第四章 信息系统管理 (2024年详细解析版）

目录

• [4.1 管理方法](#4.1 管理方法)
  • [4.1.1 管理基础](#4.1.1 管理基础)
    • [4.1.1.1 信息系统的层次结构](#4.1.1.1 信息系统的层次结构)
    • [4.1.1.2 系统管理](#4.1.1.2 系统管理)
      • [4.1.1.2.1 规划和组织](#4.1.1.2.1 规划和组织)
        • [4.1.1.2.1.1 信息系统战略三角](#4.1.1.2.1.1 信息系统战略三角)
          • 信息系统战略三角-----业务战略
          • 信息系统战略三角-----组织机制战略
          • 信息系统战略三角-----信息系统战略(细节无需背)
  • [4.1.2 设计和实施](#4.1.2 设计和实施)
    • [4.1.2.1 设计方法](#4.1.2.1 设计方法)
      • [4.1.2.1.1 两个转换](#4.1.2.1.1 两个转换)
      • [4.1.2.1.2 转换框架](#4.1.2.1.2 转换框架)
    • [4.1.2.2 架构模式 (应该掌握)](#4.1.2.2 架构模式 (应该掌握))
  • [4.1.3 运维和服务(比较重要)](#4.1.3 运维和服务(比较重要))
    • [4.1.3.1 信息系统运维服务概述](#4.1.3.1 信息系统运维服务概述)
      • [4.1.3.1.1 运行管理和控制](#4.1.3.1.1 运行管理和控制)
      • [4.1.3.1.2 IT服务管理](#4.1.3.1.2 IT服务管理)
      • [4.1.3.1.3 运行与监控](#4.1.3.1.3 运行与监控)
      • [4.1.3.1.4 终端侧管理(为使用者提供一个PC或者账户进行管理)](#4.1.3.1.4 终端侧管理(为使用者提供一个PC或者账户进行管理))
      • [4.1.3.1.5 程序库管理](#4.1.3.1.5 程序库管理)
      • [4.1.3.1.6 安全管理](#4.1.3.1.6 安全管理)
      • [4.1.3.1.7 介质控制](#4.1.3.1.7 介质控制)
      • [4.1.3.1.8 数据管理](#4.1.3.1.8 数据管理)
  • [4.1.4 优化和持续改进](#4.1.4 优化和持续改进)
    • [4.1.4.1 优化和持续改进的概念](#4.1.4.1 优化和持续改进的概念)
    • [4.1.4.2 DMAIC/DMADV(可以读作得迈特)](#4.1.4.2 DMAIC/DMADV(可以读作得迈特))
      • [4.1.4.2.1 定义阶段](#4.1.4.2.1 定义阶段)
      • [4.1.4.2.2 度量阶段](#4.1.4.2.2 度量阶段)
      • [4.1.4.2.3 分析阶段](#4.1.4.2.3 分析阶段)
      • [4.1.4.2.4 改进/设计阶段](#4.1.4.2.4 改进/设计阶段)
      • [4.1.4.2.5 控制/验证阶段](#4.1.4.2.5 控制/验证阶段)
• [4.2 管理要点](#4.2 管理要点)
  • [4.2.1 数据管理(重点)](#4.2.1 数据管理(重点))
    • [4.2.1.1 数据管理的概念](#4.2.1.1 数据管理的概念)
    • [4.2.1.2 DCMM(国内提出的)](#4.2.1.2 DCMM(国内提出的))
      • [4.2.1.2.1 8个核心能力域和28个过程域(背至少八个能力域(蓝色字的部分))](#4.2.1.2.1 8个核心能力域和28个过程域(背至少八个能力域(蓝色字的部分)))
        • 数据战略
        • 数据治理
        • 数据架构
        • 数据应用
        • 数据安全
        • 数据质量
        • 数据标准
        • 数据生命周期
    • [4.2.1.3 理论框架与成熟度](#4.2.1.3 理论框架与成熟度)
    • [4.2.1.3.1 数据管理能力成熟度模型(考点)](#4.2.1.3.1 数据管理能力成熟度模型(考点))
    • [4.2.1.3.2 DGI 数据治理框架(3+10 : 3个维度加10个组件)](#4.2.1.3.2 DGI 数据治理框架(3+10 : 3个维度加10个组件))
    • [4.2.1.3.3 数据管理能力评价模型DCAM(了解)](#4.2.1.3.3 数据管理能力评价模型DCAM(了解))
    • [4.2.1.3.4 DAMA数据管理模型](#4.2.1.3.4 DAMA数据管理模型)
  • [4.2.2 运维管理](#4.2.2 运维管理)
    • [4.2.2.1 IT 运维能力模型](#4.2.2.1 IT 运维能力模型)
      • 能力建设
        • [人员能力(选人做事: 用什么人做什么岗位的事情)](#人员能力(选人做事: 用什么人做什么岗位的事情))
        • 资源能力(保障做事)
        • [技术能力(高效做事: 重要)](#技术能力(高效做事: 重要))
        • 过程能力(正确做事:集成其他三个能力,如何正确做事,正确做事的顺序)
    • [4.2.2.2 智能运维](#4.2.2.2 智能运维)
      • [4.2.2.2.1 能力要素(七个要素解释)](#4.2.2.2.1 能力要素(七个要素解释))
      • [4.2.2.2.2 能力平台(能力域)](#4.2.2.2.2 能力平台(能力域))
      • [4.2.2.2.3 能力应用(场景实现)](#4.2.2.2.3 能力应用(场景实现))
      • [4.2.2.2.4 智能特征](#4.2.2.2.4 智能特征)
  • [4.2.3 信息安全管理](#4.2.3 信息安全管理)
    • [4.2.3.1 CIA三要素](#4.2.3.1 CIA三要素)
    • [4.2.3.2 信息安全管理体系](#4.2.3.2 信息安全管理体系)
    • [4.2.3.3 网络安全等级保护(旧版叫信息安全等级保护)](#4.2.3.3 网络安全等级保护(旧版叫信息安全等级保护))
      • [安全保护等级划分 GB/T 22240《 信息安全技术 网络安全等级保护 定级指南 》](#安全保护等级划分 GB/T 22240《 信息安全技术 网络安全等级保护 定级指南 》)
      • [安全保护能力等级划分GB/T 22239《信息安全技术 网络安全等级保护 基本要求》](#安全保护能力等级划分GB/T 22239《信息安全技术 网络安全等级保护 基本要求》)
• [4.3 单词汇总](#4.3 单词汇总)
• 附录

4.1 管理方法

• 治理层次比较高,是关于管理的管理,信息系统管理是直接涉及到信息系统方方面面的管理.

4.1.1 管理基础

• 信息管理总体上涉及那些方面.

4.1.1.1 信息系统的层次结构

• 信息系统是对信息进行采集、处理、存储、管理和检索，形成组织中的信息流动和处理，必要时能向有关人员提供有用信息的系统。

4.1.1.2 系统管理

• 信息系统管理覆盖四大领域.

领域	描述
规划和组织	针对信息系统的整体组织、战略和支持活动
设计和实施	针对信息系统解决方案的定义、采购和实施， 以及他们与业务流程的整合
运维和服务	针对信息系统服务的运行交付和支持，包括安全
优化和持续改进	针对信息系统的性能监控及其于内部性能目标、 内部控制目标和外部要求的一致性管理

4.1.1.2.1 规划和组织

4.1.1.2.1.1 信息系统战略三角

• 战略是实现目标、意图和目的的一组协调行动。信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性，在规划业务时，需要对三者进行协同.(三方面互相影响.)

信息系统战略三角-----业务战略

• 业务战略阐明了组织寻求的业务目标以及期望如何达成的路径。管理层根据经济与社会情况、产品与服务对象需求和组织能力构建业务战略计划.

• 差异性战略 ： 提供的产品跟同行业其他产品不一样，概括为特别。
• 总成本领先战略 : 就是比其他产品都便宜.比如:淘宝、拼多多都采用的战略。
• 专注战略： 把某一项做到最好。 例如：海底捞

信息系统战略三角-----组织机制战略

• 组织机制战略包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。组织机制战略本质上需要回答 " 组织将如何构建以实现目标并实施其业务战略 " 这一问题，并围绕这一问题形成有效的规划。(组织设计的时候，四个方面互相影响.)

• 知道三类变量标题：
  • 组织变量 ： 权利稍微高一些.
  • 控制变量 : 涉及组织运行的一些因素.
  • 文化变量 : 企业文化也会影响企业的业务战略.

信息系统战略三角-----信息系统战略(细节无需背)

• 信息系统战略是组织用来提供信息服务的计划。信息系统帮助确定组织的能力.(敢于系统的高层次的计划,帮助实现业务战略.)

• 矩阵(矩阵就是表格)框架的目的是为管理者提供一个信息系统组件与策略间关系的观察视图，整体信息系统的四个基础结构组件与其他资源相关事项之间的关系构成了信息系统战略的关键点.

4.1.2 设计和实施

4.1.2.1 设计方法

• 开展信息系统设计和实施，需要首先将业务战略转化为信息系统架构，然后将该架构转化为信息系统设计.(设计方法可以看做是开发或者规划信息系统的具体的方法).

• 业务战略分解成小目标,小目标分解成业务需求,分解之后,才能把整个业务战略转化为系统架构
• 详细的收集每个功能需求的功能规格,通过硬件规格,软件规格,数据协议,接口规格等的支撑,这些作为细节设计,从信息系统架构到系统设计的转型.(概括了两个转换,转换框架内容)

4.1.2.1.1 两个转换

• 1. 从战略到系统架构
  • 组织必须从业务战略开始，使用该战略制定更具体的目标。然后从每个目标派生出详细的业务需求
  • 需要与架构设计人员合作，将业务需求转换为构成信息系统架构的系统要求、标准和流程的更详细视图（ 即信息系统架构要求 ）
  • 应确保信息系统顺利开发、实施和使用所需的治理安排。治理安排指定组织中哪个人保留对信息系统的控制权和责任。
• 2. 从系统架构到系统设计
  • 将信息系统架构转换为系统设计时，信息系统架构被转换为功能规格。需要添加更多细节，包括实际的硬件、数据、网络和软件。进而扩展到数据的位置和访问过程、防火墙的位置、链路规范、宣联设计等。
  • ++信息系统具有多个级别：++
    • ++① 全局级别：侧重于整个组织，并构成整个组织的信息环境++
    • ++② 组织间级别：为跨组织边界的服务对象、供应商或其他利益干系人的沟通奠定基础++
    • ++③ 应用级：在考虑特定业务应用时，重点考虑的数据库和程序组件，以及它们运行的设备和操作环境。++

4.1.2.1.2 转换框架

• 转换框架将业务战略转化为信息系统架构进而转变为信息系统设计，转换框架提出了三类问题：内容、人员和位置。
  • " 内容 " 组件是什么，并确定特定类型的技术等
  • " 人员 " 相关组件涉及哪些个人、团体和部门
  • " 位置 " 确定所有内容各自的位置
  • 下图转化不重要

4.1.2.2 架构模式 (应该掌握)

• 信息系统体系架构有三种常见模式.

• 集中式架构 : 以前使用 , 安全性比较高,伸缩性好, 功能集中.
• 分布式架构 : 目前最多企业使用的架构 , 上云服务应用,由多个物理的设备连成一个网络,服务器可以分布在很多地方,业务不集中的话,可以使用分布式架构.
• 面向服务的架构 : 特殊的分布式架构,(SOA:每个小的业务单元,分成一个服务,这个服务通过内网或互联网提供一个对外的接口,如果要使用某个功能,调用对应的API),通过小的服务搭建自己的服务.(对外提供接口的方式都可以看做是SOA模式,比如小程序接口,微信公众号接口,短信接口,邮箱接口)

在考虑集中式与分布式架构决策时，必须注意权衡与取舍.

4.1.3 运维和服务(比较重要)

4.1.3.1 信息系统运维服务概述

• 信息系统的运维和服务从信息系统运行的视角进行整合性的统筹规划，包括对信息系统、应用程序和基础设施的日常控制进行综合管理，以有效支持组织目标达成和流程实现.

• 信息系统的运维和服务包括：

  • 运行管理和控制
  • IT 服务管理
  • 运行与监控
  • 终端侧管理
  • 程序库管理
  • 安全管理
  • 介质控制
  • 数据管理

4.1.3.1.1 运行管理和控制

• IT团队发生的所有活动都应受到管理和控制。过程和项目应具有足够的记录保存，以便管理层能够了解这些活动的状态。管理层最终负责信息系统运行团队发生的所有活动。
• 运行的管理控制主要活动包括：
  • 过程开发：操作人员执行的重复性活动应以过程的形式记录下来，需要开发、审查和批准描述每个过程及其每个步骤的相关文档，并将其提供给运营人员。
  • 标准制定：从运行执行任务的方式到所使用的技术，采用标准化定义和约束，从而有效推动信息系统运行相关工作的一致性。
  • 资源分配：管理层分配支持信息系统运行的各项能力，包括人力、技术和资源。资源分配应与组织的使命、目标和目的保持一致。
  • 过程管理：应测量和管理所有信息系统运行的相关过程，确保过程在时间上和预算目标内被正确和准确地执行。

4.1.3.1.2 IT服务管理

• IT服务管理是通过主动管理和流程的持续改进来确保T服务交付有效且高效的组活动
• ( 1）服务台：是组织体现IT服务的重要环节, 也是服务干系人体验的重要感知窗口.服务台是服务中与干系人沟通和交互的重要界面，负责对问题和需求进行响应和处理;服务台是IT服务千系人的 " 管方 " 接口和信息发布点，组织内部各个团队之间相互协作的纽带和协调者，服务台对IT服务质量及服务干系人体验的管理至关重要，是组织IT服务能力持续提升的战略单元.(服务台不是一种活动,是一种业务部门和服务部门的接口,就是服务台.)
• （2）事件管理：IT服务管理遭遇计划外中断或服务质量出现下降，以及尚未影响服务的配置项故障。事件可能是服务中断、服务速度变慢、软件缺陷以及任何组件发生故障.(也叫故障管理,例如:网络断了,传真坏了,就是一个事故,报告给服务台.)
• （3）问题管理：当发生了几个看起来具有相同或相似根本原因的事件时，就会启动问题管理活动,问题管理的总体目标减少事件的数量和严重性，这种对事件的控制既包括发生事件后的被动性措施,也包括采取主动措施预防与容量相关的事件发生.(频繁发生的事故就是问题了,就需要花很多精力解决共性的事件.)
• （4）变更管理：使一个或更多信息系统配置项的状态发生改变的行动。变更管理可确保在信息技术环境中执行的所有变更都得到控制和一致化的执行。(变更管理关注变更流程,对任何配置项变更的时候,都得考虑这个变更对整体IT系统的影响,经过批准之后才能改走变更.)
• （5）配置管理：通过技术或者行政的手段对信息系统的信息进行管理的一系列活动,这些信息不仅包括信息系统具体配置项信息，还包括这些配置项之间的相互关系。(配置管理关注配置项的状态,而配置项的修改需要走变更管理流程.)

-----------------------------------------前五个是服务支持的流程--------------------------------------------------------------

• (6) 发布管理：负责计划和实施信息系统的变更，并且记录该变更的各方面信息。发布是由其实施的变更请求定义的，发布一般是由许多问题修复和IT服务质量改进组成的。(关注最终的对外产品,例如: 运行的版本管理.)
• （7）服务级别管理：对IT服务的级别进行定义、记录和管理，并在可接受的成本之下与干系人达成一致的管理过程，通过服务水平协议（Service Level Agreement，SLA）、服务绩效监控和报告的不断循环，持续维护和改进服务质量，以及触发采取行动消除较差服务，从而满足干系人的服务需求。(需要多大服务,就付出相应的成本. 例如: 需要多大带宽,就付出多大的成本.)
• （8）财务管理：负责对IT服务运作过程中所有资源进行财务管理的流程，主要活动包括：预算编制、设备投资、费用管理、项目会计和项目投资回报率（Return On Investment，ROI）管理等。财务管理考虑了支持组织目标的IT服务的财务价值。
• （9）容量管理：用于确认信息系统中有足够的容量满足服务需求。如果信息系统的性能在可接受的范围内，则其具有足够的容量。容量管理不仅仅关注当前需求，还必须考虑未来的需求。(有多少服务能力,满足对方的服务要求.)
• （10）服务连续性管理：一组与组织持续提供服务的能力相关的活动，主要是在发生自然或人为灾难时继续保持服务有效性的活动。分为服务连续性管理的治理、业务影响分析、制订和维护服务连续性计划、测试服务连续性计划、响应与恢复五个过程。(留足够的人力资源或者财务资源应对灾难.)
• （11) 可用性管理：是有关设计、实施、监控、评价和报告IT服务的可用性以确保持续地满足服务干系人的可用性需求的服务管理流程。(为了达成可用性,提前对系统进行设计或安排.能让系统在开放时间内能一直提供这总服务)

4.1.3.1.3 运行与监控

• 有效的IT运行要求IT人员按照既定流程和过程理解并正确执行任务。
• IT运行的任务常包括：
  • ① 按照计划执行作业
  • ② 监控作业，并按照优先级为作业分配资源
  • ③ 重新启动失败的作业和进程
  • ④ 通过加载或变更备份介质，或通过确保目标的存储系统就绪来优化备份作业
  • ⑤ 监控信息系统、应用程序和网络的可用性，保证这些系统具备足够的性能
  • ⑥ 实施空闲期的维护活动，如设备清洁和系统重启等。

在IT运行环境中发生的异常和错误，通常按照IT服务管理体系中的事件管理和问题管理流程进行处理.

• 1）运行监控

  • IT团队应对(对什么内容进行监控?)信息系统、应用程序和基础设施进行监控，以确保它们继续按要求运行。IT团队应记录任何意外或异常活动的事件，并基于流程对事件进行管理。
  • 检测和报告的错误类型包括：系统错误、程序错误、通信错误和操作员错误等.

• 2）安全监控(涉及防火墙,入侵检测机制等)

  • 组织需要执行不同类型的安全监控，并把安全监控作为其整体策略的一部分，以预防和响应安全事件.
  • 组织可能执行的监控类型包括：防火墙策略规则中的例外情况、入侵防御系统的告警、数据丢失防护系统的告警、云安全访问代理的告警、用户访问管理系统的告警、网络异常的告警、网页内容过滤系统的告警、终端管理系统的告警（含反恶意软件）、供应商发布的安全公、第三方发布的安全公告、威胁情报咨询、门禁系统的告警和视频监控系统的告警等。

4.1.3.1.4 终端侧管理(为使用者提供一个PC或者账户进行管理)

• IT团队职能的一个关键环节是向组织人员提供的服务，以改善他们对IT访问和使用的情况。
• " 锁定 " 最终用户计算机限制了最终用户执行的配置更改的数量和类型，但这些限制不仅有助于确保最终用户的设备和整个组织的IT环境具有更高的安全性，而且还促进了更高的一致性，从而降低了支持成本。(每台计算机上要安装监控软件,叫做锁定.不能随便对系统进行升级.限制用户使用的灵活度.涉及安全和统一的一致性管理.)

组织通常使用T管理工具来促进对用户终端计算机的高效和一致的管理.

4.1.3.1.5 程序库管理

• 程序库是组织用来存储和管理应用程序源代码和目标代码的工具。(要纳入配置管理库管理.)

• 程序库的控制使组织能够对其应用程序的完整性、质量和安全性进行高度控制。程序库通常作为具有用户界面和多种功能的信息系统存在。

• 程序库主要功能包括：

  • 访问控制
  • 程序签出
  • 程序签入
  • 版本控制
  • 代码分析

应用程序源代码非常敏感，可能被视为知识产权，并可能包含算法、加密密钥和其他敏感信息，应通过组织的安全策略和数据分类策略进行管理，应由尽可能少的人员访问.

4.1.3.1.6 安全管理

• 信息安全管理可确保组织的信息安全计划充分识别和解决风险，并在整个运维和服务过程中正常运行.

4.1.3.1.7 介质控制

• 组织需要采取一系列活动，以确保数字介质得到适当管理，保护所需的数据、丢弃和擦除不再需要的数据.
• 介质清理后应该无法以其他方式恢复。介质清理的策略和程序需要包含在服务提供商的相关要求中，以及记录保存活动以跟踪介质随时间推移的销毁情况。

应关注的介质包括：备份介质、虚拟磁带库、光学介质、硬盘驱动器、固态驱动器、闪存、硬拷贝等.

4.1.3.1.8 数据管理

• 数据管理是与数据的获取、处理、存储、使用和处置相关的一组活动.(管理要点是重点.)

4.1.4 优化和持续改进

4.1.4.1 优化和持续改进的概念

• (重要性 : )优化和持续改进是信息系统管理活动中的一个环节，良好的优化和持续改进管理活动能够有效保障信息系统的性能和可用性等，延长整体系统的有效使用周期。(持续改进,每次改进一点点,下次再做一个PDCA.)

4.1.4.2 DMAIC/DMADV(可以读作得迈特)

• 六西格玛倡导的五阶段方法DMAIC，包括 :
  • 定义 ( Define ) 😦定义改进的目标,系统要改进哪个方面.)
  • 度量 ( Measure )😦了解现在系统的情况,把现在系统情况展现出来.)
  • 分析 ( Analysis ) : 😦为什么当前系统如此冗余,分析看哪个节点细节可以删除掉,使得整个系统更加流畅,更简单.)
  • 改进/设计 ( Improve / Design ): 😦真正执行优化和改进.)
  • 控制/验证 ( Control / Verify ): 😦改进之后,是否达成当初定义的目标了,总结成经验教训了.)

当第四阶段的"改进"替换为 " 设计 " ，第五阶段的"控制"替换为 " 验证 " 时，五阶段法就从DMAIC转变为DMADV

4.1.4.2.1 定义阶段

• 定义阶段的目标包括待优化信息系统定义、核心流程定义和团队组建.
• ( 1 ) 待优化信息系统定义。该活动关注定义协同的范围、优化目标和目的、系统团队成员和出资人，以及优化时间表和交付成果。待优化信息系统范围与关键业务实践、服务对象交互有关，该定义需要了解信息系统相关的业务。可使用 " 延伸目标 " 概念来定义信息系统，帮助超越渐进式改进，重新思考信息系统相关业务、运行或流程，以达到可以实现重大改进的程度。
• ( 2 ) 核心流程定义。该活动关注定义利益干系人、投入和产出以及广泛的功能SIPOC（Supplier、Input、Process、Output、Customer）分析是定义核心流程视图的首选工具。任何一个组织都是一个由提供人、输入、流程、输出，还有服务对象这样相互关联、互动的5个部分组成的系统。
• ( 3 ) 团队组建。该活动重点关注从关键干系人群体中确定人员组建高能力团队对信息系统的问题和收益达成共识。从关键干系人群体中选出可靠的团队成员，以代表他们在优化和持续改进中的职能或领域。团队通常限制为5--7名参与者，较大的团队更难管理，成员可能会失去对团队的责任感。其他团队成员可能是来自非关键利益干系人组的临时成员，仅在需要时参与。

4.1.4.2.2 度量阶段

• 度量阶段目标包括流程定义、指标定义、流程基线和度量系统分析。
  • ( 1 ) 流程定义。通常使用流程图工具定义度量阶段的流程，以图形方式实现给定信息系统的输入，操作和输出。流程图应尽可能简单。当流程图指示太多的决策点时，可能出现了过于复杂的过程，可能会出错。因此，决策点是信意系统优化的一个潜在改进重点。
  • ( 2 ) 指标定义。待优化信息系统的定义包括将用于评估流程的指标。选择能够切实提高系统质量、业务绩效和服务对象满意度的指标非常重要。度量指标用于确定影响信息系统的各种因素及其相对重要性，并可比较信息系统不同组件对业务的整体贡献。
  • ( 3 ) 流程基线。必须通过基线确定现有系统的能力，以确定当前系统在多大程度上较好地满足了服务对象的要求，并验证定义阶段中确立的信息系统目标达成情况。
  • ( 4 ) 度量系统分析。质量始于度量。只有当质量被量化时，才能开始讨论优化和持续改进。度量是根据某些规则将数值分配给被观察到的现象。
    • 良好的度量系统具备如下特性：
      • 准确：应该产生一个"接近"被测量的实际属性的数值。
      • 可重复：如果测量系统反复应用于同一物体，则产生的测量价值应彼此接近。
      • 线性：测量系统应能够在整个关注范围内产生准确和一致的结果。
      • 可重现：当任何经过适当培训的个人使用时，测量系统应产生相同的结果。
      • 稳定：应用于相同的项目时，测量系统将来应产生与过去相同的结果。

4.1.4.2.3 分析阶段

• 分析阶段的三个目标如下：

  • ( 1 ) 价值流分析。价值流分析首先定义信息系统使用者眼中相关产品或服务的价值。价值也可以定义为：

  • ① 组织愿意投资的系统组件；

  • ② 改变信息系统形式、适合度或功能的活动；

  • ③ 将业务输入经信息系统转换为输出的活动。

  • ( 2 ) 信息系统异常的源头分析。度量阶段的信息系统异常的来源，提供了信息系统**稳定（即控制中）或不稳定（即失控）**的证据。对于稳定的信息系统，只有通过对系统进行根本性的更改，才能减少系统内置的常见变异原因。当系统失控时，则必须解决并消除在特定时间段内造成不稳定情况的特殊原因，重新获得稳定的过程，然后可以进行改进。

  • ( 3 ) 确定优化改进的驱动因素。优化改进的驱动因素是指对信息系统优化影响最大的因素。信息系统改进需要减少其系统或组件的异常，或者将系统衡量的中位线移动到更有利的设置。无论哪种情况，专注于关键的优化改进驱动因素都将有助于信息系统的优化和持续改进.

4.1.4.2.4 改进/设计阶段

• 改进/设计阶段的目标如下：

• ( 1 ) 改进/设计的解决方案推进。改进/设计阶段解决方案的部署可以缩小信息系统当前状态与所需状态之间的差距。这个阶段定义了改进和成本降低的相关计划。它通常是成败点，需要团队考虑之前未考虑的因素，并成为变革的真正推动者。此时的管理支持至关重要。

• ( 2 ) 定义新的操作/设计条件。定义阶段中引1入的核心流程可用于开发新流程，还可以进行其他实验设计，以确定新信息系统或新系统中新的功能和设计所需的最佳操作条件，以最大或最小化响应。

• ( 3 ) 定义和缓解故障模式。建立了信息系统的优化和持续改进流程之后，可以评估其故障模式。了解信息系统的故障模式使组织能够定义不同故障的缓解策略，以最大限度地减少故障的影响或发生。在无法预防故障的情况下，可以制定一种策略来最大限度地减少故障的发生并控制损失。

4.1.4.2.5 控制/验证阶段

• 控制/验证阶段的目标如下：

  • ( 1 ) 标准化新程序/新系统功能的操作控制要素。当信息系统得到改进，组织需要更好地控制系统，保持进一步改进的能力。管理者必须对改进形成的新方法、新系统运行进行标准化，以维持改进带来的效益。标准化的业务层面控制是保持信息系统优化改进的方法。培训对新系统或优化系统的操作控制能力，是维护已部署改进的关键。

  • ( 2 ) 持续验证优化的信息系统的可交付成果。组织应当将变更的系统组件信息、信息系统状态趋势等内容，对受影响的人员开展培训。当这些人员不仅了解信息系统如何变化，还应了解其产生的原因，以及可能会在未来找到进一步改进的方法。

  • ( 3 ) 记录经验教训。随着项目小组完成其活动，必须最终确定和保留项目文档。其中一个关键方面是记录经验教训，如为了更快或更好的结果，可能会做些什么事情。经验对组织中的其他团队有用吗？这种团队总结的另一个重要作用是对他们努力的认可。

4.2 管理要点

4.2.1 数据管理(重点)

• 数据,运维和安全,三个方面进行管理

4.2.1.1 数据管理的概念

• 数据管理是指通过规划、控制与提供数据和信息资产的职能，包括开发、执行和监督有关数据的计划、策略、方案、项目、流程、方法和程序，以获取、控制、保护、交付和提高数据和信息资产价值。

• 数据管理框架是对组织的管理平台或者能够产生业务数据的平台产生的数据进行统一的跟踪、协调、管理的功能模型。

数据资源管理致力于发展和处理组织数据全生命周期的适当的构建、策略、实践和程序.

4.2.1.2 DCMM(国内提出的)

• 数据管理能力成熟度评估模型（Data Management Capability Maturity Assessment Model，DCMM）是国家标准GB/T 36073《数据管理能力成熟度评估模型》中提出的旨在帮助组织利用先进的数据管理理念和方法，建立和评价自身数据管理能力，持续完善数据管理组织、程序和制度，充分发挥数据在促进组织向信息化、数字化、智能化发展方面的价值。

4.2.1.2.1 8个核心能力域和28个过程域(背至少八个能力域(蓝色字的部分))

• DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域，细分为28个过程域和445条能力等级标准。

数据战略

• 组织的数据战略能力域通常包括数据战略规划、数据战略实施和数据战略评估三个能力项。

  • （ 1 ）数据战略规划。数据战略规划是在组织所有利益相关者之间达成共识的结果。从宏观及微观两个层面确定开展数据管理及应用的动因，并综合反映数据提供方和消费方的需求。数据战略规划主要活动和工作要点包括：

    • 识别利益相关者：明确利益相关者的需求.

    • 数据战略需求评估：组织对业务和信息化现状进行评估，了解业务和信息化对数据的需求。

    • 数据战略制定：主要包括

      • ① 愿景陈述，其中包含数据管理原则、目的和目标；
      • ② 规划范围，其中包含重要业务领域、数据范围和数据管理优先权；
      • ③ 所选择的数据管理模型和建设方法；
      • ④ 当前数据管理存在的主要差距；
      • ⑤ 管理层及其责任，以及利益相关者名单；
      • ⑥ 编制数据管理规划的管理方法；
      • ⑦ 持续优化路线图。

    • 数据战略发布：以文件、网站、邮件等方式正式发布审批后的数据战略.

    • 数据战略修订：根据业务战略、信息化发展等方面的要求，定期进行数据战略的修订。

  • （ 2 ）数据战略实施。数据战略实施是组织完成数据战略规划后，逐渐实现数据职能框架的过程。实施过程中依据组织数据管理和数据应用的现状，确定与愿景、目标之间的差距；依据数据职能框架制定阶段性数据任务目标，并确定实施步骤。数据战略实施主要活动和工作要点包括：

    • 评估准则：建立数据战略规划实施评估标准，规范评估过程和方法。
    • 现状评估：对组织当前数据战略落实情况进行分析，评估各项工作开展情况。
    • 评估差距：根据现状评估结果与组织数据战略规划进行对比，分析存在的差异。
    • 实施路径：利益相关者结合组织的共同目标和实际业务价值进行数据职能任务优先级排序。
    • 保障计划：依据实施路径，制定开展各项活动所需的预算。
    • 任务实施：根据任务开展工作。
    • 过程监控：依据实施路径，及时对实施过程进行监控。

  • （ 3 ）数据战略评估。组织在数据战略评估过程中需要建立对应的业务案例和投资模型，并在整个数据战略实施过程中跟踪进度，同时做好记录供审计和评估使用。数据战略评估主要活动和工作要点包括：

    • 建立任务效益评估模型：从时间、成本、效益等方面建立数据战略相关任务的效益评估模型。
    • 建立业务案例：建立基本的用例模型、项目计划、初始风险评估和项目描述，能确定数据管理和数据应用相关任务(项目)的范围、活动、期望的价值以及合理的成本收益分析。
    • 建立投资模型：作为数据职能项目投资分析的基础性理论，投资模型确保在充分考虑成本和收益的前提下对所需资本合理分配，投资模型要满足不同业务的信息科技需求以及对应的数据职能内容，同时要广泛沟通以保障对业务或技术的前瞻性支持，并符合相关的监管及合规性要求。
    • 阶段评估：在数据工作开展过程中，定期从业务价值、经济效益等维度对已取得的成果进行效益评估

数据治理

• 组织的数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项。
  • ( 1 ）数据治理组织。数据治理组织需要包括组织架构、岗位设置、团队建设、数据责任等内容，它是各项数据职能工作开展的基础。数据治理组织对组织在数据管理和数据应用行使职责规划和控制，并指导各项数据职能的执行，以确保组织能有效落实数据战略目标。数据治理组织主要活动和工作要点包括：
  • 建立数据治理组织：建立数据体系配套的权责明确且内部沟通顺畅的组织，确保数据战略的实施。
  • 岗位设置：建立数据治理所需的岗位，明确岗位的职责、任职要求等。
  • 团队建设：制订团队培训、能力提升计划，通过引入内部、外部资源定期开展人员培训，提升团队人员的数据治理技能。
  • 数据归口管理：明确数据所有人、管理人等相关角色以及数据的归口的具体管理人员。
  • 建立绩效评价体系：根据团队人员职责、管理数据范围的划分，制定相关人员的绩效考核体系.
  • ( 2 ）数据制度建设。为保障数据管理和数据应用各项功能的规范化运行，组织需要建立对应的制度体系。数据制度体系通常分层次设计，遵循严格的发布流程并定期检查和更新。数据制度建设是数据管理和数据应用各项工作有序开展的基础，是数据治理沟通和实施的依据。数据制度建设主要活动和工作要点包括：
  • 制定数据制度框架：根据数据职能的层次和授权决策次序，数据制度框架可分为策略办法、细则三个层次，该框架规定了数据管理和数据应用的具体领域、各个数据职能领域内的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施等。
  • 整理数据制度内容：数据管理策略与数据管理办法、数据管理细则共同构成组织数据制度体系，其基本内容包括：
    • ① 数据策略说明数据管理和数据应用的目的，明确其组织与范围；
    • ② 数据管理办法是为数据管理和数据应用各领域内活动开展而规定的相关规则和流程；
    • ③ 数据管理细则是为确保各数据方法执行落实而制定的相关文件。
  • 数据制度发布：组织内部通过文件、邮件等形式发布审批通过的数据制度。
  • 数据制度宣贯：定期开展数据制度相关的培训与宣传工作。
  • 数据制度实施：结合数据治理组织的设置，推动数据制度的落地实施。
  • （ 3 ）数据治理沟通。数据治理沟通旨在确保组织内全部利益相关者都能及时了解相关策略标准、流程、角色、职责、计划的最新情况，开展数据管理和应用相关的培训，掌握数据管理相关的知识和技能。数据治理沟通旨在建立与提升跨部门及部门内部数据管理能力，提升数据资产意识，构建数据文化。数据治理沟通主要活动和工作要点包括：
    • 沟通路径：明确数据管理和应用的利益相关者，分析各方的诉求，了解沟通的重点内容。
    • 沟通计划：建立定期或不定期沟通计划，并在利益相关者之间达成共识。
    • 沟通执行：按照沟通计划安排实施具体沟通活动，同时对沟通情况记录。
    • 问题协商机制：包括引入高层管理者等方式，以解决分歧。
    • 建立沟通渠道：在组织内部明确沟通的主要渠道，例如邮件、文件、网站、自媒体、研讨会等。
    • 制订培训宣贯计划：根据组织人员和业务发展需要，制订相关的培训宣贯计划。
    • 开展培训：根据培训计划的要求，定期开展相关培训。

数据架构

• 组织的数据架构能力域通常包括数据模型、数据分布、数据集成与共享和元数据管理四个能力项。
  • （ 1 ）数据模型。数据模型是使用结构化的语言将收集到的组织业务运行、管理和决策中使用的数据需求进行综合分析，按照模型设计规范将需求重新组织。数据模型主要活动和工作要点包括：
    • 收集和理解组织的数据需求：包括收集和分析组织应用系统的数据需求和实现组织的战略，满足内外部监管，与外部组织互联互通等的数据需求等.
    • 制定模型规范：包括模型的管理工具、命名规范、常用术语以及管理方法等。
    • 开发数据模型：包括开发设计组织级数据模型、系统应用级数据模型。
    • 数据模型应用：根据组织级数据模型的开发，指导和规范系统应用级数据模型的建设。
    • 符合性检查：检查组织级数据模型和系统应用级数据模型的一致性。
    • 模型变更管理：根据需求变化实时地对数据模型进行维护。
  • （ 2 ）数据分布。数据分布职能域是针对组织级数据模型中数据的定义，明确数据在系统组织和流程等方面的分布关系，定义数据类型，明确权威数据源，为数据相关工作提供参考和规范。通过数据分布关系的梳理，定义数据相关工作的优先级，指定数据的责任人，并进一步优化数据的集成关系。数据分布主要活动和工作要点包括：
  • 数据现状梳理：对应用系统中的数据进行梳理，了解数据的作用，明确存在的数据问题。
  • 识别数据类型：将组织内的数据根据其特征分类管理，一般类型包括主数据、参考数据、交易数据、统计分析数据、文档数据、元数据等类型。
  • 数据分布关系梳理：根据组织级数据模型的定义，结合业务流程梳理的成果，定义组织中数据和流程、数据和组织机构、数据和系统的分布关系。
  • 梳理数据的权威数据源：对每类数据明确相对合理的唯一信息采集和存储系统
  • 数据分布关系的应用：根据数据分布关系的梳理，对组织数据相关工作进行规范，包括定义数据工作优先级、优化数据集成等。
  • 数据分布关系的维护和管理：根据组织中业务流程和系统建设的情况，定期维护和更新组织中的数据分布关系，保持及时性。
  • （ 3 ）数据集成与共享。数据集成与共享职能域是建立起组织内各应用系统、各部门之间的集成共享机制，通过组织内部数据集成共享相关制度、标准、技术等方面的管理，促进组织内部数据的互联互通。数据集成与共享主要活动和工作要点包括：
    • 建立数据集成共享制度：指明数据集成共享的原则、方式和方法。
    • 形成数据集成共享标准：依据数据集成共享方式不同，制定不同的数据交换标准。
    • 建立数据集成共享环境：将组织内多种类型的数据整合在一起，形成对复杂数据加工处理和便捷访问的环境。
    • 建立对新建系统的数据集成方式的检查。
  • ( 4 ) 元数据管理。元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合。元数据管理主要活动和工作要点包括：
  • 元模型管理：对包含描述元数据属性定义的元模型进行分类并定义每一类元模型，元模型可采用或参考相关国家标准。
  • 元数据集成和变更：基于元模型对元数据进行收集，对不同类型、不同来源的元数据进行集成，形成对数据描述的统一视图，并基于规范的流程对数据的变更进行及时更新和管理。
  • 元数据应用：基于数据管理和数据应用需求，对于组织管理的各类元数据进行分析应用如查询、血缘分析、影响分析、符合性分析、质量分析等。

数据应用

• 数据应用能力域通常包括数据分析、数据开放共享和数据服务三个能力项。

  • （ 1 ）数据分析。数据分析是对组织各项经营管理活动提供数据决策支持而进行的组织内外部数据分析或挖掘建模，以及对应成果的交付运营、评估推广等活动。数据分析能力会影响到组织制定决策、创造价值、向用户提供价值的方式。数据分析主要活动和工作要点包括：
    • 常规报表分析：按照规定的格式对数据进行统一的组织、加工和展示。
    • 多维分析：各分类之间的数据度量之间的关系，从而找出同类性质的统计项之间数学上的联系。
    • 动态预警：基于一定的算法、模型对数据进行实时监测，并根据预设的阈值进行预警。
    • 趋势预报：根据客观对象已知的信息对事物在将来的某些特征、发展状况的一种估计、测算活动，运用各种定性和定量的分析理论与方法，对发展趋势进行预判。
  • （ 2 ）数据开放共享。数据开放共享是指按照统一的管理策略对组织内容的数据进行有选择的对外开放，同时按照管理策略引1入外部数据供组织内部使用。数据开放共享是实现数据跨组织跨行业流转的重要前提，也是数据价值最大化的基础。数据开放共享主要活动和工作要点包括：
    • 梳理开放共享数据：组织需要对其开放共享的数据进行全面的梳理，建立清晰的开放共享数据目录。
    • 制定外部数据资源目录：对组织需要的外部数据进行统一梳理，建立数据目录，方便内部用户的查询和应用。
    • 建立统一的数据开放共享策略：包括安全、质量等内容。
    • 数据提供方管理：建立对外数据使用策略、数据提供方服务规范等。
    • 数据开放：组织可通过各种方式对外开放数据，并保证开放数据的质量。
    • 数据获取：按照数据需求进行数据提供方的选择。
  • （ 3 ）数据服务。数据服务是通过对组织内外部数据的统一加工和分析，结合公众、行业和组织的需要，以数据分析结果的形式对外提供跨领域、跨行业的数据服务。数据服务是数据资产价值变现最直接的手段，也是数据资产价值衡量的方式之一，通过良好的数据服务对内提升组织的效益，对外更好的服务公众和社会。数据服务的提供可能有多种形式，包括数据分析结果、数据服务调用接口、数据产品或数据服务平台等，具体服务的形式取决于组织数据的战略和发展方向。数据服务主要活动和工作要点包括：
    • 数据服务需求分析：需要有数据分析团队来分析外部的数据需求，并结合外部的需求提出数据服务目标和展现形式，形成数据服务需求分析文档。
    • 数据服务开发：数据开发团队根据数据服务需求分析对数据进行汇总和加工，形成数据产品。
    • 数据服务部署：部署数据产品，对外提供服务。
    • 数据服务监控：能对数据服务有全面的监控和管理，实时分析数据服务的状态、调用情况、安全情况等。
    • 数据服务授权：对数据服务的用户进行授权，并对访问过程进行控制。

数据安全

• 组织的数据安全能力域通常包括数据安全策略、数据安全管理和数据安全审计三个能力项。

  • （ 1 ）数据安全策略。数据安全策略是数据安全的核心内容，在制定的过程中需要结合组织管理需求、监管需求以及相关标准等统一制定。数据安全策略主要活动和工作要点包括：

    • 了解国家、行业等监管需求，并根据组织对数据安全的业务需要，进行数据安全策略规划，建立组织的数据安全管理策略。
    • 制定适合组织的数据安全标准，确定数据安全等级及覆盖范围等。
    • 定义组织数据安全管理的目标、原则、管理制度、管理组织、管理流程等，为组织的数据安全管理提供保障。

  • （ 2 ）数据安全管理。数据安全管理是在数据安全标准与策略的指导下，通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作，满足数据安全的业务需要和监管需求，实现组织内部对数据生存周期的数据安全管理。数据安全管理主要活动和工作要点包括：

    • 数据安全等级的划分：根据组织数据安全标准，充分了解组织数据安全管理需求，对组织内部的数据进行等级划分并形成相关文档。
    • 数据访问权限控制：制定数据安全管理的利益相关者清单，围绕利益相关者需求，对其数据访问、控制权限进行授权。
    • 用户身份认证和访问行为监控：在数据访问过程中对用户的身份进行认证识别，对其行为进行记录和监控。
    • 数据安全的保护：提供数据安全保护控制相关的措施，保证数据在应用过程中的隐私性。
    • 数据安全风险管理：对组织已知或潜在的数据安全进行分析，制定防范措施并监督落实

  • ( 3 ) 数据安全审计。数据安全审计是一项控制活动，负责定期分析、验证、讨论、改进数据安全管理相关的策略、标准和活动。审计工作可由组织内部或外部审计人员执行，审计人员应独立于审计所涉及的数据和流程。数据安全审计的目标是为组织以及外部监管机构提供评估和建议。数据安全审计主要活动和工作要点包括：

  • 过程审计：分析实施规程和实际做法，确保数据安全目标、策略、标准、指导方针和预期结果相一致。

  • 规范审计：评估现有标准和规程是否适当，是否与业务要求和技术要求相一致。

  • 合规审计：检索和审阅组织相关监管法规要求，验证其是否符合监管法规要求。

  • 供应商审计：评审合同、数据共享协议，确保供应商切实履行数据安全义务。

  • 审计报告发布：向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态。

  • 数据安全建议：提出数据安全的设计、操作和合规等方面的改进工作建议。

数据质量

• 组织的数据质量能力域通常包括数据质量需求、数据质量检查、数据质量分析和数据质量提升四个能力项.
  • （ 1 ）数据质量需求。数据质量需求是明确数据质量目标，并根据业务需求及数据要求制定用来衡量数据质量的规则包括衡量数据质量的技术指标业务指标以及相应的校验规则与方法。数据质量需求是度量和管理数据质量的依据，需要依据组织的数据管理具标、业务算理的需求和行业的监管需求并参考相关标准来统一制定与管鐘。数质量需录全曼活动和工作要点包括：
    • 定义数据质量管理目标：依据组织管理的需求，参考外部监管的要求，明确组织数据质量管理目标。
    • 定义数据质量评价维度：依据组织数据质量管理的目标，制定组织数据质量评估维度，指导数据质量评价工作的开展。
    • 明确数据质量管理范围：依据组织业务发展的需求以及常见数据问题的分析，明确组织数据质量管理的范围，梳理各类数据的优先级以及质量需求。
    • 设计数据质量规则：依据组织的数据质量管理需求及目标，识别数据质量特性，定分析结巢对数据质量规则进行持续维护与更新。各类数据的质量评价指标、校验规则与方法，并根据业务发展需求及数据质量检查
  • （ 2 ）数据质量检查。数据质量检查是根据数据质量规则中的有关技术指标和业务指标、校验规则与方法对组织的数据质量情况进行实时监控，从而发现数据质量问题，并向数据管理人员进行反馈。数据质量检查主要活动和工作要点包括：
    • 制订数据质量检查计划：根据组织数据质量管理目标的需要，制订统一的数据质量检查计划。
    • 数据质量情况剖析：根据计划对系统中的数据进行剖析，查看数据的值域分布、填充率、规范性等，切实掌握数据质量实际情况。
    • 数据质量校验：依据预先配置的规则、算法，对系统中的数据进行校验。
    • 数据质量问题管理：包括问题记录、问题查询、问题分发和问题跟踪。
  • （ 3 ）数据质量分析。数据质量分析是对数据质量检查过程中发现的数据质量问题及相关信息进行分析，找出影响数据质量的原因，并定义数据质量问题的优先级，作为数据质量提升的参考依据。数据质量分析主要活动和工作要点包括：
    • 数据质量分析方法和要求：整理组织数据质量分析的常用方法，明确数据质量分析的要求。
    • 数据质量问题分析：深入分析数据质量问题产生的根本原因，为数据质量提升提供参考。
    • 数据质量问题影响分析：根据数据质量问题的描述以及数据价值链的分析，评估数据质量对于组织业务开展、应用系统运行等方面的影响，形成数据质量问题影响分析报告。
    • 数据质量分析报告：包括对数据质量检查、分析等过程累积的各种信息进行汇总、梳理、统计和分析。
    • 建立数据质量知识库：收集各类数据质量案例、经验和知识，形成组织的数据质量知识库。
  • （ 4 ) 数据质量提升。数据质量提升是对数据质量分析的结果，制定、实施数据质量改进方案，包括错误数据更正、业务流程优化、应用系统问题修复等，并制定数据质量问题预防方案，确保数据质量改进的成果得到有效保持。数据质量提升主要活动和工作要点包括：
    • 制定数据质量改进方案：根据数据质量分析的结果，制定数据质量提升方案。
    • 数据质量校正：采用数据标准化、数据清洗、数据转换和数据整合等手段和技术，对不符合质量要求的数据进行处理，并纠正数据质量问题。
    • 数据质量跟踪：记录数据质量事件的评估、初步诊断和后续行动等信息，验证数据质量提升的有效性。
    • 数据质量提升：对业务流程进行优化，对系统问题进行修正，对制度和标准进行完善，防止将来同类问题的发生。
    • 数据质量文化：通过数据质量相关培训、宣贯等活动，持续提升组织数据质量意识，建立良好的数据质量文化。

数据标准

• 组织的数据标准能力域通常包括业务术语、参考数据和主数据、数据元和指标数据四个能力项。
  • （ 1 ）业务术语。业务术语是组织中业务概念的描述，包括中文名称、英文名称、术语定义等内容。业务术语数据管理就是制定统一的管理制度和流程，并对业务术语的创建、维护和发布进行统一的管理，进而推动业务术语的共享和组织内部的应用业务术语是组织内部理解数据、应用数据的基础。通过对业务术语的管理能保证组织内部对具体技术名词理解的一致性。业务术语主要活动和工作要点包括：
    • 制定业务术语标准：同时制定业务术语管理制度，包含组织、人员职责、应用原则等。
    • 业务术语字典：组织中己定义并审批和发布的术语集合。
    • 业务术语发布：业务术语变更后及时进行审批并通过邮件、网站、文件等形式进行发布。
    • 业务术语应用：在数据模型建设、数据需求描述、数据标准定义等过程中引引用业务术语。
    • 业务术语宣贯：组织内部介绍、推广已定义的业务术语。
  • （ 2 ）参考数据和主数据。参考数据和主数据是用于将其他数据进行分类的数据。参考数据管理是对定义的数据值域进行管理，包括标准化术语、代码值和其他唯一标识符，每个取值的业务定义，数据值域列表内部和跨不同列表之间的业务关系的控制，并对相关参考数据的一致、共享使用。主数据是组织中需要跨系统、跨部门共享的核心业务实体数据。主数据管理是对主数据标准和内容进行管理，实现主数据跨系统的一致、共享使用。参考数据和主数据主要活动和工作要点包括：
    • 定义编码规则：定义参考数据和主数据唯一标识的生成规则。
    • 定义数据模型：定义参考数据和主数据的组成部分及其含义。
    • 识别数据值域：识别参考数据和主数据取值范围。
    • 管理流程：创建参考数据和主数据管理相关流程。
    • 建立质量规则：检查参考数据和主数据相关的业务规则和管理要求，建立参考数据和主数据相关的质量规则。
    • 集成共享：参考数据、主数据和应用系统的集成。
  • （ 3 ）数据元。通过对组织中核心数据元的标准化，可以使数据的拥有者和使用者对数据有一致的理解。数据元主要活动和工作要点包括：
    • 建立数据元的分类和命名规则：根据组织的业务特征建立数据元的分类规则，制定数据元的命名、描述与表示规范。
    • 建立数据元的管理规范：建立数据元管理的流程和岗位，明确管理岗位职责。
    • 数据元的创建：建立数据元的创建方法，进行数据元的识别和创建。
    • 建立数据元的统一目录：根据数据元的分类及业务管理需求，建立数据元管理的目录，对组织内部的数据元分类存储。
    • 数据元的查找和引用：提供数据元查找和引用的在线工具。
    • 数据元的管理：提供对数据元以及数据元目录的日常管理。
    • 数据元管理报告：根据数据元标准定期进行引用情况分析，了解各应用系统中对数据元的引用情况，促进数据元的应用。
  • （ 4 ) 指标数据。指标数据是组织在经营分析过程中衡量某一个目标或事物的数据，一般由指标名称、时间和数值等组成，指标数据管理指组织对内部经营分析所需要的指标数据进行统一规范化定义、采集和应用，用于提升统计分析的数据质量。指标数据主要活动和工作要点包括：
    • 根据组织业务管理需求，制定组织内指标数据分类管理框架，保证指标分类框架的全面性和各分类之间的独立性。
    • 定义指标数据标准化的格式，梳理组织内部的指标数据，形成统一的指标字典。·根据指标数据的定义，由相关部门或应用系统定期进行数据的采集、生成。
    • 对指标数据进行访问授权，并根据用户需求进行数据展现。
    • 对指标数据采集、应用过程中的数据进行监控，保证指标数据的准确性、及时性。
    • 划分指标数据的归口管理部门、管理职责和管理流程，并按照管理规定对指标标准进行维护和管理。

数据生命周期

• 组织的数据生存周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。
  • （1）数据需求。数据需求是指组织对业务运营、经营分析和战略决策过程中产生和使用数据的分类、含义、分布和流转的描述。数据需求管理过程识别所需的数据，确定数据需求优先级并以文档的方式对数据需求进行记录和管理。主要活动和工作要点包括：
    • 建立数据需求管理制度：明确组织数据需求的管理组织、制度和流程。
    • 收集数据需求：需求人员通过各种方式分析数据应用场景，并识别数据应用场景中的数据分类、数据名称、数据含义、数据创建、数据使用、数据展示、数据质量、数据安全、数据保留等需求，编写数据需求文档。
    • 评审数据需求：组织人员对数据需求文档进行评审，评审关注各项数据需求是否与业务目标、业务需求保持一致，数据需求是否使用已定义的业务术语、数据项、参考数据等数据标准，干系人对数据需求是否达成共识。
    • 更新数据管理标准：对于已有数据管理标准中尚未覆盖的数据需求以及经评出后达到需要变更数据标准的，由数据管理人员根据相关流程更新数据标准，保证数据标准与实际数据需求的一致性。
    • 集中管理数据需求：各方数据用户的数据需求应集中由数据管理人员进行收集和管理，确保需求的汇总分析和历史回顾。
  • （2）数据设计和开发。数据设计和开发是指设计、实施数据解决方案，提供数据应用，续满足组织的数据需求的过程。数据解决方案包括数据库结构、数据采集、数据整合、数据交换数据访问及数据产品（报表、用户视图）等。数据设计和开发主要活动和工作要点包括：
    • 设计数据解决方案：包括概要设计和详细设计，其设计内容主要是面向具体的应用系统设计逻辑数据模型、物理数据模型、物理数据库、数据产品、数据访问服务、数据整合服务等，从而形成满足数据需求的解决方案。
    • 数据准备：梳理组织的各类数据，明确数据提供方，制定数据提供方案。
    • 数据解决方案质量管理：数据解决方案设计应满足数据用户的业务需求，同时也应满足数据的可用性、安全性、准确性、及时性等数据管理需求，因此需要进行数据模型和设计的质量管理，主要内容包括开发数据模型和设计标准，评审概念模型、逻辑模型和物理模型的设计，以及管理和整合数据模型版本变更。
    • 实施数据解决方案：通过质量评审的数据解决方案进入实施阶段，主要内容包括开发和测试数据库、建立和维护测试数据、数据迁移和转换、开发和测试数据产品、数据访问服务、数据整合服务、验证数据需求等。
  • （3）数据运维。数据运维是指数据平台及相关数据服务建设完成上线投入运营后，对数据采集、数据处理、数据存储等过程的日常运行及其维护过程，保证数据平台及数据服务的正常运行，为数据应用提供持续可用的数据内容。数据运维主要活动和工作要点包括：
    • 制定数据运维方案；根据组织数据管理的需要，明确数据运维的组织，制定统一的数据运维方案。
    • 数据提供方管理：建立数据提供的监控规则、监控机制和数据合格标准等服务水平协议和检查手段，持续监控数据提供方的服务水平，确保数据平台和数据服务有持续可用、高质量、安全可靠的数据，数据提供方管理包括对组织的内部和外部数据提供方的管理。
    • 数据平台的运维：根据数据运维方对数据库、数据平台、数据建模工具、数据分析工具ETL工具、数据质量工具、元数据工具、主数据管理工具的选型、部署、运行等进行管理，确保各技术工具的选择符合数据架构整体规划，正常运行各项指标满足数据需求。
    • 数据需求的变更管理：数据需求实现之后，需要及时跟踪数据应用的运行情况，监控数据应用和数据需求的一致性，同时对用户提出的需求变更进行管理，确保设计和实施的一致性。
  • （4 ) 数据退役。数据退役是对历史数据的管理，根据法律法规、业务、技术等方面需求，对历史数据的保留和销毁，执行历史数据的归档、迁移和销毁工作，确保组织对历史数据的管理符合外部监管机构和内部业务用户的需求，而非仅满足信息技术需求。数据退役主要活动和工作要点包括：
    • 数据退役需求分析：向组织管理层、各领域业务用户调研内部和外部对数据退役的需求明确外部监管要求的数据保留和清除要求，明确内部数据应用的保留和清除要求，同时兼顾信息技术对存储容量、访问速度、存储成本等需求。
    • 数据退役设计：综合考虑合规、业务和信息技术需求，设计数据退役标准和执行流程明确不同类型数据保留策略，包括保留期限、保留方式等，建立数据归档、迁移、获取和清除的工作流程和操作规程，确保数据退役符合标准和流程规范。
    • 数据退役执行：根据数据退役设计方案执行数据退役操作，完成数据的归档、迁移和清除等工作，满足法规、业务和技术需要，同时根据需要更新数据退役设计。
    • 数据恢复检查：数据退役之后需要制定数据恢复检查机制，定期检查退役数据状态，确保数据在需要时可恢复。
    • 归档数据查询：根据业务管理或监管需要，对归档数据的查询请求进行管理，并恢复相关数据以供应用。

4.2.1.3 理论框架与成熟度

• 国内外常用的数据管理模型包括：
  • 数据管理能力成熟度模型（DCMM），来自GB/T 36073
  • 数据治理框架（Data Governance Institute，国际数据治理协会DGl ）
  • 数据管理能力评价模型（Data Management capability Assessment Model，DCAM），由企业数据管理协会（EDM）发布
  • 数据管理模型（国际数据管理协会DAMA（DAMA International）定义的模型）

4.2.1.3.1 数据管理能力成熟度模型(考点)

• DCMM将组织的管理成熟度划分为5个等级：

  • 初始级：数据需求的管理主要是在项目级体现，没有统一的管理流程，主要是被动式管理。(没有对数据进行管理,初始级什么都没做)
  • 受管理级：组织意识到数据是资产，根据管理策略的要求制定了管理流程，指定了相关人员进行初步管理。(刚开始对数据进行管理)
  • 稳健级：数据已被当做实现组织绩效目标的重要资产，在组织层面制定了系列的标准化管理流程，促进数据管理的规范化。(制定了一系列标准化的流程)
  • 量化管理级：数据被认为是获取竞争优势的重要资源，数据管理的效率能量化分析和监控。(管理水平提高,利益分析监控)
  • 优化级：数据被认为是组织生存和发展的基础，相关管理流程能实时优化，能在行业内进行最佳实践分享。(成熟了,可以持续优化了.)

4.2.1.3.2 DGI 数据治理框架(3+10 : 3个维度加10个组件)

• 是组织在进行数据治理的操作层面的框架体系，为组织做出决策和采取行动的复杂活动提供的方法，此框架从组织结构、治理规则和治理过程这三个维度提出了关于数据治理活动的10个关键通用组件，并在这些要素的基础上构建了数据治理框架.

4.2.1.3.3 数据管理能力评价模型DCAM(了解)

• 基于众多实际案例的经验总结来进行编写数据管理能力成熟度评估模型，提供了用于建立和评估组织数据管理计划的关键维度，主要强调团队协作（流程）、标准执行和资金支持，目前最新DCAM 2.2版有4个组件：
  • ① 基础组件 包含数据战略与业务案例、数据管理流程与资金职能域；
  • ② 执行组件 包含业务和数据架构、数据和技术架构、数据质量管理、数据治理职能域;
  • ③ 分析组件 包含数据控制环境职能域；
  • ④ 应用组件 包含分析管理职能域。

4.2.1.3.4 DAMA数据管理模型

• 2018年发行了DAMA--DMBOK（ 数据管理知识体系指南 ）第2版，用于指导组织的数据管理职能和数据战略的评估工作，并建议和指导刚起步的组织去实施和提升数据管理。框架由11个数据管理职能领域和7个基本环境要素共同构成 " DAMA数据管理知识体系 " ，每项数据职能领域都在7个基本环境要素约束下开展工作.

• 数据库建模和设计 : 做的数据库建模,就是建立数据库的表
• 数据存储和操作 : 如何把数据存储到数据库里.
• 数据集成和互操作 : 数据处理
• 文档和内容管理 : 非结构化数据的文本,视频,就用这个管理
• 参考数据和主数据管理 : 银行系统中使用. 主数据: 账单,客户数据,账单数据, 支撑主数据的城市代码表,邮编,叫做参考数据.
• 数据仓库与商务智能 : 比数据库跟打的决策数据, 商务智能,加了数据挖掘的功能
• 元数据管理 : 关于数据的数据

4.2.2 运维管理

• 使用IT的手段,对IT相关的IT系统、数据运转、各种设备等，进行管理，让信息系统整个运行环境发挥最大的职能。

4.2.2.1 IT 运维能力模型

• 国家标准GB/T 28827.1《信息技术服务 运行维护 第1部分 通用要求》定义了IT运维能力模型.

• 运行维护服务能力体系( MCS ) ： 开展运维需要关注哪几个方面，需要走什么流程。
• 价值实现 : 通过IT系统实现或服务整个组织的价值.

能力建设

• 组织需要考虑环境的内外部因素，在治理要求的指导下，根据服务场景，识别服务能力需求，围绕人员、过程、技术、资源能力四要素(背记住)，策划、实施、检查和改进运行维护能力体系，向各种服务场景赋能，通过服务提供实现服务价值；
• 针对能力建设、人员、过程、技术、资源建立关键指标
• 定期评价运行维护服务能力成熟度，衡量能力水平差距，以持续提升运行维护服务能力。

人员能力(选人做事: 用什么人做什么岗位的事情)

• 运维人员分为三类岗位

  • 管理类主要负责运维的组织管理
  • 技术类主要负责运维技术建设以及运维活动中的技术决策等
  • 操作类主要负责运维活动的执行等

• 运维人员能力建设需要考虑(了解)：

  • 面向IT运维所有干系人需求，建立人员需求规划;
  • 基于人员需求计划，制定人员招聘、培训、储备和考核机制并实施;
  • 定义IT运维人员岗位，根据工作内容不同，司戈划分管理岗、技术岗、操作岗,并对每个岗位梳理工作职责,同时定义岗位的任职要求,包括知识、技能及经验要求等方面。

• 运维人员能力评价包括(了解)：

  • 建立运行维护服务对应岗位的等级评价标准;
  • 建立运行维护服务团队和人员能力评价机制；
  • 实施团队和人员能力评价；
  • 依据评价结果对人员能力进行持续改进，需要时调整人员能力计划。

资源能力(保障做事)

• IT运维资源是为了保证IT运维的正常交付所依存和产生的有形及无形资产。资源主要由人员、过程和技术要素中被固化下来的能力转化而成。

• 资源能力包括：

  • 运行维护工具 : 运维使用的工具
  • 服务台 : 接口服务台
  • 备件库 : 软硬件的备件库
  • 最终软件库
  • 服务数据
  • 服务知识 : 相关的知识

建设资源能力过程中要充分重视自主知识、技术和业务流程的固化工作，尤其要关注一线人员的技术资源化.

