软考-高项，知识点一览三信息系统治理

胶泥～life～

已于 2025-03-20 09:57:44 修改

阅读量644

点赞数 18

分类专栏：软考-高项信息系统项目管理师-知识点大全文章标签：职场和发展

于 2025-03-19 18:06:30 首次发布

本文链接：https://blog.youkuaiyun.com/u010059939/article/details/146376901

版权

软考-高项信息系统项目管理师-知识点大全专栏收录该内容

31 篇文章

订阅专栏

三信息系统治理

信息系统治理 (IT治理）是组织开展信息技术及其应用活动的重要管控手段，也是组织治理的重要组成部分，尤其在以数字化发展为重要关注点的新时代，组织的数字化转型和组织建设过程中，IT 治理起到重要的统筹、评估、指导和监督作用。

信息技术审计 (IT审计）作为与IT 治理配套的组织管控手段，是 IT 治理不可或缺的评估和监督工具，重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。

IT 治理

IT 治理是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程

IT 治理主要目标包括：与业务目标一致、有效利用信息与数据资源、风险管理

IT 治理的管理层次：三层：最高管理层、执行管理层、业务与服务执行层。

最高管理层的主要职责包括：证实 IT 战略与业务战略是否一致；证实通过明确的期望和衡蜇手段交付 IT 价值；指导 IT 战略、平衡支持组织当前和未来发展的投资；指导信息和数据资源的分配。执行管理层的主要职责包括：制定 IT 的目标；分析新技术的机遇和风险；建设关键过程与核心竞争力；分配责任、定义规程、衡批业绩；管理风险和获得可靠保证等。业务及服务执行层的主要职责包括：信息和数据服务的提供和支持；IT 基础设施的建设和维护；IT 需求的提出和响应。

IT治理体系

IT 治理的核心是关注 IT 定位和信息化建设与数字化转型的责权利划分，

IT 治理关键决策

有效的 IT 治理必须关注五项关键决策，包括 IT 原则、 IT 架构、 IT 基础设施、业务应用需求、 IT 投资和优先顺序。

IT 治理体系框架

具体包括： IT 战略目标、 IT 治理组织、 IT 治理机制、 IT 治理域、 IT 治理标准和 IT 绩效目标

IT 治理核心内容

IT 治理本质上关心： 1实现 IT 的业务价值； 2 IT 风险的规避。

前者是通过 IT 与业务战略匹配来实现的，后者通过在组织内部建立相关职责来实现。两者都需要相关资源的支待，并对其绩效进行有效度量。IT 治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理，

IT 治理机制经验

建立 IT 治理机制的原则包括： 1 简单，机制应该明确地定义特定个人和团体所承担的责任和目标；2 透明，有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说，机制如何工作是需要非常清晰的；3 适合，机制鼓励那些处于最佳位驾的个人去制定特定的决策。

IT治理任务

组织开展 IT 治理活动的主要任务聚焦在如下五个方面：

全局统筹：组织还需要关注 IT 发展的规划、实施、检查和改进全过程，重点包括：1制订满足可持续发展的 IT 蓝图； 2实施科学决策、集约管理的策略，实现横向的业务集成和纵向的业务管控；通过内外部的监督，确保 IT 与业务的一致性和适用性；3 建立适应内外部信息环境变化的待续改进和创新机制。

价值导向：组织需要建立价值递送规则，确保利益相关者明确相应的权利和义务，

机制保障：

创新发展：

文化助推：

IT治理方法与标准

IT 治理围绕决策体系、责任归屈、管理流程、内外评价四个方面

GB/T 34960.1 《信息技术服务治理第 1 部分：通用要求》规定了 IT 治理的模型和框架、实施 IT 治理的原则，以及开展 IT 顶层设计、管理体系和资源的治理要求。该标准定义的 IT 治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系。

