2010年12月高分考生復(fù)習(xí)筆記知識(shí)要點(diǎn)

1、TASK SEMENTS1.評(píng)估 IT 治理結(jié)構(gòu)的有效性，來確保適當(dāng)?shù)膶?duì)IT 決策、判斷、方向以及性能的控制，以實(shí)現(xiàn)對(duì)企業(yè)和目標(biāo)的支持。2.3.評(píng)估 IT 組織結(jié)構(gòu)和 HR 管理，確保其支持組織的和目標(biāo)評(píng)估 IT 開發(fā)、審批、部署、目標(biāo)的和程序，確保其支持組織的和4.評(píng)估企業(yè)的 IT 策略、準(zhǔn)則、指南和流程的開發(fā)、審批、部署和，確保其支持IT 戰(zhàn)，以及符合的要求5.6.7.8.9.評(píng)估管理實(shí)踐，確保其與企業(yè)的IT、策略、準(zhǔn)則和流程相符合評(píng)估 IT 資源投資、使用、分派實(shí)踐，以與企業(yè)的和目標(biāo)相符合評(píng)估 IT 合同和策略，以及合同管理，確保其支持組織的和目標(biāo)評(píng)估風(fēng)險(xiǎn)管理實(shí)踐，確保適當(dāng)管理企業(yè)IT

2、相關(guān)的風(fēng)險(xiǎn)和保證實(shí)踐，確保管理層及時(shí)充分的獲取IT 性能的信息。評(píng)估Knowledge sements1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.IT、策略、準(zhǔn)則、流程的目的，以及基本元素IT 治理框架開發(fā)、部署、IT、策略、準(zhǔn)則、流程的過程質(zhì)量管理和策略組織架構(gòu)、角色和責(zé)任 普遍接受的IT 標(biāo)準(zhǔn)和指南企業(yè)IT 架構(gòu)，風(fēng)險(xiǎn)管理方法和工具控制框架的使用成熟度和流程模型的使用合同、程序以及合同管理和IT 性能的實(shí)踐（平衡積分卡、KPIs）相關(guān)的法律和IT HR 管理IT 資源投資以及分派實(shí)踐（投資組合，ROI）Corporateernance1.公司治理是公司管理層使用

3、的一系列責(zé)任和實(shí)踐，用于提供實(shí)現(xiàn)目標(biāo)，管理風(fēng)險(xiǎn)，合理使用企業(yè)資源。方向，確保2.3.publicernance：公司治理試圖在利用先有機(jī)會(huì)提高股東利益和讓公司在符合務(wù)前提實(shí)現(xiàn)運(yùn)行之間達(dá)成一個(gè)平衡點(diǎn)。和社會(huì)義ITernance1.2.3.IT 治理的關(guān)鍵是實(shí)現(xiàn)業(yè)務(wù)和IT 之間的alignment，以實(shí)現(xiàn)bussiness valueIT 治理關(guān)注兩件事：IT delives value for bussiness ；IT risk are managed；董事會(huì)和管理層的和保證實(shí)踐傳統(tǒng)的董事會(huì)層面對(duì)IT 的涉及，主要是將IT 的決定權(quán)下方到ISIT 治理是董事層的管理工具，治理更關(guān)注的是傳導(dǎo)價(jià)值

4、、測量性能、而不是管理風(fēng)險(xiǎn)，確保合規(guī)，這時(shí)IT control 的內(nèi)容。IT 治理是董事會(huì)和管理層的職責(zé)。IT 治理的目的是指導(dǎo)IT，確保IT 性能能夠滿足業(yè)務(wù)發(fā)展的需要，以實(shí)現(xiàn)價(jià)值。IT 治理框架：IT resource management Performance measurement Compliance management IT 治理關(guān)注領(lǐng)域1.2.3.4.5.6.Strtegic alignment： 將IT 與Value delivery： Risk management Resource managementPerformance measurement起來(一)1.2. (

5、二) 1.IT 治理的最佳實(shí)踐IT 治理中的審計(jì)角色審計(jì)提供首要的實(shí)踐，幫助審計(jì)能幫助實(shí)現(xiàn)合規(guī)性IT 審計(jì)師應(yīng)該確保提高IT治理的質(zhì)量和效力工作范圍，包含明確定義的功能區(qū)域和涉及的事物Reporting lineIS 審計(jì)師對(duì)內(nèi)外部各種信息的IT strategy Committee IT權(quán)限就以下事項(xiàng)向董事會(huì)提供愿景和建議：從業(yè)務(wù)角度開發(fā)ITIT 和業(yè)務(wù)決定的alignment性IT 目標(biāo)的實(shí)現(xiàn)適當(dāng)?shù)腎T 資源的可用性，來滿足優(yōu)化IT 成本風(fēng)險(xiǎn)、匯報(bào)以及IT 投資的競爭性大的IT 項(xiàng)目的過程IT 對(duì)業(yè)務(wù)的共享目標(biāo)(三)IT 風(fēng)險(xiǎn)的曝露IT 風(fēng)險(xiǎn)的contaent 控制IT的管理董事會(huì)對(duì)IT

