2010年12月高分考生复习笔记知识要点

1、TASK SEMENTS1.评估 IT 治理结构的有效性，来确保适当的对IT 决策、判断、方向以及性能的控制，以实现对企业和目标的支持。2.3.评估 IT 组织结构和 HR 管理，确保其支持组织的和目标评估 IT 开发、审批、部署、目标的和程序，确保其支持组织的和4.评估企业的 IT 策略、准则、指南和流程的开发、审批、部署和，确保其支持IT 战，以及符合的要求5.6.7.8.9.评估管理实践，确保其与企业的IT、策略、准则和流程相符合评估 IT 资源投资、使用、分派实践，以与企业的和目标相符合评估 IT 合同和策略，以及合同管理，确保其支持组织的和目标评估风险管理实践，确保适当管理企业IT

2、相关的风险和保证实践，确保管理层及时充分的获取IT 性能的信息。评估Knowledge sements1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.IT、策略、准则、流程的目的，以及基本元素IT 治理框架开发、部署、IT、策略、准则、流程的过程质量管理和策略组织架构、角色和责任 普遍接受的IT 标准和指南企业IT 架构，风险管理方法和工具控制框架的使用成熟度和流程模型的使用合同、程序以及合同管理和IT 性能的实践（平衡积分卡、KPIs）相关的法律和IT HR 管理IT 资源投资以及分派实践（投资组合，ROI）Corporateernance1.公司治理是公司管理层使用

3、的一系列责任和实践，用于提供实现目标，管理风险，合理使用企业资源。方向，确保2.3.publicernance：公司治理试图在利用先有机会提高股东利益和让公司在符合务前提实现运行之间达成一个平衡点。和社会义ITernance1.2.3.IT 治理的关键是实现业务和IT 之间的alignment，以实现bussiness valueIT 治理关注两件事：IT delives value for bussiness ；IT risk are managed；董事会和管理层的和保证实践传统的董事会层面对IT 的涉及，主要是将IT 的决定权下方到ISIT 治理是董事层的管理工具，治理更关注的是传导价值

4、、测量性能、而不是管理风险，确保合规，这时IT control 的内容。IT 治理是董事会和管理层的职责。IT 治理的目的是指导IT，确保IT 性能能够满足业务发展的需要，以实现价值。IT 治理框架：IT resource management Performance measurement Compliance management IT 治理关注领域1.2.3.4.5.6.Strtegic alignment： 将IT 与Value delivery： Risk management Resource managementPerformance measurement起来(一)1.2. (

5、二) 1.IT 治理的最佳实践IT 治理中的审计角色审计提供首要的实践，帮助审计能帮助实现合规性IT 审计师应该确保提高IT治理的质量和效力工作范围，包含明确定义的功能区域和涉及的事物Reporting lineIS 审计师对内外部各种信息的IT strategy Committee IT权限就以下事项向董事会提供愿景和建议：从业务角度开发ITIT 和业务决定的alignment性IT 目标的实现适当的IT 资源的可用性，来满足优化IT 成本风险、汇报以及IT 投资的竞争性大的IT 项目的过程IT 对业务的共享目标(三)IT 风险的曝露IT 风险的contaent 控制IT的管理董事会对IT

6、的驱动IT strategy Committee IT执行层面IT 平衡计分卡(四)1.IT BSCBSC 是一个过程管理评估技术，可用于IT 治理过程中评估IT 功能和过程。BSC了一般的财务评估，增加了客户满意度、内部运行过创新能力.2.为采用IT BSC，三层的结构来解决四个目的Mis任务Stetegies Measures(五)1.治理治理作为 IT 治理的一部分，关注的是：信息的信息资产的保护。,服务连续性和2.信息和数据无论如何处理、传递、废弃等都必须得到保护，4.5.治理是董事会层面的职责由于信息是企业的重要资产，分重要。安全治理的产出Strategic alignment：将着

7、合规性要求，所以对的治理十6.与业务整合以实现企业目标安全需求由企业需求推动安全解决方案适合企业 安全方面的投资符合企业7.8.Risk management Value deliveryPerformance measurement Resource managementProsegration治理必须能够支持业务，能够为公司创造价值治理框架包括有效的全面的与业务相关的安全策略安全准则、指南、流程有效的 制度化的组织架构程序3.IT 安全解决的是IT 技术的安全性，需要由CIO 层进行推动。需要由管理层来推动。关注的是信息的隐私以及本身，解决的是风险的全局层面。(六)的角色和职责1.EA 包