该标准定义的 IT 治理框架包含信息技术顶层设计、管理体系和资源三大治理域。

COBIT 是面向整个组织的信息和技术治理及管理框架，由成立于 1 969 年的美国信息系统审计与控制协会 ( ISACA ) 组织设计并编制的。

COBIT 设计指南描述了组织如何设计址身定制的组织 IT 治理解决方案。高效和有效的 IT治理系统是创造价值的起点.COBIT 定义的 IT 治理系统设计因素包括组织战略、组织目标,风险概况,IT 相关问题,威胁环境,合规性要求, IT 角色,IT 采购模式,IT 实施方法、技术采用战略、组织规模和未来因素，COBIT 给出了建议设计流程 1了解组织环境和战略； 2 确定治理系统的初步范围；3 优化治理系统的范围；4最终确定治理系统的设计。

IT 治理国际标准

2008年4月，ISO/IEC 正式发布 IT 治理标准 ISO/IEC 38500, 它的出台不仅标志着 IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入 IT 治理时代。

该标准规定治理机构应通过评估、指导和监督三个主要任务来治理 IT

IT 审计

随着大数据、云计算、人工智能、移动互联网、物联网等新一代信息技术快速普及和深入应用，以及商业新模式、制造新模式、运行新模式等的出现和迅速繁荣，在给组织带来快速发展的同时，也加大了组织的 IT 风险。为了有效控制 IT 风险，有必要对组织的信息系统治理及IT 内控与管理等开展 IT 审计，充分发挥 IT 审计监督的作用，提高组织的信息系统治理水平，促进组织信息系统治理目标的实现。

IT审计基础

IT 审计人员：要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。

IT 审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

审计方法与技术

信息系统审计准则： ISACA ，国际信息系统审计协会发布；

《内部控制一整体框架》报告：通称的 COSO ( The Committee of SponsoringOrganizations of The National Commission of Fraudulent Financial Reporting, 美国虚假财务报告委员会下属的发起人委员会）报告。

《萨班斯法案》

信息及相关技术控制目标

常用审计方法包括： 访谈法、调查法 、 检查法、观察法、测试法和程序代码检查法等

IT 审计技术：

常用的 IT 审计技术包括风险评估技术、 审计抽样技术、计算机辅助审计技术及大数据审计技术

IT 风险评估技术一般包括：

· 风险识别技术 ：用以识别可能影响一个或多个目标的不确定性，包括德尔菲法、头脑风暴法、检查表法、 SWOT技术及图解技术等。

· 风险分析技术：是对风险影响和后果进行评价和估屈，包括定性分析和定批分析。

· 风险评价技术：是在风险分析的基础上，通过相应的指标体系和评价标准，对风险程度进行划分，以揭示影响成败的关键风险因素，包括单因素风险评价和总体风险评价。

· 风险应对技术：IT技术体系中为特定风险制定的应对技术方案，包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。

审计抽样技术：

审计抽样是指审计人员在实施审计程序时，从审计对象总体中选取一定数址的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。“总体”是指需要检查的全部事项， “样本”是用于测试总体的子集。

计算机辅助审计技术

计算机辅助审计 (ComputerAssisted Audit Tools, CAAT) ，也称为利用计算机审计，是指审计人员在审计过程和审计管理活动中，以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法，对手工系统的审计也可应用这些技术。

大数据审计技术

大数据审计是指遵循大数据理念，运用大数据技术方法和工具，利用数批巨大、来源分散、格式多样的数据，开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析，提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术。

IT 审计证据

审计证据是指由审计机构和审计人员获取，用于确定所审计实体或数据是否遵循既定标准或目标，形成审计结论的证明材料。审计证据是审计意见的支柱，是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据，为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计入经济责任的依据，并且审计证据还是控制审计工作质量的关键。

IT 审计底稿

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体，是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程，也反映整个审计过程。审计底稿的作用表现在：

· 是形成审计结论、发表审计意见的直接依据；

· 是评价考核审计人员的主要依据；

· 是审计质量控制与监督的基础；

· 对未来审计业务具有参考备查作用。

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿，