人使用时，测量系统应产生相同的结果。

$⊚$ 稳定：应用于相同的项目时，测量系统将来应产生与过去相同的结果。

3、分析阶段

分析阶段的三个目标包括价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。

(1)价值流分析。价值流分析首先定义信息系统使用者眼中相关产品或服务的价值。

(2)信息系统异常的源头分析。度量阶段的信息系统异常的来源，提供了信息系统稳定(即控制中)或不稳定(即失控)的证据。

(3)确定优化改进的驱动因素。优化改进的驱动因素是指对信息系统优化影响最大的因素。

4、改进/设计阶段

改进/设计阶段的目标包括： $⊚$ 向发起人提出一个或多个解决方案；量化每种方法的收益；就解决方案达成共识并实施。 $⊚$ 定义新的操作/设计条件。 $⊚$ 为新工艺/设计提供定义和缓解故障模式。

（1）改进/设计的解决方案推进。改进/设计阶段解决方案的部署可以缩小信息系统当前状态与所需状态之间的差距。

（2）定义新的操作/设计条件。定义阶段中引入的核心流程可用于开发新流程，还可以进行其他实验设计

（3）定义和缓解故障模式。建立了信息系统的优化和持续改进流程之后，可以评估其故障模式。了解信息系统的故障模式使组织能够定义不同故障的缓解策略，以最大限度地减少故障的影响或发生。

5、控制/验证阶段

控制/验证阶段的目标包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训。

(1)标准化新程序/新系统功能的操作控制要素。当信息系统得到改进，组织需要更好地控制系统，保持进一步改进的能力。管理者必须对改进形成的新方法、新系统运行进行标准化，以维持改进带来的效益。

(2)持续验证优化的信息系统的可交付成果。组织应当将变更的系统组件信息、信息系统状态趋势等内容，对受影响的人员开展培训。当这些人员不仅了解信息系统如何变化，还应了解其产生的原因，以及可能会在未来找到进一步改进的方法。

(3)记录经验教训。随着项目小组完成其活动，必须最终确定和保留项目文档。

4.2.1数据管理

1、数据管理是指通过规划、控制与提供数据和信息资产的职能，包括开发、执行和监督有关数据的计划、策略、方案、项目、流程、方法和程序，以获取、控制、保护、交付和提高数据和信息资产价值。

2、DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域。

1、数据战略

组织的数据战略能力域通常包括数据战略规划、数据战略实施和数据战略评估三个能力项。

（1）数据战略规划。数据战略规划是在组织所有利益相关者之间达成共识的结果。从宏观及微观两个层面确定开展数据管理及应用的动因，并综合反映数据提供方和消费方的需求。

（2）数据战略实施。数据战略实施是组织完成数据战略规划后，逐渐实现数据职能框架的过程。实施过程中依据组织数据管理和数据应用的现状，确定与愿景、目标之间的差距；依据数据职能框架制定阶段性数据任务目标，并确定实施步骤。

（3）数据战略评估。组织在数据战略评估过程中需要建立对应的业务案例和投资模型，并在整个数据战略实施过程中跟踪进度，同时做好记录供审计和评估使用。

2、数据治理

23年11月第1、2批考题
组织的数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项。

（1）数据治理组织。数据治理组织需要包括组织架构、岗位设置、团队建设、数据责任等内容，它是各项数据职能工作开展的基础。数据治理组织对组织在数据管理和数据应用行使职责规划和控制，并指导各项数据职能的执行，以确保组织能有效落实数据战略目标。

（2）数据制度建设。为保障数据管理和数据应用各项功能的规范化运行，组织需要建立对应的制度体系。数据制度体系通常分层次设计，遵循严格的发布流程并定期检查和更新。数据制度建设是数据管理和数据应用各项工作有序开展的基础，是数据治理沟通和实施的依据。

