学信息系统项目管理师第4版系列30_信息系统管理

1. 管理方法

1.1. 技术底座构成了几乎所有业务模式的支柱

1.2. 信息系统是为组织用来生产和管理信息（数据）的技术（"什么"）、人员（"谁"）和过程（"如何"）的组合

1.3. 信息系统包括四个要素：人员、技术、流程和数据

1.4. 信息系统管理覆盖四大领域

1.4.1. 规划和组织

1.4.2. 设计和实施

1.4.3. 运维和服务

1.4.4. 优化和持续改进

2. 规划和组织

2.1. 规划模型

2.2. 组织模型

2.2.1. 业务战略

2.2.1.1. 阐明了组织寻求的业务目标以及期望如何达成的路径

2.2.1.2. 是组织传达宣示其目的的方法

2.2.1.3. 当组织的目标是成为市场上成本最低的生产者时，总成本领先战略就会产生

2.2.1.3.1. 一个行业中只存在一个成本引领者

2.2.1.4. 差异性战略

2.2.1.4.1. 差异化因素向客户对象收取的价格必须相对于竞争对手收取的价格，是公平的

2.2.1.5. 专注化战略

2.2.1.5.1. 专注成本，在其细分市场内寻求成本优势

2.2.1.5.2. 专注差异化，寻求细分市场内的产品或服务的差异化

2.2.2. 组织机制战略

2.2.2.1. 莱维特钻石模型

2.2.2.2. 组织机制战略包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择

2.2.3. 信息系统战略

2.2.3.1. 组织用来提供信息服务的计划

2.2.3.2. 基础结构

2.2.3.2.1. 硬件

2.2.3.2.2. 软件

2.2.3.2.3. 网络

2.2.3.2.4. 数据

3. 设计和实施

3.1. 设计方法

3.1.1. 从战略到系统架构

3.1.1.1. 信息系统架构的系统要求、标准和流程的更详细视图

3.1.2. 从系统架构到系统设计

3.1.2.1. 功能规格

3.1.2.1.1. 硬件规格

3.1.2.1.2. 软件规格

3.1.2.1.3. 存储规格

3.1.2.1.4. 接口规格

3.1.2.1.5. 网络规格

3.1.3. 转换框架

3.1.3.1. 将业务战略转化为信息系统架构进而转变为信息系统设计

3.1.3.2. 内容、人员和位置

3.2. 架构模式

3.2.1. 集中式架构

3.2.1.1. 主体系统通常部署于数据中心，以消除管理物理分离的基础设施带来的困难

3.2.2. 分布式架构

3.2.3. 面向服务的系统架构(Service-Oriented Architecture, SOA)

4. 运维和服务

4.1. 运行管理和控制

4.1.1. 过程开发

4.1.2. 标准制定

4.1.3. 资源分配

4.1.4. 过程管理

4.2. IT服务管理

4.2.1. 通过主动管理和流程的持续改进来确保IT服务交付有效且高效的一组活动

4.2.2. 服务台(Service Desk）

4.2.2.1. 组织体现IT服务的重要环节，也是服务干系人体验的重要感知窗口

4.2.2.2. IT服务干系人的"官方"接口和信息发布点

4.2.3. 事件管理

4.2.4. 问题管理

4.2.5. 变更管理

4.2.5.1. 主要目的是确保对信息技术环境的所有建议更改都经过适用性和风险管控的审查，并确保变更不会相互干扰，也不会干扰其他计划内或计划外的活动

4.2.6. 配置管理

4.2.6.1. 配置管理数据库(ConfigurationManagement Databases, CMDB）

4.2.7. 发布管理

4.2.8. 服务级别管理

4.2.9. 财务管理

4.2.10. 容量管理

4.2.11. 服务连续性管理

4.2.12. 可用性管理

4.3. 运行与监控

4.3.1. 运行监控

4.3.2. 安全监控

4.4. 终端侧管理

4.5. 程序库管理

4.5.1. 程序库是组织用来存储和管理应用程序源代码和目标代码的工具

4.6. 安全管理

4.7. 介质控制

4.8. 数据管理

5. 优化和持续改进

5.1. 戴明环，即PDCA循环

5.2. 六西格玛倡导的五阶段方法DMAIC/DMADV

5.2.1. 定义（Define）、度量（Measure）、分析（Analysis）、改进/设计（Improve/Design） ＞控制/验证（ControlAerify）

