【软考高项】第四章 信息系统管理

目录

4.1管理方法

4.1.1管理基础

4.1.2规划和组织

4.1.3设计和实施

4.1.4运维和服务

4.1.5优化和持续改进

4.2管理要点

4.2.1数据管理

4.2.2运维管理

1.能力模型

2.智能运维

4.2.3信息安全管理

1.CIA三要素

2.信息安全管理体系

3.网络安全等级保护

---

4.1管理方法

4.1.1管理基础

1.层次结构
        信息系统包括四个要素：人员、技术、流程和数据。
        在信息系统层次架构中，信息系统之上是管理，它监督系统的设计和结构，并监控其整体性能。同时，组织管理层制定信息系统层应满足的业务需求和业务战略。信息系统层次架构提供了一个蓝图，可以将业务和系统策略转换为组件或基础架构，并以恰当的人员、技术、流程和数据组合加以实现。

2.系统管理
        信息系统管理覆盖四大领域：
        1）规划和组织：针对信息系统的整体组织、战略和支持活动。
        2）设计和实施：针对信息系统解决方案的定义、采购和实施，以及他们与业务流程的整合。
        3）运维和服务：针对信息系统服务的运行交付和支持，包括安全。
        4）优化和持续改进：针对信息系统的性能监控及其于内部性能目标、内部控制目标和外部要求的一致性管理。

4.1.2规划和组织

1.规划模型
        信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性。
        成功的组织有一个压倒一切的业务战略，可以推动组织机制和信息系统的有机融合。
        在设计信息系统部署时要记住所需考虑的业务和组织策略。

2.组织模型
        1)业务战略
        业务战略阐明了组织寻求的业务目标以及期望如何达成的路径。业务战略是组织传达宣示其目的的方法。
        描述业务战略的经典框架是迈克尔·波特(MichaelE.Porter,1947一)提出的竞争力优势模型：

        当组织的目标是成为市场上成本最低的生产者时，总成本领先战略就会产生。通常，一个行业中只存在一个成本引领者。
        采用差异性战略时，组织通过差异化，以一种在市场上显得独特的方式，定义其产品或服务。
        采用专注化战略时，专注化允许组织将其范围限制在更狭窄的细分市场，并为该组客户对象量身定制其产品。该策略有两种变体：①专注成本，在其细分市场内寻求成本优势；②专注差异化，寻求细分市场内的产品或服务的差异化。
        2)组织机制战略
        组织机制战略包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。组织机制战略本质上需要回答“组织将如何构建以实现其目标并实施其业务战略”这一问题，并围绕这一问题形成有效的规划。理解组织设计的经典框架是哈罗德·莱维特(HaroldJ.Leavitt,1922-2007)提出的钻石模型：

        钻石模型将组织计划的关键组成部分标识为其信息与控制、人员、结构和任务。
        3)信息系统战略
        信息系统战略是组织用来提供信息服务的计划。信息系统支撑组织实施其业务战略。业务战略是关于竞争(服务对象想要什么,竞争做什么),定位(组织想以什么方式竞争)和能力(公司能做什么)的功能。

        信息系统帮助确定组织的能力基础结构包括：①硬件；②软件；③网络；④数据。

4.1.3设计和实施

        开展信息系统设计和实施，首先需要将业务需求转换为信息系统架构，信息系统架构为将组织业务战略转换为信息系统的计划提供了蓝图。

1.设计方法
        首先将业务战略转化为信息系统架构，然后将该架构转化为信息系统设计。
        1)从战略到系统架构
        治理安排指定组织中哪个人保留对信息系统的控制权和责任。
        2)从系统架构到系统设计
        信息系统级别：①全局级别；②组织间级别；③应用级信息系统。
        3)转换框架
        转换框架将业务战略转化为信息系统架构进而转变为信息系统设计，转换框架提出了三类问题：内容、人员和位置，需要为每个信息系统组件回答这些问题。

2.架构模式

信息系统体系架构有三种常见模式:

        ①集中式架构。集中式架构下所有内容采用集中建设、支持和管理的模式，其主体系统通常部署于数据中心，以消除管理物理分离的基础设施带来的困难。

        ②分布式架构。硬件、软件、网络和数据的部署方式是在多台小型计算机、服务器和设备之间分配处理能力和应用功能，这些设施严重依赖于网络将它们连接在一起。

        ③面向服务的系统架构(Service-OrientedArchitecture,SOA)。SOA架构中使用的软件通常被引向软件即服务(Software-as-a-Service,SaaS)的相关架构，同时，这些应用程序在通过互联网交付时也被称为Web服务。