（3）数据治理沟通。数据治理沟通旨在确保组织内全部利益相关者都能及时了解相关策略、标准、流程、角色、职责、计划的最新情况，开展数据管理和应用相关的培训，掌握数据管理相关的知识和技能。数据治理沟通旨在建立与提升跨部门及部门内部数据管理能力，提升数据资产意识，构建数据文化。

3、数据架构

组织的数据架构能力域通常包括数据模型、数据分布、数据集成与共享和元数据管理四个能力项。

（1）数据模型。数据模型是使用结构化的语言将收集到的组织业务运行、管理和决策中使用的数据需求进行综合分析，按照模型设计规范将需求重新组织。

（2）数据分布。数据分布职能域是针对组织级数据模型中数据的定义，明确数据在系统、组织和流程等方面的分布关系，定义数据类型，明确权威数据源，为数据相关工作提供参考和规范。通过数据分布关系的梳理，定义数据相关工作的优先级，指定数据的责任人，并进一步优化数据的集成关系。

（3）数据集成与共享。数据集成与共享职能域是建立起组织内各应用系统、各部门之间的集成共享机制，通过组织内部数据集成共享相关制度、标准、技术等方面的管理，促进组织内部数据的互联互通。

（4）元数据管理。元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合。

补充：

1、数据元：指的是数据集中的最小单元或组成部分。它是数据的基本构建块，可以是一个单独的数值、文本、日期、图像或其他数据类型。数据元描述了特定数据的含义和属性。例如，在一个人员数据库中，姓名、年龄、性别和地址可以被视为不同的数据元。

2、元数据：是描述数据的数据，让数据更容易理解、查找、管理和使用。例如，一个数据表的元数据可能包括表的名称、列的名称、数据类型、约束条件和索引信息。从分类上，元数据分为了业务元数据、技术元数据、管理元数据。

业务元数据，例如：数据的定义、业务规则、质量规则等；技术元数据：数据表、字段长度，字段编码、字段类型等；管理元数据：数据的存储位置、管理人员、更新时间、更新频率等。

3、数据元和元数据在以下方面有所不同：

（1）数据元是数据集中的最小单元，而元数据是关于数据的描述信息。

（2）数据元描述了数据的内容、属性和特征，而元数据描述了数据的上下文、定义和结构。

（3）数据元是数据的实际值或内容，而元数据是数据的描述性信息。

（4）数据元是数据的构成部分，而元数据是用于管理、发现和使用数据的信息。

4、数据应用

数据应用能力域通常包括数据分析、数据开放共享和数据服务三个能力项。

（1）数据分析。数据分析是对组织各项经营管理活动提供数据决策支持而进行的组织内外部数据分析或挖掘建模，以及对应成果的交付运营、评估推广等活动。数据分析能力会影响到组织制定决策、创造价值、向用户提供价值的方式。

（2）数据开放共享。数据开放共享是指按照统一的管理策略对组织内容的数据进行有选择的对外开放，同时按照管理策略引入外部数据供组织内部使用。数据开放共享是实现数据跨组织、跨行业流转的重要前提，也是数据价值最大化的基础。

（3）数据服务。数据服务是通过对组织内外部数据的统一加工和分析，结合公众、行业和组织的需要，以数据分析结果的形式对外提供跨领域、跨行业的数据服务。数据服务是数据资产价值变现最直接的手段，也是数据资产价值衡量的方式之一，通过良好的数据服务对内提升组织的效益，对外更好的服务公众和社会。数据服务的提供可能有多种形式，包括数据分析结果、数据服务调用接口、数据产品或数据服务平台等，具体服务的形式取决于组织数据的战略和发展方向。节日PPT背景图片：

5、数据安全 23年11月第1批考题

组织的数据安全能力域通常包括数据安全策略、数据安全管理和数据安全审计三个能力项。

（1）数据安全策略。数据安全策略是数据安全的核心内容，在制定的过程中需要结合组织管理需求、监管需求以及相关标准等统一制定。

（2）数据安全管理。数据安全管理是在数据安全标准与策略的指导下，通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作，满足数据安全的业务需要和监管需求，实现组织内部对数据生存周期的数据安全管理。