5.2.2. 当第四阶段的"改进"替换为"设计"，"控制"替换为"验证"时，五阶段法就从DMAIC转变为DMADV

5.3. 定义阶段

5.3.1. 待优化信息系统定义

5.3.2. 核心流程定义

5.3.2.1. SIPOC（Supplier、 Input、Process、 Output、 Customer）分析是定义核心流程视图的首选工具

5.3.3. 团队组建

5.3.3.1. 有效的团队通常限制为5〜7名参与者

5.3.3.2. 较大的团队更难管理，成员可能会失去对团队的责任感

5.4. 度量阶段

5.4.1. 流程定义

5.4.1.1. 流程图的目的是帮助人们理解流程

5.4.2. 指标定义

5.4.3. 流程基线

5.4.4. 度量系统分析

5.4.4.1. 质量始于度量

5.4.4.2. 只有当质量被量化时，才能开始讨论优化和持续改进

5.4.4.3. 准确

5.4.4.4. 可重复

5.4.4.5. 线性

5.4.4.6. 可重现

5.4.4.7. 稳定

5.5. 分析阶段

5.5.1. 价值流分析

5.5.2. 信息系统异常的源头分析

5.5.3. 确定优化改进的驱动因素

5.6. 改进/设计阶段

5.6.1. 改进/设计的解决方案推进

5.6.2. 定义新的操作/设计条件

5.6.3. 定义和缓解故障模式

5.7. 控制/验证阶段

5.7.1. 标准化新程序/新系统功能的操作控制要素

5.7.2. 持续验证优化的信息系统的可交付成果

5.7.3. 记录经验教训

6. 数据管理

6.1. 数据管理是指通过规划、控制与提供数据和信息资产的职能

6.2. 数据管理能力成熟度评估模型(Data Management Capability Maturity Assessment Model，DCMM)是国家标准GB/T 36073《数据管理能力成熟度评估模型》中提出的

6.3. 数据管理能力模型

6.3.1. 数据战略

6.3.1.1. 数据战略规划

6.3.1.1.1. 识别利益相关者

6.3.1.1.2. 数据战略需求评估

6.3.1.1.3. 数据战略制定

6.3.1.1.4. 数据战略发布

6.3.1.1.5. 数据战略修订

6.3.1.2. 数据战略实施

6.3.1.2.1. 评估准则

6.3.1.2.2. 评估准则

6.3.1.2.3. 评估差距

6.3.1.2.4. 实施路径

6.3.1.2.5. 保障计划

6.3.1.2.6. 任务实施

6.3.1.2.7. 过程监控

6.3.1.3. 数据战略评估

6.3.1.3.1. 建立任务效益评估模型

6.3.1.3.2. 建立业务案例

6.3.1.3.3. 建立投资模型

6.3.1.3.4. 阶段评估

6.3.2. 数据治理

6.3.2.1. 数据治理组织

6.3.2.1.1. 建立数据治理组织

6.3.2.1.2. 岗位设置

6.3.2.1.3. 团队建设

6.3.2.1.4. 数据归口管理

6.3.2.1.5. 建立绩效评价体系

6.3.2.2. 数据制度建设

6.3.2.2.1. 制定数据制度框架

6.3.2.2.1.1. 策略

6.3.2.2.1.2. 办法

6.3.2.2.1.3. 细则

6.3.2.2.2. 整理数据制度内容

6.3.2.2.3. 数据制度发布

6.3.2.2.4. 数据制度宣贯

6.3.2.2.5. 数据制度实施

6.3.2.3. 数据治理沟通

6.3.2.3.1. 沟通路径

6.3.2.3.2. 沟通计划

6.3.2.3.3. 沟通执行

6.3.2.3.4. 问题协商机制

6.3.2.3.5. 建立沟通渠道

6.3.2.3.6. 制订培训宣贯计划

6.3.2.3.7. 开展培训

6.3.3. 数据架构

6.3.3.1. 数据模型

6.3.3.1.1. 收集和理解组织的数据需求

6.3.3.1.2. 制定模型规范

6.3.3.1.3. 开发数据模型

6.3.3.1.4. 数据模型应用

6.3.3.1.5. 符合性检查

6.3.3.1.6. 模型变更管理

6.3.3.2. 数据分布

6.3.3.2.1. 数据现状梳理

6.3.3.2.2. 识别数据类型

6.3.3.2.2.1. 主数据

6.3.3.2.2.2. 参考数据

6.3.3.2.2.3. 交易数据

6.3.3.2.2.4. 统计分析数据

6.3.3.2.2.5. 文档数据

6.3.3.2.2.6. 元数据

6.3.3.2.3. 数据分布关系梳理

6.3.3.2.4. 梳理数据的权威数据源

6.3.3.2.5. 数据分布关系的应用

6.3.3.2.6. 数据分布关系的维护和管理

6.3.3.3. 数据集成与共享

6.3.3.3.1. 建立数据集成共享制度

6.3.3.3.2. 形成数据集成共享标准

6.3.3.3.3. 建立数据集成共享环境

6.3.3.3.4. 建立对新建系统的数据集成方式的检查

6.3.3.4. 元数据管理

6.3.3.4.1. 元模型管理

6.3.3.4.2. 元数据集成和变更

6.3.3.4.3. 元数据应用

6.3.4. 数据应用

6.3.4.1. 数据分析

6.3.4.1.1. 常规报表分析

6.3.4.1.2. 多维分析

6.3.4.1.3. 动态预警

6.3.4.1.4. 趋势预报

6.3.4.2. 数据开放共享

6.3.4.2.1. 梳理开放共享数据

6.3.4.2.2. 制定外部数据资源目录

6.3.4.2.3. 建立统一的数据开放共享策略

6.3.4.2.4. 数据提供方管理

6.3.4.2.5. 数据开放

6.3.4.2.6. 数据获取

6.3.4.3. 数据服务

6.3.4.3.1. 数据资产价值变现最直接的手段，也是数据资产价值衡量的方式

6.3.4.3.2. 数据服务需求分析

6.3.4.3.3. 数据服务开发

6.3.4.3.4. 数据服务部署

6.3.4.3.5. 数据服务监控

6.3.4.3.6. 数据服务授权

6.3.5. 数据安全

6.3.5.1. 数据安全策略

6.3.5.1.1. 建立组织的数据安全管理策略

6.3.5.1.2. 制定适合组织的数据安全标准

6.3.5.1.3. 定义组织数据安全管理的目标、原则、管理制度、管理组织、管理流程等

6.3.5.2. 数据安全管理

6.3.5.2.1. 数据安全等级的划分

6.3.5.2.2. 数据访问权限控制

6.3.5.2.3. 用户身份认证和访问行为监控

6.3.5.2.4. 数据安全的保护

6.3.5.2.5. 数据安全风险管理

6.3.5.3. 数据安全审计

6.3.5.3.1. 过程审计

6.3.5.3.2. 规范审计

6.3.5.3.3. 合规审计

6.3.5.3.4. 供应商审计

6.3.5.3.5. 审计报告发布

6.3.5.3.6. 数据安全建议