4.1.4运维和服务

        信息系统的运维和服务由各类管理活动组成，主要包括：运行管理和控制、IT服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等。

1.运行管理和控制

        IT团队发生的所有活动都应受到管理和控制。

        管理信息系统运行的管理控制主要活动包括：过程开发、标准制定、资源分配、过程管理。

2.IT服务管理

        IT服务管理由若干不同的活动组成：服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。

3.运行与监控

        IT运行的任务常包括：①按照计划执行作业；②监控作业，并按照优先级为作业分配资源；③重新启动失败的作业和进程；④通过加载或变更备份介质，或通过确保目标的存储系统就绪来优化备份作业；⑤监控信息系统、应用程序和网络的可用性，保证这些系统具备足够的性能；⑥实施空闲期的维护活动，如设备清洁和系统重启等。

4.终端侧管理

        组织通常使用IT管理工具来促进对用户终端计算机的高效和一致的管理。

5.程序库管理

        程序库是组织用来存储和管理应用程序源代码和目标代码的工具。

        程序库通常作为具有用户界面和多种功能的信息系统存在，其中主要功能包括：访问控制、程序签出、程序签入、版本控制和代码分析等。

6.安全管理

7.介质控制

8.数据管理

4.1.5优化和持续改进

        常用的方法为戴明环，即PDCA循环。PDCA循环是将持续改进分为四个阶段，即Plan(计划)、Do(执行)、Check(检查)和Act(处理)。

        优化和持续改进基于有效的变更管理，使用六西格玛倡导的五阶段方法DMAIC/DMADV,是对戴明环四阶段周期的延伸，包括：定义(Define)、度量(Measure)、分析(Analysis)、改进/设计(Improve/Design)、控制/验证(Control/Verify)。当第四阶段的“改进”替换为“设计”,“控制”替换为“验证”时，五阶段法就从DMAIC转变为DMADV。

1.定义阶段

        定义阶段的目标包括待优化信息系统定义、核心流程定义和团队组建。
        可使用“延伸目标”概念来定义待优化的信息系统。
        核心流程定义关注定义利益干系人、投入和产出以及广泛的功能。SIPOC(Supplier、Input、Process、Output、Customer)分析是定义核心流程视图的首选工具。

2.度量阶段
        度量阶段目标包括流程定义、指标定义、流程基线和度量系统分析。
        质量始于度量。只有当质量被量化时，才能开始讨论优化和持续改进。
        一个良好的度量系统具备特性可包括：准确、可重复、线性、可重现、稳定。
3.分析阶段
        分析阶段的三个目标包括价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。
4.改进/设计阶段
        改进/设计阶段的目标包括：①向发起人提出一个或多个解决方案；量化每种方法的收益；就解决方案达成共识并实施。②定义新的操作/设计条件。③为新工艺/设计提供定义和缓解故障模式。
5.控制/验证阶段
        控制/验证阶段的目标包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训。

4.2管理要点

        各组织关注的管理内容主要聚焦在数据管理、运维管理和信息安全管理等方面的体系化管理。

4.2.1数据管理

        数据管理能力成熟度评估模型(DataManagementCapabilityMaturityAssessmentModel,DCMM)是国家标准GB/T36073《数据管理能力成熟度评估模型》中提出的。DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域。

1.数据战略
        组织的数据战略能力域通常包括数据战略规划、数据战略实施和数据战略评估三个能力项。
        (1)数据战略规划：识别利益相关者、数据战略需求评估、数据战略制定、数据战略发布、数据战略修订。
        (2)数据战略实施：评估准则、现状评估、评估差距、实施路径、保障计划、任务实施、过程监控。
        (3)数据战略评估：建立任务效益评估模型、建立业务案例、建立投资模型、阶段评估。
2.数据治理
        组织的数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项。
        (1)数据治理组织。数据治理组织需要包括组织架构、岗位设置、团队建设、数据责任等内容，它是各项数据职能工作开展的基础。
        (2)数据制度建设。
        (3)数据治理沟通。数据治理沟通旨在建立与提升跨部门及部门内部数据管理能力，提升数据资产意识，构建数据文化。
3.数据架构
        组织的数据架构能力域通常包括数据模型、数据分布、数据集成与共享和元数据管理四个能力项。