技术能力(高效做事: 重要)

• 组织需要研发自有核心技术和学习非自有核心技术，持续提升IT运维过程中发现问题和解决问题的能力

• 组织应具备的技术能力：

  • 发现和解决问题(核心技术)
  • 风险控制
  • 技术储备
  • 研发、应用新技术前沿技术

• 组织应根据运维能力策划要求，实施技术管理、技术研发和技术成果应用等活动，保证技术能力满足不同服务场景下的服务要求，包括运维服务能力长期发展的需求、治理、预期效益等，实现其服务价值。

" 早发现，早解决 " 一直是IT运维的一个重要原则，技术是提高效率的基本因素.

过程能力(正确做事:集成其他三个能力,如何正确做事,正确做事的顺序)

• 过程又称流程，是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。活动之间不仅有严格的先后顺序限定，而且活动的内容、方式、责任等也都必须有明确的安排和界定，以使不同活动在不同岗位角色之间进行转手交接成为可能。
• 组织需要结合服务场景与运维能力策划要求，设计过程框架，明确各过程之间的关系和接口，制定服务级别、服务报告、事件、问题、变更、发布、配置、可用性和连续性、系统容量、信息安全等管理过程的目标、活动和考核指标，支撑服务过程的规范化管理和服务价值实现。

过程的制定，把人员、技术和资源要素以过程为主线串接在一起，用于指导IT运维人员按约定的方式和方法.

4.2.2.2 智能运维

• 能力要素 : 处于支撑地位或者基础地位.由运维能力要素加上智能的技术三方面,七方面共同组成.(运维能力:人员/技术/过程/资源,智能运维: 算法/数据/感知)
• 能力域 : 包括三方面(数据管理/分析决策/自动控制),最终支撑智能运维的场景
• 智能运维场景实现 : 四个场景的实现,依赖于能力域.
• 智能特征 : 如何证明达到了智能运维的程度.(智能运维对外提供哪些特性)

4.2.2.2.1 能力要素(七个要素解释)

• 智能运维的能力要素主要包括：
  • 人员：运维团队需要熟悉IT运维领域的业务活动与流程，掌握自动化、大数据、人工智能、云计算、算法等技术，具备一定的智能运维研发能力。
  • 技术：技术通常包括统一的标准和规范、开放的基础公共资源与服务、数据与流程及服务的互联互通等。
  • 过程：智能运维定义的过程需要具备清晰界定人机界面，能够充分发挥智能化优势，实现过程优化，并考虑权限控制、风险规避。
  • 数据：运维组织需要加强数据治理，保证数据质量，规范数据接口。运维应用需要围绕数据进行采集、加工、消费，提升运维智能化水平。
  • 算法：可以聚焦在异常检测、根因分析、故障预测、知识图谱、健康诊断、决策分析等方面，具备有穷性、确切性、有效性等特点。
  • 资源：组织在数据管理能力域数据服务中，对于资源管理，至少应根据不同场景要求，配置开放共享服务管理所需要的算力、带宽、存储等。
  • 知识：知识通常包括运维技术方案及方法与步骤、运维的经验沉淀、运维对象的多维度描述、运维数据的智能挖掘结果等。

4.2.2.2.2 能力平台(能力域)

• 智能运维能力平台通常具备数据管理、分析决策、自动控制等能力.

  

4.2.2.2.3 能力应用(场景实现)

• 以运维场景为中心，通过场景分析、能力构建、服务交付、迭代调优四个关键环节，可以使运维场景具备智能特征。
  • 场景分析：是指从业务或T本身接收对新服务或改进服务的需求，场景需求分析从业务需求、用户需求以及系统需求，不同层次阶段进行不同方式、内容以及侧重点的需求调研。
  • 能力构建：是指基于运维场景分析的结果和目标要求，应用赋能平台中适合运维场景数据特点的加工处理能力、系统性设计数据的处理流程，构建符合特定运维场景需求的智能运维解决方案。
  • 服务交付：是指制订详细的交付计划，准备必要的资源，评估可能存在的风险并明确规避方案，完善交付实施过程，通过服务交付检查确保运维场景的智能特征符合策划要求。
  • 选代调优(效果评估)：是指通过持续的选代对智能运维场景的优化，确保投入符合智能运维具体场景的规划目标渐进式达成。(两个名称: 对目前场景进行持续的调优,根据评估结果,在进行持续调优.)

(了解)根据复杂程度，运维场景分为单一场景、复合场景和全局场景.

4.2.2.2.4 智能特征

• 智能运维需具备若干智能特征，包括：

  • 能感知：指具备灵敏、准确地识别人、活动和对象的状态的特点.(对运维事件或运维数据自动的可以进行识别判断.)
  • 会描述：指具备直观友好地展现和表达运维场景中各类信息的特点.(主要指可视化,把目前的状态展现出来.)
  • 自学习：指具备积累数据、完善模型、总结规律等主动获取知识的特点。(体现的是AI 的智能化,通过AI算法自动的总结规律进行判断.)
  • 会诊断：指具备对人、活动和对象进行分析、定位、判断的特点。(通过规律进行判断,判断存在的问题.)
  • 可决策：指具备综合分析，给出后续处置依据或解决方案的特点。(根据判断存在的问题,来进行下一步应该怎么做.)
  • 自执行：指具备对己知运维场景做出自动化处置的特点。
  • 自适应：指具备自动适应环境变化，动态优化处理的特点。(智能环境一直在动态变化,因此要有自适应,自适应后能够自调整.)

4.2.3 信息安全管理

4.2.3.1 CIA三要素

• CIA三要素是

  • 保密性 ( Confidentiality )
  • 完整性 ( Integrity )
  • 可用性 ( Availability )

• CIA是信息安全最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组

• CIA关注的重心在信息，虽然这是大多数信息安全的核心要素，但对于信息系统安全而言，仅考虑CIA是不够的，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论都属于信息安全的研究领域。

CIA是系统安全设计的目标(信息安全实现的目标是CIA)

CIA可以作为规划、实施量化安全策略的基本原则

4.2.3.2 信息安全管理体系

• 信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理，主要包括：

  • 落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划(组织决策角度,属于管理体系)
  • 开发安全策略(执行)
  • 实施风险管理(执行)
  • 制订业务持续性计划和灾难恢复计划(如何保障整个IT系统持续运行,能从灾难中恢复过来)
  • 选择与实施安全措施(执行)
  • 保证配置、变更的正确与安全(和配置管理相结合)
  • 进行安全审计
  • 保证维护支持
  • 进行监控、检查，处理安全事件(整个监控,出现问题及时处理)
  • 安全意识与安全教育
  • 人员安全管理等(旧版本还有实施轮岗制度,离职之前要有几个月脱敏期,脱敏期不允许离职)

4.2.3.3 网络安全等级保护(旧版叫信息安全等级保护)

安全保护等级划分 GB/T 22240《 信息安全技术 网络安全等级保护 定级指南 》

• 网络安全等级保护的对象包括信息系统、通信网络设施和数据资源等。

• 根据保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏的侵害程度等因素，等级保护对象的安全保护等级分为五级(五级需要背记)。

• 第一级 : 不是特备重要的群体(企业/个人)造成危害,同时,不影响社会,不影响国家.
• 第二级 : 对企业/个人造成严重损害的,同时,影响社会,不影响国家.
• 第三级 : 严重影响社会秩序,危害国家.
• 第四级 : 严重影响社会秩序,严重危害国家.
• 第五级 : 特别严重危害国家

安全保护能力等级划分GB/T 22239《信息安全技术 网络安全等级保护 基本要求》

• 不同级别的等级保护对象应具备的基本安全保护能力如下：

• 对上个部分进行安全保护级别进行保护

4.3 单词汇总

序号	单词	简写	翻译	描述
1	Service Level Agreement	SLA	服务水平协议
2	Return On Investment	ROI	项目投资回报率
3	Define	D	定义
4	Measure	M	度量
5	Analysis	A	分析
6	Improve / Design	I	改进/设计
7	Control / Verify	C	控制/验证
8	Data Management Capability Maturity Assessment Model	DCMM	数据管理能力成熟度评估模型
9	Data Governance Institute	DGl	国际数据治理协会
10	Data Management capability Assessment Model	DCAM	数据管理能力评价模型
11	DAMA International		国际数据管理协会DAMA
12	Confidentiality \ Integrity \ Availability	CIA	保密性\完整性 \ 可用性
13		MCS	运行维护服务能力体系

附录

• 教材音频版,可以不用看书,听着语音听完本章的教材

序号	章节	链接
1	第4章信息系统管理	https://www.bilibili.com/video/BV1PMeMegEJH/?spm_id_from=333.999.0.0&vd_source=0bb2dec1aa524e2dda1f4e45974694e9