2.3 ITIL与IT服务管理、ITSS与信息技术服务、信息系统审计
跬步郎注:第二章中ITSS与信息技术服务是重点,2016年以后几乎每年必考。如果时间宽裕,可将所有题点都复习一遍,也可以在微信中搜索“集成中级口袋应试”小程序,利用琐碎的时间来进行复习。
2.3.2 ITSS与信息技术服务
1.ITSS简介
4)ITSS原理
(1)组成要素
IT服务由人员(People)、流程(Process):技术(Technology)和 资源(Resource)组成,简称PPTR。
•人员:指提供IT服务所需的人员及其知识、经验和技能要求;
•流程:指提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动:
•技术;指交付满足质量要求的IT服务应使用的技术或应具备的技术能力;
•资源:指提供IT服务所依存和产生的有形及无形资产。
(2) ITSS生命周期
IT服务生命周期由规划设计(Pianning&Design)、部署实施(Implementing)、服务运营(Opera,tion)、持续改进(Improvemenit)和监督管理(Supervision)5个阶段组成,简称PIOIS。其中:
●规划设计:从客户业务战略出发,以需求为中心,参照ITSS对IT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务;
●部署实施:在规划设计基础上,依据ITSS建立管理体系、部署专用工具及服务解决方案;
●服务运营:根据服务部署情况,依据ITSS,采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营融合;
●持续改进:根据服务运营的实际情况,定期评审IT服务满足业务运营的情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量;
●监督管理:本阶段主要依据ITSS对IT服务服务质量进行评价,并列服务供方的服务过程、交付结果实施监督和绩效评估。
......
2.ITSS与信息技术服务
2) 信息技术服务核心要素
ITSS定义了 IT服务的核心耍素由人员、过程、技术和资源组成,并对这些IT服务 的组成要素进行标准化,如图2~3所示。对这四个要素及其关系可以概括为:正确选择 人员遵从过程规范,正确使用技术,并合理运用资源,向客户提供IT服务。
出题概率:★★★★★
160108、160311、170110、170310、180110、180310、190110、190309
2.3.3信息系统审计
1.信息系统审计概念
口袋应试:“信息系统审计概念及其目的和关注之处”
信息系统审计是全部审计过程的一个部分,信息系统审计(IS audit)目前还没有固定通用的定义,美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下3类。
- 可用性:商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种损失和灾难
- 保密性:系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放
- 完整性:信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改
出题概率:★
160312
4.信息系统审计的基本业务和依据
1)信息系统审计主要组成部分
(1) 信息系统的管理、规划与组织:评价信息系统的管理、计划与组织方面的策略、 政策、标准、程序和相关实务。
(2) 信息系统技术基础设施与操作实务:评价组织在技术与操作基础设施的管理和 实施方面的有效性及效率,以确保其充分支持组织的商业目标。
(3) 资产的保护:对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能 支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、 损坏或丢失。
(4) 灾难恢复与业务持续计划:这些计划是在发生灾难时,能够使组织持续进行业 务,对这种计划的建立和维护流程需要进行评价。
(5) 应用系统开发、获得、实施与维护:对应用系统的开发、获得、实施与维护方 面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
(6) 业务流程评价与风险管理:评估业务系统与处理流程,确保根据组织的业务目 标对相应风险实施管理。
出题概率:★
170311
2)信息系统审计的依据
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
(1) -般公认信息系统审计准则。包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(Certified Information System Auditor,CISA)持有者有关职业上及个人的指导规范。
(2)信息系统的控制目标。
(3)其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。
出题概率:★
180111
5.信息系统审计流程
图2-2是信息系统审计流程示意图。
开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似地,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。
出题概率:★
180311
6.基于风险的审计方法
基于风险方法来进行审计的步骤如下。
(1)编制组织使用的信息系统清单并对其进行分类。
(2)决定哪些系统影响关键功能和资产。
(3)评估哪些风险影响这些系统及对商业运作的冲击。
(4)在上述评估的基础上对系统分级,决定审计优先值、资源、进度和频率。审计者可以制定年度审计计划,开列出一年之中要进行的审计项目。
出题概率:★
190111
以下为第一版内容,仅供参考
信息系统服务管理的内容
信息系统服务是一个范围相当广泛的概念,所有以满足企业和机构的业务发展所带来的信息化需求为目的,基于信息技术和信息化理念而提供的专业信息技术咨询服务、系统集成服务、技术支持服务等工作,都属于信息系统服务的范畴。
出题概率:★
150309
●其它专业的备考复习资料,可以在查看我的博客:跬步郎的博客 已发布的专业有“信息系统项目管理师”“网络规划师”“系统架构设计师”
典型的服务级别协议的内容:
1) 参与各方对所提供服务及协议有效期限的规定;
2) 服务提供期间的时间规定,包括测试、维护和升级;
3) 对用户数量、地点以及/或提供的相应硬件的服务的规定;
4) 对故障报告流程的说明,包括故障升级到更高水平支持的条件。应包括对故障报告期望的应答时间的规定;
5) 对变更请求流程的说明。可能包括完成例行的变更请求的期望时间;
6) 对服务级别目标的规定;
7) 与服务相关的收费规定;
8) 用户责任的规定(用户培训、确保正确的桌面配置、没有不必要的软件、没有妨碍变更管理流程等);
9) 对解决与服务相关的不同意见的流程说明;
出题概率:★
160109