（3）数据安全审计。数据安全审计是一项控制活动，负责定期分析、验证、讨论、改进数据安全管理相关的策略、标准和活动。审计工作可由组织内部或外部审计人员执行，审计人员应独立于审计所涉及的数据和流程。数据安全审计的目标是为组织以及外部监管机构提供评估和建议。

6、数据质量

组织的数据质量能力域通常包括数据质量需求、数据质量检查、数据质量分析和数据质量提升四个能力项。

（1）数据质量需求。数据质量需求是明确数据质量目标，并根据业务需求及数据要求制定用来衡量数据质量的规则，包括衡量数据质量的技术指标、业务指标以及相应的校验规则与方法。数据质量需求是度量和管理数据质量的依据，需要依据组织的数据管理目标、业务管理的需求和行业的监管需求并参考相关标准来统一制定与管理。

（2）数据质量检查。数据质量检查是根据数据质量规则中的有关技术指标和业务指标、校验规则与方法对组织的数据质量情况进行实时监控，从而发现数据质量问题，并向数据管理人员进行反馈。

（3）数据质量分析。数据质量分析是对数据质量检查过程中发现的数据质量问题及相关信息进行分析，找出影响数据质量的原因，并定义数据质量问题的优先级，作为数据质量提升的参考依据。

（4）数据质量提升。数据质量提升是对数据质量分析的结果，制定、实施数据质量改进方案，包括错误数据更正、业务流程优化、应用系统问题修复等，并制定数据质量问题预防方案，确保数据质量改进的成果得到有效保持。节日 PPT 背景图片：

7、数据标准

组织的数据标准能力域通常包括业务术语、参考数据和主数据、数据元和指标数据四个能力项。

（1）业务术语。业务术语是组织中业务概念的描述，包括中文名称、英文名称、术语定义等内容。业务术语数据管理就是制定统一的管理制度和流程，并对业务术语的创建、维护和发布进行统一的管理，进而推动业务术语的共享和组织内部的应用。业务术语是组织内部理解数据、应用数据的基础。通过对业务术语的管理能保证组织内部对具体技术名词理解的一致性。

（2）参考数据和主数据。参考数据和主数据是用于将其他数据进行分类的数据。参考数据管理是对定义的数据值域进行管理，包括标准化术语、代码值和其他唯一标识符，每个取值的业务定义，数据值域列表内部和跨不同列表之间的业务关系的控制，并对相关参考数据的一致、共享使用。主数据是组织中需要跨系统、跨部门共享的核心业务实体数据。主数据管理是对主数据标准和内容进行管理，实现主数据跨系统的一致、共享使用。

（3）数据元。通过对组织中核心数据元的标准化，可以使数据的拥有者和使用者对数据有一致的理解。

（4）指标数据。指标数据是组织在经营分析过程中衡量某一个目标或事物的数据，一般由指标名称、时间和数值等组成，指标数据管理指组织对内部经营分析所需要的指标数据进行统一规范化定义、采集和应用，用于提升统计分析的数据质量。

8、数据生存周期23年11月第3批考题

组织的数据生存周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。

（1）数据需求。数据需求是指组织对业务运营、经营分析和战略决策过程中产生和使用数据的分类、含义、分布和流转的描述。数据需求管理过程识别所需的数据，确定数据需求优先级并以文档的方式对数据需求进行记录和管理。

（2）数据设计和开发。数据设计和开发是指设计、实施数据解决方案，提供数据应用，持续满足组织的数据需求的过程。数据解决方案包括数据库结构、数据采集、数据整合、数据交换、数据访问及数据产品(报表、用户视图)等。

（3）数据运维。数据运维是指数据平台及相关数据服务建设完成上线投入运营后，对数据采集、数据处理、数据存储等过程的日常运行及其维护过程，保证数据平台及数据服务的正常运行，为数据应用提供持续可用的数据内容。

