软考高级 信息系统管理师

第三章:信息系统治理(项目管理预备知识)

By timebusker on March 3, 2026

主要学习 IT 治理方法与标准、IT 审计流程等内容。

根据考试大纲,本小时知识点会涉及单项选择题,按以往全国计算机技术与软件专业技术资格考试的出题规律约占2~3分。本小时内容属于基础知识范畴,考查的知识点主要来源于教材,基本没有扩展内容。本小时的架构如图3-1所示。

IT治理

信息系统治理

  • 信息系统治理(IT治理)是组织开展信息技术及其应用活动的重要管控手段,也是组织治理的重要组成部分。

    IT治理基础

  • IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
  • IT治理由组织治理层或高级管理层负责。
  • IT治理强调数字目标与组织战略目标保持一致。
  • IT治理保护利益相关者的权益,对风险进行有效管理,平衡成本提高收益,增强组织的核心竞争力。
  • IT治理是一种制度和机制。
  • IT治理的组成部分包括管理层、组织结构、制度、流程、人员、技术等。
  • IT治理的主要目标包括与业务目标一致、有效利用信息与数据资源、风险管理。
  • IT治理的管理层次大致可分为三层:最高管理层、执行管理层、业务与服务执行层

    IT治理体系

    1、具体构成

  • IT定位:IT应用的期望行为与业务目标一致。
  • IT治理架构:业务和IT在治理委员会中的构成、组织IT与各分支机构的IT权责边界等。
  • IT治理内容:投资、风险、绩效、标准和规范等。
  • IT治理流程:统筹、评估、指导、监督。
  • IT治理效果(内外评价)等。 2、关键决策包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。

3、IT治理体系框架

  • IT治理体系框架以组织的战略目标为导向,架起了组织战略与IT的桥梁,实现了IT风险的全面管理以及IT资源的合理利用。
  • IT治理体系框架包括IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准和I绩效目标等部分,形成一整套IT治理运行闭环。

4、IT治理核心内容

  • IT治理本质上关心实现IT的业务价值和IT风险的规避。
  • IT治理的核心内容包括组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理六个方面。

5、建立IT治理机制的原则包括简单、透明、适合

IT治理任务

  • 组织的IT治理活动定义为统筹、指导、监督和改进
  • 组织开展IT治理活动的主要任务为全局统筹、价值导向、机制保障、创新发展、文化助推。

IT治理方法与标准

  • IT治理方法与标准中,比较典型的是我国信息技术服务标准库(ITSS)中IT治理系列标准、信息和技术治理框架(COBIT)和IT治理国际标准(ISO/IEC38500)等
  • ITSS中IT服务治理
    • 在IT治理目标和边界确定的情况下,IT治理围绕决策体系、责任归属、管理流程、内外评价四个方面,通过相关框架体系的研究,规范和引导组织的IT治理完成“做什么”“如何做”“怎么样”“如何评价”等问题。
    • 通用要求: 《信息技术服务治理 第1部分:通用要求》(GB/T34960.1)规定了IT治理的模型和框架、实施IT治理的原则,以及开展IT顶层设计、管理体系和资源的治理要求。 该标准定义的IT治理模型包含治理的内外部要求、治理主体、治理方法,以及信息技术及其应用的管理体系。 在该标准中,IT治理框架包含信息技术顶层设计、管理体系和资源三大治理域
    • 实施指南: 《信息技术服务治理第2部分:实施指南》(GB/T34960.2)明确顶层设计治理、管理体系治理和资源治理的实施要求。 在该标准中,IT治理实施框架包括治理的实施环境、实施过程和治理域。
  • 信息和技术治理框架
  • COBIT是面向整个组织的信息和技术治理及管理框架。
  • COBIT框架对治理和管理进行了明确区分。
  • COBIT中治理目标被列入评估、指导和监控(EDM)领域,在这个领域,治理机构将评估战略方案,指导高级管理层执行所选的战略方案并监督战略的实施。
  • 治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
  • COBIT设计指南描述了组织如何设计量身定制的组织IT治理解决方案。高效和有效的IT治理系统是创造价值的起点。
  • COBIT给出了建议设计流程:了解组织环境和战略 –> 确定治理系统的初步范围 –> 优化治理系统的范围 –> 最终确定治理系统的设计
  • IT治理国际标准 IS0/IECFDIS 38500:2014提供了IT良好治理的原则、定义和模式,为组织的治理机构的成员提供了关于在其组织内有效、高效和可接受地使用信息技术(IT)的指导原则。该标准包括责任、战略、收购、性能、一致性、人的行为六个方面。该标准规定治理机构应通过评估、指导和监督三个主要任务来治理IT。

IT审计

信息技术审计

信息技术审计(IT审计)是IT治理不可或缺的评估和监督工具,重点承担着组织信息系统发展的合规性检测以及信息技术风险的管控等职能。

IT审计基础

  • IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如财务损失、业务中断、失去客户信任、经济制裁等。
  • GB/T34960.4中IT审计的定义:IT审计是根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计意见。
  • IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
  • 组织的IT目标主要包括:
  • 组织的IT战略应与业务战略保持一致。
  • 保护信息资产的安全及数据的完整、可靠、有效。
  • 提高信息系统的安全性、可靠性及有效性。
  • 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
  • IT审计范围
  • 审计风险

    审计方法与技术

  • IT审计依据与准则。我国的IT审计相关法律法规、准则与标准见表3-3
  • IT审计常用方法包括访谈法、调查法、检查法、观察法、测试法和程序代码检查法等
  • 常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审 计技术。其中IT风险评估技术一般包括:
    • 风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等
    • 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析
    • 风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价
    • 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。
  • 审计证据
    • 审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。
    • IT审计证据的特性见表3-4

目录