一、信息技术服务标准
1、组成要素
| 组成要素 | 描述 |
|---|---|
| 人员 | 提供IT服务所需的人员及其知识、经验和技能要求【正确选人】 |
| 流程 | 提供IT服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动【正确做事】 |
| 技术 | 交付满足质量要求的IT服务应使用的技术或应具备的技术能力【高效做事】 |
| 资源 | 提供IT服务所依存和产生的有形及无形资产【保障做事】 |
2、IT服务生命周期
| 生命周期 | 描述 |
|---|---|
| 规划设计 | 从客户业务战略出发,以需求为中心,参照ITSS对IT服务进行全面系统的战略规划和设计,为IT服务的部署实施做好准备,以确保提供满足客户需求的IT服务 |
| 部署实施 | 依据ITSS建立管理体系、部署专用工具及服务解决方案 |
| 服务运营 | 根据服务部署情况,依据ITSS采用过程方法,全面管理基础设施、服务流程、人员和业务连续性,实现业务运营与IT服务运营融合 |
| 持续改进 | 根据服务运营的实际情况,定期评审IT服务满足业务运营情况,以及IT服务本身存在的缺陷,提出改进策略和方案,并对IT服务进行重新规划设计和部署实施,以提高IT服务质量 |
| 监督管理 | 依据ITSS对IT服务服务质量进行评价,并对服务供方的服务过程、交付结果实施监督和绩效评估 |
练一练
【例1-18上】信息技术服务标准(ITSS)定义了IT服务的核心要素由人员、过程、技术和资源组成。(B)要素关注“正确做事”。
A.人员 B.过程 C.技术 D.资源
【例3-19上】信息技术服务标准(ITSS)的IT服务生命周期模型中(B)是在规划设计基础上依据ITSS建立管理体系、提供服务解决方案。
A.服务战略 B.部署实施 C.服务运营 D.监督管理
二、信息系统审计
(1)目的:评估并提供反馈、保证和建议; (2)关注之处
【可用性、保密性、完整性】
1、组成部分
- 信息系统的管理、规划与组织
- 信息系统技术基础设施与操作实务
- 资产的保护
- 灾难恢复与业务持续计划
- 应用系统开发、获得、实施与维护
- 业务流程评价与风险管理
2、审计原则
- ISACA公告
- ISACA公告职业准则
- ISACA职业道德规范
3、基本原则
- 满足利益相关者需求
- 端到端覆盖企业
- 采用单一集成框架
- 启用一种综合的方法
- 区分治理和管理
风险的审计方法——企业风险、确定风险、风险评估、风险管理、风险沟通
4、审计的步骤
①编制组织使用的信息系统清单并对其进行分类
②决定哪些系统影响关键功能和资产
③评估哪些风险影响这些系统及对商业运作的冲击
④在上述评估的基础上对系统分级,决定审计优先值、资源、进度和频率。审计者可以制订年度审计计划,开列出一年之中需进行的审计项目
练一练
【例7-16下】信息系统审计的目的是评估并提供反馈、保证和建议。其关注之处可分为3类,分别是(D)。
A.保密性、及时性、完整性 B.可用性、及时性、准确性
C.保密性、准确性、完整性 D.可用性、保密性、完整性
【例8-18上】一般公认信息系统审计原则不包括(D)
A.ISACA公告 B.ISACA公告职业准则 C.ISACA职业道德规范 D.COBIT框架
【例9-19上】基于风险方法进行信息审计的步骤是(D)
①决定哪些系统影响关键功能和资产;
②评估哪些风险影响这些系统及商业运作的冲击;
③编制组织使用的信息系统清单并对其分类;
④在评估的基础上对系统分级,决定审计优先值/资源/进度和频率
A①②③④ B.①③②④ C.③①④ D.③①②④
【例10-21上】(D)不属于信息系统审计的关注点。
A.完整性 B.可用性 C.保密性 D.可扩展性