6.3.6. 数据质量

6.3.6.1. 数据质量需求

6.3.6.1.1. 定义数据质量管理目标

6.3.6.1.2. 定义数据质量评价维度

6.3.6.1.3. 明确数据质量管理范围

6.3.6.1.4. 设计数据质量规则

6.3.6.2. 数据质量检查

6.3.6.2.1. 制订数据质量检查计划

6.3.6.2.2. 数据质量情况剖析

6.3.6.2.3. 数据质量校验

6.3.6.2.4. 数据质量问题管理

6.3.6.3. 数据质量分析

6.3.6.3.1. 数据质量分析方法和要求

6.3.6.3.2. 数据质量问题分析

6.3.6.3.3. 数据质量问题影响分析

6.3.6.3.4. 数据质量分析报告

6.3.6.3.5. 建立数据质量知识库

6.3.6.4. 数据质量提升

6.3.6.4.1. 制定数据质量改进方案

6.3.6.4.2. 数据质量校正

6.3.6.4.3. 数据质量跟踪

6.3.6.4.4. 数据质量提升

6.3.6.4.5. 数据质量文化

6.3.7. 数据标准

6.3.7.1. 业务术语

6.3.7.1.1. 制定业务术语标准

6.3.7.1.2. 业务术语字典

6.3.7.1.3. 业务术语发布

6.3.7.1.4. 业务术语应用

6.3.7.1.5. 业务术语宣贯

6.3.7.2. 参考数据和主数据

6.3.7.2.1. 定义编码规则

6.3.7.2.2. 定义数据模型

6.3.7.2.3. 识别数据值域

6.3.7.2.4. 管理流程

6.3.7.2.5. 建立质量规则

6.3.7.2.6. 集成共享

6.3.7.3. 数据元

6.3.7.3.1. 建立数据元的分类和命名规则

6.3.7.3.2. 建立数据元的管理规范

6.3.7.3.3. 数据元的创建

6.3.7.3.4. 建立数据元的统一目录

6.3.7.3.5. 数据元的查找和引用

6.3.7.3.6. 数据元的管理

6.3.7.3.7. 数据元管理报告

6.3.7.4. 指标数据

6.3.7.4.1. 根据组织业务管理需求制定组织内指标数据分类管理框架

6.3.7.4.2. 定义指标数据标准化的格式

6.3.7.4.3. 根据指标数据的定义，由相关部门或应用系统定期进行数据的采集、生成

6.3.7.4.4. 对指标数据进行访问授权

6.3.7.4.5. 对指标数据采集、应用过程中的数据进行监控

6.3.7.4.6. 划分指标数据的归口管理部门、管理职责和管理流程

6.3.8. 数据生存周期

6.3.8.1. 数据需求

6.3.8.1.1. 建立数据需求管理制度

6.3.8.1.2. 收集数据需求

6.3.8.1.3. 评审数据需求

6.3.8.1.4. 更新数据管理标准

6.3.8.1.5. 集中管理数据需求

6.3.8.2. 数据设计和开发

6.3.8.2.1. 设计数据解决方案

6.3.8.2.2. 数据准备

6.3.8.2.3. 数据解决方案质量管理

6.3.8.2.4. 实施数据解决方案

6.3.8.3. 数据运维

6.3.8.3.1. 制定数据运维方案

6.3.8.3.2. 数据提供方管理

6.3.8.3.3. 数据平台的运维

6.3.8.3.4. 数据需求的变更管理

6.3.8.4. 数据退役

6.3.8.4.1. 数据退役需求分析

6.3.8.4.2. 数据退役设计

6.3.8.4.3. 数据退役执行

6.3.8.4.4. 数据恢复检查

6.3.8.4.5. 归档数据查询

6.3.9. 图

6.4. 理论框架与成熟度

6.4.1. 数据管理能力成熟度模型（DCMM）

6.4.1.1. 初始级

6.4.1.1.1. 被动式

6.4.1.2. 受管理级

6.4.1.2.1. 组织意识到数据是资产

6.4.1.3. 稳健级

6.4.1.3.1. 数据己被当做实现组织绩效目标的重要资产

6.4.1.4. 量化管理级

6.4.1.4.1. 数据被认为是获取竞争优势的重要资源

6.4.1.5. 优化级

6.4.1.5.1. 数据被认为是组织生存和发展的基础

6.4.2. 数据治理框架（Data Governance Institute, DGI ）

6.4.3. 数据管理能力评价模型（Data Management capability Assessment Model, DCAM）

6.4.4. 数据管理模型（DAMA定义的模型）

7. 运维管理

7.1. 能力模型

7.1.1. IT运维能力模型图

7.1.2. 能力建设

7.1.2.1. 服务需求

7.1.2.2. 服务提供

7.1.2.3. 服务价值

7.1.3. 人员能力

7.1.3.1. 运维人员一般分为管理类、技术类和操作类三种人员岗位

7.1.3.2. 选人做事

7.1.3.3. 面向IT运维所有干系人需求，建立人员需求规划

7.1.3.4. 基于人员需求计划，制定人员招聘、培训、储备和考核机制并实施