8、括将企业的IT 资产以一种结构化的方式文档化，便于理解，管理和计划IT 投资。EA 通常包含一个current s e 和一个优化的future s e 展示（road map）2.EA 现在的关注 IT 复杂度、现代企业复杂度的增加，以及 IT 与业务合以实现IT 投资实现真正回报。结3.4.5.Zaan 架构是第一个EA，他认为建设IT 系统类似于建筑为了完成EA,组织可以从技术角度也可以从业务角度来解决。Technology-driven EA 试图阐明现代企业的复杂的技术选择，Bussiness-driven EA 试图从企业的增值和支持程序来理解组织。FEA企业架构 有五个分层的参考

9、模型Performance reference m Bussiness reference mService component reference m Technical reference mData reference m信息系略1.2.计划指导一般作为大的IS 项目检查，而不涉及常规的操作。检查长期和短期的IS 部门计划，确保其符合公司目标检查和审批大的软硬件采购大的项目以及 IS 计划和预算的现状，建立优先级，审批准则和批准和流程，以及整个IS 性能检查和审批sourcing，包括内包和外包，以及全球化检查资源以及分派的准确性决策集中还是分布，以及职责的指派支持开发和部署企业范围内的

10、管理程序向董事会IS 活动。成熟度和过程模型IDEAL 模型指引企业计划和部署一个有效的软件过程1.2.3.程序。CMMI 能力成熟度模型整合是过程方法team software pros TSP 机制指引团队和管理成，使用一个 four day launchpros，建立目标，定义团队角色，评估风险，产生一个项目计划。在 launch后，TSP 提供一个详细的过程来管理，测量，需要事先培训和团队的活动，成员4.al software pro产品缺陷。s PSP。版主企业管理质量，预计和计划，减少(七)EA 企业架构 entrise architectureIT 投资和分派实践ROI 不仅仅是

11、财务的回报，还是非财务的收益，包括：对运行的冲击，任务性能和结果。1.2.3.value of IT IT 价值。Val IT 框架有面：valueernanceportfolio management investment managementIT portfolio management 的部署包括： 风险 profile 分析，diversification ofprojects，infrastructure and technologies，与业务目标的连续性整合，持续提升4.IT portfolio 管理最大的优点是在调整投资时候的灵活性，而BSC 同样强调在任何的投资决策时使用vi

12、和，而对运行成本的愿景和控制不是目标。Policies and procedures1.policies 策略top down bottom up策略：要在生产率和控制方面达成平衡策略文档2.3.4.5.6.acceptable use policyAUP对策略的检查procedures 流程风险管理IS 管理实践(一) HR 管理 hiring 雇佣背景协议Employee bonding1.2.3.4.5.6.7.利益协议职业道德准则同业竞争协议employee handbook promotion policies training： cross trainingschedulling

13、and time reporting employee performance evaluations required vacations8.9.termination policies(二) Sourcing 承包IS 功能的交付包括：Insourced Outsourced Hybrid1.2.3.4.5.IS 指导SLAs应该检查和审批sourcing要定期审计合同和SLAs，服务供应商应该定期提供第审计外包的不能是企业的关键应用。外包 party 处理的信息的最终责任在于组织本身。IS 组织结构和责任(一) Sourcing 承包IS 角色和职责System development

14、manager Project managementService desk End userEnd-user support manager Data management1.Quality arance QA managerInformation security management Vendor and outsourcer management Infrastructure operations and ma IPFenance 除了运行外没有人限进入Control group 控制组 责任是收集、转换和控制输入，以及输出的平衡和分发Media management： Data en

15、try Systemadministration Security administrationQuality arance QA应保持相对独立Quality aranceQuality controlDatabase managementSystem文档yst：在 SDLC 初始状态介入，基于用户需求设计系统，开发设计Security architectApplication development and maenanceInfrastructure development and maenance：系统软件，包括 OS，要求有广泛的权。Network management：LAN终端用户职责不应该有应用编程职责，但是可以有系统编(二) IS 职责分离需要分离的职责包括： Custody of the assets Authorization1.2.Recording tranions若没有条件实现职权分离，则需要实施补偿性控制compensation controls(三) IS 职责分离控制交易资产保管对数据的权限表用户权限tables补偿性控制：1.2.3.4.5.6.Audit trails Reconciliation Except