（4）数据退役。数据退役是对历史数据的管理，根据法律法规、业务、技术等方面需求，对历史数据的保留和销毁，执行历史数据的归档、迁移和销毁工作，确保组织对历史数据的管理符合外部监管机构和内部业务用户的需求，而非仅满足信息技术需求。

9、理论框架与成熟度

1 、国内外常用的数据管理模型包括：数据管理能力成熟度模型(DCMM)、数据治理框架(DGI)、数据管理能力评价模型DCAM)以及数据管理模型(DAMA定义的模型)等。

2、数据管理能力成熟度模型。DCMM将组织的管理成熟度划分为5个等级：初始级、受管理级、稳健级、量化管理级和优化级。23年5月第8、23年11月第1批、24年第2批考题

4.2.2运维管理

1、能力模型

国家标准GB/T 28827.1《信息技术服务运行维护第1部分通用要求》定义了IT运维能力模型，该模型包含治理要求、运行维护服务能力体系和价值实现。治理要求是为实现运行维护服务绩效、风险控制和服务合规性的组织目标，提出的关于最高管理层领导作用及承诺的能力体系建设要求。运行维护服务能力体系(MCS)是组织依据运行维护服务方针和目标，策划并制定运行维护服务能力方案，确保组织交付的运行维护服务内容符合相关规定，并满足质量要求，对运行维护服务交付过程、结果以及运行维护服务能力体系进行监督、测量、分析和评审，以实现运行维护服务能力的持续提升。价值实现是组织结合业务对信息系统的网络化、数字化和智能化要求，识别内部和外部用户对服务的需求或期望，定义多样化的服务场景，并通过服务能力、要素、活动的组合完成服务的提供，直接或间接地为服务需求方和利益相关者实现服务价值。

23年11月第4批考题

1)能力建设

1、组织需要考虑环境的内外部因素，在治理要求的指导下，根据服务场景，识别服务能力需求，围绕人员、过程、技术、资源能力四要素，策划、实施、检查和改进运行维护能力体系，向各种服务场景赋能，通过服务提供实现服务价值：并针对能力建设、人员、过程、技术、资源建立关键指标；还需要定期评价运行维护服务能力成熟度，衡量能力水平差距，以持续提升运行维护服务能力。

2、在价值实现方面，组织需要在不同的服务场景中识别服务需求，通过服务提供，满足用户需求，实现服务价值：

（1）服务需求：识别服务需求并遵循能力管理的要求对服务场景进行完整的策划。

（2）服务提供：配置符合能力要素要求且和服务场景相适宜的人员、过程、技术和资源，并遵循能力管理的要求实施服务提供。

（3）服务价值：将运行维护服务能力体系输出的服务能力应用到服务场景中，通过服务成果、成本控制、风险控制实现服务价值。

2)人员能力

1、人力资源都是组织的核心竞争力之一。组织人员能力建设聚焦在从知识、技能和经验维度选择合适的人，从人员管理和岗位职责维度明确做适合的事，目的是指导IT运维团队根据岗位职责和管理要求“选人做事”。2、结合IT运维工作的特点，运维人员一般分为管理类、技术类和操作类三种人员岗位，管理类主要负责运维的组织管理，技术类主要负责运维技术建设以及运维活动中的技术决策等，操作类主要负责运维活动的执行等。

3)资源能力

1、资源主要由人员、过程和技术要素中被固化下来的能力转化而成，人员、过程和技术要素在知识、服务管理、工具支撑等方面的能力被固化下来，同时又对人员、过程和技术要素提供有力的支撑和保障，进而形成资源能力中的知识库、服务台、备件库以及运行维护工具，资源能力确保IT运维能“保障做事”。

2、组织应根据运维能力策划要求和特定服务场景的需求，按需建立和管理运行维护工具、服务台、备件库、最终软件库、服务数据和服务知识等，以满足不同服务场景的服务需求。实现与人员、过程和技术结合，保证资源能力满足价值实现过程中服务提供的需求。