6、的驅(qū)動(dòng)IT strategy Committee IT執(zhí)行層面IT 平衡計(jì)分卡(四)1.IT BSCBSC 是一個(gè)過程管理評(píng)估技術(shù)，可用于IT 治理過程中評(píng)估IT 功能和過程。BSC了一般的財(cái)務(wù)評(píng)估，增加了客戶滿意度、內(nèi)部運(yùn)行過創(chuàng)新能力.2.為采用IT BSC，三層的結(jié)構(gòu)來解決四個(gè)目的Mis任務(wù)Stetegies Measures(五)1.治理治理作為 IT 治理的一部分，關(guān)注的是：信息的信息資產(chǎn)的保護(hù)。,服務(wù)連續(xù)性和2.信息和數(shù)據(jù)無論如何處理、傳遞、廢棄等都必須得到保護(hù)，4.5.治理是董事會(huì)層面的職責(zé)由于信息是企業(yè)的重要資產(chǎn)，分重要。安全治理的產(chǎn)出Strategic alignment：將著

7、合規(guī)性要求，所以對(duì)的治理十6.與業(yè)務(wù)整合以實(shí)現(xiàn)企業(yè)目標(biāo)安全需求由企業(yè)需求推動(dòng)安全解決方案適合企業(yè) 安全方面的投資符合企業(yè)7.8.Risk management Value deliveryPerformance measurement Resource managementProsegration治理必須能夠支持業(yè)務(wù)，能夠?yàn)楣緞?chuàng)造價(jià)值治理框架包括有效的全面的與業(yè)務(wù)相關(guān)的安全策略安全準(zhǔn)則、指南、流程有效的 制度化的組織架構(gòu)程序3.IT 安全解決的是IT 技術(shù)的安全性，需要由CIO 層進(jìn)行推動(dòng)。需要由管理層來推動(dòng)。關(guān)注的是信息的隱私以及本身，解決的是風(fēng)險(xiǎn)的全局層面。(六)的角色和職責(zé)1.EA 包

8、括將企業(yè)的IT 資產(chǎn)以一種結(jié)構(gòu)化的方式文檔化，便于理解，管理和計(jì)劃IT 投資。EA 通常包含一個(gè)current s e 和一個(gè)優(yōu)化的future s e 展示（road map）2.EA 現(xiàn)在的關(guān)注 IT 復(fù)雜度、現(xiàn)代企業(yè)復(fù)雜度的增加，以及 IT 與業(yè)務(wù)合以實(shí)現(xiàn)IT 投資實(shí)現(xiàn)真正回報(bào)。結(jié)3.4.5.Zaan 架構(gòu)是第一個(gè)EA，他認(rèn)為建設(shè)IT 系統(tǒng)類似于建筑為了完成EA,組織可以從技術(shù)角度也可以從業(yè)務(wù)角度來解決。Technology-driven EA 試圖闡明現(xiàn)代企業(yè)的復(fù)雜的技術(shù)選擇，Bussiness-driven EA 試圖從企業(yè)的增值和支持程序來理解組織。FEA企業(yè)架構(gòu) 有五個(gè)分層的參考

9、模型Performance reference m Bussiness reference mService component reference m Technical reference mData reference m信息系略1.2.計(jì)劃指導(dǎo)一般作為大的IS 項(xiàng)目檢查，而不涉及常規(guī)的操作。檢查長期和短期的IS 部門計(jì)劃，確保其符合公司目標(biāo)檢查和審批大的軟硬件采購大的項(xiàng)目以及 IS 計(jì)劃和預(yù)算的現(xiàn)狀，建立優(yōu)先級(jí)，審批準(zhǔn)則和批準(zhǔn)和流程，以及整個(gè)IS 性能檢查和審批sourcing，包括內(nèi)包和外包，以及全球化檢查資源以及分派的準(zhǔn)確性決策集中還是分布，以及職責(zé)的指派支持開發(fā)和部署企業(yè)范圍內(nèi)的