7.1.3.5. 定义IT运维人员岗位

7.1.3.6. 建立运行维护服务对应岗位的等级评价标准

7.1.3.7. 建立运行维护服务团队和人员能力评价机制

7.1.3.8. 实施团队和人员能力评价

7.1.3.9. 依据评价结果对人员能力进行持续改进，需要时调整人员能力计划

7.1.4. 资源能力

7.1.4.1. 保障做事

7.1.5. 技术能力

7.1.5.1. 高效做事

7.1.5.2. "早发现，早解决" 一直是it 运维的一个重要原则

7.1.6. 过程

7.1.6.1. 正确做事

7.1.6.2. 过程又称流程，是为达到特定的价值目标而由不同的人分别共同完成的一系列活动

7.2. 智能运维

7.2.1. 中国电子工业标准化技术协会发布的团体标准T/CESA 1172《信息技术服务智能运维通用要求》

7.2.2. 智能运维能力框架

7.2.3. 能力要素

7.2.3.1. 人员

7.2.3.2. 技术

7.2.3.3. 过程

7.2.3.4. 数据

7.2.3.5. 算法

7.2.3.6. 资源

7.2.3.7. 知识

7.2.4. 能力平台

7.2.4.1. 智能运维能力平台通常具备数据管理、分析决策、自动控制等能力

7.2.5. 能力应用

7.2.5.1. 场景分析

7.2.5.2. 能力构建

7.2.5.3. 服务交付

7.2.5.4. 迭代调优

7.2.6. 智能运维需具备若干智能特征

7.2.6.1. 能感知

7.2.6.1.1. 具备灵敏、准确地识别人、活动和对象的状态的特点

7.2.6.2. 会描述

7.2.6.2.1. 具备直观友好地展现和表达运维场景中各类信息的特点

7.2.6.3. 自学习

7.2.6.3.1. 具备积累数据、完善模型、总结规律等主动获取知识的特点

7.2.6.4. 会诊断

7.2.6.4.1. 具备对人、活动和对象进行分析、定位、判断的特点

7.2.6.5. 可决策

7.2.6.5.1. 具备综合分析，给出后续处置依据或解决方案的特点

7.2.6.6. 自执行

7.2.6.6.1. 具备对己知运维场景做出自动化处置的特点

7.2.6.7. 自适应

7.2.6.7.1. 具备自动适应环境变化，动态优化处理的特点

8. 信息安全管理

8.1. CIA三要素

8.1.1. 保密性(Confidentiality)

8.1.2. 完整性(Integrity)

8.1.3. 可用性(Availability)

8.2. 信息安全管理体系

8.2.1. 落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划

8.2.2. 开发安全策略

8.2.3. 实施风险管理

8.2.4. 制订业务持续性计划和灾难恢复计划

8.2.5. 选择与实施安全措施

8.2.6. 保证配置、变更的正确与安全

8.2.7. 进行安全审计

8.2.8. 保证维护支持

8.2.9. 进行监控、检查，处理安全事件

8.2.10. ⑩安全意识与安全教育

8.2.11. ⑾人员安全管理

8.3. 步骤·

8.3.1. 配备安全管理人员

8.3.2. 建立安全职能部门

8.3.3. 成立安全领导小组

8.3.4. 主要负责人出任领导

8.3.5. 建立信息安全保密管理部门

8.4. GB/T 22240《信息安全技术网络安全等级保护定级指南》

8.4.1. 第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益

8.4.2. 第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全

8.4.3. 第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害

8.4.4. 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害或者对国家安全造成严重危害

8.4.5. 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害

8.5. GB/T 22239《信息安全技术网络安全等级保护基本要求》

8.5.1. 第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能

8.5.2. 第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能

8.5.3. 第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能

8.5.4. 第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能

8.5.5. 第五级安全保护能力

8.6. 其他参见《学信息系统项目管理师第4版系列11_信息安全管理》