4)技术能力

组织需要通过自有核心技术的研发和非自有核心技术的学习，持续提升IT运维过程中发现问题和解决问题的能力，在提升IT运维效率方面是重点考虑的要素，技术要素确保IT运维能“高效做事”。23年11月第2批考题

5)过程

1、组织通过过程的制定，把人员、技术和资源要素以过程为主线串接在一起，用于指导IT运维人员按约定的方式和方法，确保IT运维能“正确做事”。

2、组织需要结合服务场景与运维能力策划要求，设计过程框架，明确各过程之间的关系和接口，制定服务级别、服务报告、事件、问题、变更、发布、配置、可用性和连续性、系统容量、信息安全等管理过程的目标、活动和考核指标，支撑服务过程的规范化管理和服务价值实现。

2、智能运维

智能运维能力框架，包括组织治理、智能特征、智能运维场景实现、能力域和能力要素，其中能力要素是构建智能运维能力的基础。组织需在组织治理的指导下，对智能运维场景实现提出能力建设要求，开展智能运维能力规划和建设。组织通过场景分析、场景构建、场景交付和效果评估四个过程，基于数据管理能力域提供的高质量数据，结合分析决策能力域做出合理判断或结论，并根据需要驱动自动控制能力域执行运维操作，使运维场景具备智能特征，提升智能运维水平，实现质量可靠、安全可控、效率提升、成本降低。智能运维能力框架如图4-9所示。

（1）能力要素。智能运维的能力要素主要包括：

（2）能力平台。智能运维能力平台通常具备数据管理、分析决策、自动控制等能力。其中，数据管理能力用于采集、处理、存储、展示各种运维数据。分析决策能力以感知到的数据作为输入，做出实时的运维决策

，驱动自动化工具实施操作。自动控制根据运维决策，实施具体的运维操作

（3）能力应用。以运维场景为中心，通过场景分析、能力构建、服务交付、迭代调优四个关键环节，可以使运维场景具备智能特征。根据复杂程度，运维场景分为单一场景、复合场景和全局场景。

（4）智能运维需具备若干智能特征，智能特征包括：

4.2.3信息安全管理

1、CIA三要素

CIA三要素是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个词的缩写。 23年11月第1批、24年第1批考题

2、信息安全管理体系

在组织机构中应建立安全管理机构，不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系，参考步骤包括：

①配备安全管理人员。管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配备专职或兼职的安全管理人员。

②建立安全职能部门。建立管理信息系统安全工作的职能部门，或者明确设置一个职能部门监管信息安全工作，作为该部门的关键职责之一。

③成立安全领导小组。在管理层成立信息系统安全管理委员会或信息系统安全领导小组，对覆盖全国或跨地区的组织机构，应在总部和下级单位建立各级信息系统安全领导小组，在基层至少要有一位专职的安全管理人员负责信息系统安全工作。

④主要负责人出任领导。由组织机构的主要负责人出任信息系统安全领导小组负责人。

⑤建立信息安全保密管理部门。建立信息系统安全保密监督管理的职能部门，或对原有保密部门明确信息安全保密管理责任，加强对信息系统安全管理重要过程和管理人员的保密监督管理。

3、网络安全等级保护

1)安全保护等级划分

等级保护对象的安全保护等级分为以下五级：

第一级: 等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益

第二级: 等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全

第三级: 等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害

第四级: 等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害

第五级: 等级保护对象受到破坏后，会对国家安全造成特别严重危害

2)安全保护能力等级划分

规定了不同级别的等级保护对象应具备的基本安全保护能力。

第一级: 应能够防护免受来自的关键资源损害，在自身遭到损害后个人的、拥有很少资源的威胁源发起的恶意攻击，能够恢复部分功能。、一般的自然灾难，以及其他相当危害程度的威胁所造成