10、管理程序向董事會(huì)IS 活動(dòng)。成熟度和過程模型IDEAL 模型指引企業(yè)計(jì)劃和部署一個(gè)有效的軟件過程1.2.3.程序。CMMI 能力成熟度模型整合是過程方法team software pros TSP 機(jī)制指引團(tuán)隊(duì)和管理成，使用一個(gè) four day launchpros，建立目標(biāo)，定義團(tuán)隊(duì)角色，評(píng)估風(fēng)險(xiǎn)，產(chǎn)生一個(gè)項(xiàng)目計(jì)劃。在 launch后，TSP 提供一個(gè)詳細(xì)的過程來管理，測量，需要事先培訓(xùn)和團(tuán)隊(duì)的活動(dòng)，成員4.al software pro產(chǎn)品缺陷。s PSP。版主企業(yè)管理質(zhì)量，預(yù)計(jì)和計(jì)劃，減少(七)EA 企業(yè)架構(gòu) entrise architectureIT 投資和分派實(shí)踐ROI 不僅僅是

11、財(cái)務(wù)的回報(bào)，還是非財(cái)務(wù)的收益，包括：對(duì)運(yùn)行的沖擊，任務(wù)性能和結(jié)果。1.2.3.value of IT IT 價(jià)值。Val IT 框架有面：valueernanceportfolio management investment managementIT portfolio management 的部署包括： 風(fēng)險(xiǎn) profile 分析，diversification ofprojects，infrastructure and technologies，與業(yè)務(wù)目標(biāo)的連續(xù)性整合，持續(xù)提升4.IT portfolio 管理最大的優(yōu)點(diǎn)是在調(diào)整投資時(shí)候的靈活性，而BSC 同樣強(qiáng)調(diào)在任何的投資決策時(shí)使用vi

12、和，而對(duì)運(yùn)行成本的愿景和控制不是目標(biāo)。Policies and procedures1.policies 策略top down bottom up策略：要在生產(chǎn)率和控制方面達(dá)成平衡策略文檔2.3.4.5.6.acceptable use policyAUP對(duì)策略的檢查procedures 流程風(fēng)險(xiǎn)管理IS 管理實(shí)踐(一) HR 管理 hiring 雇傭背景協(xié)議Employee bonding1.2.3.4.5.6.7.利益協(xié)議職業(yè)道德準(zhǔn)則同業(yè)競爭協(xié)議employee handbook promotion policies training： cross trainingschedulling

13、and time reporting employee performance evaluations required vacations8.9.termination policies(二) Sourcing 承包IS 功能的交付包括：Insourced Outsourced Hybrid1.2.3.4.5.IS 指導(dǎo)SLAs應(yīng)該檢查和審批sourcing要定期審計(jì)合同和SLAs，服務(wù)供應(yīng)商應(yīng)該定期提供第審計(jì)外包的不能是企業(yè)的關(guān)鍵應(yīng)用。外包 party 處理的信息的最終責(zé)任在于組織本身。IS 組織結(jié)構(gòu)和責(zé)任(一) Sourcing 承包IS 角色和職責(zé)System development

14、manager Project managementService desk End userEnd-user support manager Data management1.Quality arance QA managerInformation security management Vendor and outsourcer management Infrastructure operations and ma IPFenance 除了運(yùn)行外沒有人限進(jìn)入Control group 控制組 責(zé)任是收集、轉(zhuǎn)換和控制輸入，以及輸出的平衡和分發(fā)Media management： Data en

15、try Systemadministration Security administrationQuality arance QA應(yīng)保持相對(duì)獨(dú)立Quality aranceQuality controlDatabase managementSystem文檔yst：在 SDLC 初始狀態(tài)介入，基于用戶需求設(shè)計(jì)系統(tǒng)，開發(fā)設(shè)計(jì)Security architectApplication development and maenanceInfrastructure development and maenance：系統(tǒng)軟件，包括 OS，要求有廣泛的權(quán)。Network management：LAN終端用戶職責(zé)不應(yīng)該有應(yīng)用編程職責(zé)，但是可以有系統(tǒng)編(二) IS 職責(zé)分離需要分離的職責(zé)包括： Custody of the assets Authorization1.2.Recording tranions若沒有條件實(shí)現(xiàn)職權(quán)分離，則需要實(shí)施補(bǔ)償性控制compensation controls(三) IS 職責(zé)分離控制交易資產(chǎn)保管對(duì)數(shù)據(jù)的權(quán)限表用戶權(quán)限tables補(bǔ)償性控制：1.2.3.4.5.6.Audit trails Reconciliation Except