第二级: 应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能

第三级: 应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能

第四级: 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能

第五级略

考题举例

1、信息系统战略三角不包括（7）。

A、安全技术 B、业务战略 C、组织机制 D、信息系统

2、数据管理能力成熟度模型(DCMM)将组织的管理成熟度划分为5个等级，每个级别中数据的重要程度会有所不同，从（8）开始强调数据管理的规范化，数据被当做实现组织绩效目标的重要资产。

A、量化管理级 B、稳健级 C、优化级 D、受管理级

3、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》标准将信息系统的安全保护等级分为五级。“信息系统收到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害”是（15）的特征。

A、第二级 B、第三级 C、第四级 D、第五级

4、确保IT运维能“保障做事”的是（）

A、人员 B、资源 C、技术 D、过程
5、应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能，是第（）的要求

A、一级 B、二级 C、三级 D、四级

6、制定数据恢复检查机制，定期检查退役数据状态，确保数据在需要时可恢复属于（）的内容。

A、数据退役 B、数据需求 C、数据设计和开发 D、数据运维

7、（）是对IT服务的级别进行定义、记录和管理，并在可接受的成本之下与干系人达成一致的管理过程。

A、服务级别管理 B、问题管理 C、变更管理 D、配置管理

8、信息系统的运维和服务中，IT服务管理是通过主动管理和流程的持续改进来确保 IT服务交付有效且高效的一组活动，（）不属于IT服务管理的活动。节日PPT背景图片：

A、服务台 B、事件管理 C、过程开发 D、配置管理
9、信息安全管理的 CIA 三要素指的是（）。

A、一致性、可用性、完整性 B、保密性、有效性、可用性C、一致性、可用性、有效性 D、保密性、完整性、可用性

10、在数据管理领域，数据管理能力，成熟度模型(DCM)，将组织的管理成熟度划分为初始级、（）、稳健级、量化管理级和优化

A、可进阶级 B、发展级 C、受管理级 D、安全级

1、【答案】A

【解析】本题考查信息系统战略三角的内容，必须会。P95页。

2、【答案】B

【解析】本题考查数据管理能力成熟度模型(DCMM)的内容，必须会。

P118页。稳健级：数据已被当做实现组织绩效目标的重要资产。在组织层面制定了系列的标准化管理流程，促进数据管理的规范化。
3、【答案】B

【解析】考查的是安全保护等级的相关知识，需要掌握

我们可以这样记忆。第一级，既不损害社会和公共秩序和公共利益，也不损害国家安全第二级，不损害国家安全第三级，对国家安全造成损害第四级，对国家安全造成严重损害第五级，对国家安全造成特别严重损害

4、【答案】B

【解析】我自己按新教材写的模拟题，建议还是需要做下。人员：“选人做事”；资源：保障做事”；技术：“高效做事”；过程：“正确做事”

5、【答案】C

【解析】我自己按新教材写的模拟题，建议还是需要做下。

见下表
6、【答案】A

【解析】本题考查数据退役等名词定义，必须会。

P118，数据退役之后需要制定数据恢复检查机制，定期检查退役数据状态，确保数据在需要时可恢复。

7、【答案】A

【解析】本题考查IT运维的相关名词定义，必须会。

P102。服务级别管理就是对IT服务的级别进行定义、记录和管理，并在可接受的成本之下与干系人达成一致的管理过程。

8、【答案】C

【解析】本题考查IT服务管理的相关内容，必须会。

P101页，IT服务管理是通过主动管理和流程的持续改进来确保IT服务交付有效且高效的一组活动。IT服务管理由若干不同的活动组成：服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。

9、【答案】D

【解析】本题考查CIA的内容，必须会。

P125页，CIA三要素是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个词的缩写。

10、【答案】C 【解析】本题考查数据管理成熟度模型，必须会。P118页。数据管理能力成熟度模型DCMM将组织的管理成熟度划分为5个等级，分别是：初始级、受管理级、稳健级、量化管理级和优化级。
感谢您的聆听