4.数据应用
        数据应用能力域通常包括数据分析、数据开放共享和数据服务三个能力项。

5.数据安全
        组织的数据安全能力域通常包括数据安全策略、数据安全管理和数据安全审计三个能力项。
        (1)数据安全策略。数据安全策略是数据安全的核心内容，在制定的过程中需要结合组织管理需求、监管需求以及相关标准等统一制定。
        (2)数据安全管理。数据安全管理是在数据安全标准与策略的指导下，通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作，满足数据安全的业务需要和监管需求，实现组织内部对数据生存周期的数据安全管理。
        (3)数据安全审计。数据安全审计是一项控制活动，负责定期分析、验证、讨论、改进数据安全管理相关的策略、标准和活动。

6.数据质量
        组织的数据质量能力域通常包括数据质量需求、数据质量检查、数据质量分析和数据质量
提升四个能力项。

7.数据标准
        组织的数据标准能力域通常包括业务术语、参考数据和主数据、数据元和指标数据四个能
力项。

8.数据生存周期
        组织的数据生存周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。

9.理论框架和成熟度
        国内外常用的数据管理模型包括：数据管理能力成熟度模型(DCMM)、数据治理框架(Data
GovernanceInstitute,DGI)、数据管理能力评价模型(DataManagementcapabilityAssessment
Model,DCAM)以及数据管理模型(DAMA定义的模型)等
(1)数据管理能力成熟度模型。DCMM将组织的管理成熟度划分为5个等级，分别是：初始级、受管理级、稳健级、量化管理级和优化级。
●初始级：数据需求的管理主要是在项目级体现，没有统一的管理流程，主要是被动式管理。
●受管理级：组织意识到数据是资产，根据管理策略的要求制定了管理流程，指定了相关人员进行初步管理。
●稳健级：数据已被当做实现组织绩效目标的重要资产，在组织层面制定了系列的标准化管理流程，促进数据管理的规范化。
●量化管理级：数据被认为是获取竞争优势的重要资源，数据管理的效率能量化分析和监控。
●优化级：数据被认为是组织生存和发展的基础，相关管理流程能实时优化，能在行业内进行最佳实践分享。

4.2.2运维管理

1.能力模型

        国家标准GB/T28827.1《信息技术服务运行维护第1部分通用要求》定义了IT运维能力模型，该模型包含治理要求、运行维护服务能力体系和价值实现。

1)能力建设
        在价值实现方面，组织需要在不同的服务场景中识别服务需求，通过服务提供，满足用户需求，实现服务价值。
2)人员能力
        人力资源都是组织的核心竞争力之一。
        结合IT运维工作的特点，运维人员一般分为管理类、技术类和操作类三种人员岗位，管理类主要负责运维的组织管理，技术类主要负责运维技术建设以及运维活动中的技术决策等，操作类主要负责运维活动的执行等。
3)资源能力
        资源主要由人员、过程和技术要素中被固化下来的能力转化而成，人员、过程和技术要素在知识、服务管理、工具支撑等方面的能力被固化下来，同时又对人员、过程和技术要素提供有力的支撑和保障，进而形成资源能力中的知识库、服务台、备件库以及运行维护工具，资源能力确保IT运维能“保障做事”。
4)技术能力
        组织需要通过自有核心技术的研发和非自有核心技术的学习，持续提升IT运维过程中发现问题和解决问题的能力，在提升IT运维效率方面是重点考虑的要素，技术要素确保IT运维能“高效做事”。
5)过程
        组织通过过程的制定，把人员、技术和资源要素以过程为主线串接在一起，用于指导IT运
维人员按约定的方式和方法，确保IT运维能“正确做事”。

2.智能运维

        中国电子工业标准化技术协会发布的团体标准T/CESA1172《信息技术服务智能运维通用要求》,给出了智能运维能力框架，包括组织治理、智能特征、智能运维场景实现、能力域和能力要素，其中能力要素是构建智能运维能力的基础。组织需在组织治理的指导下，对智能运维场景实现提出能力建设要求，开展智能运维能力规划和建设。组织通过场景分析、场景构建、场景交付和效果评估四个过程，基于数据管理能力域提供的高质量数据，结合分析决策能力域做出合理判断或结论，并根据需要驱动自动控制能力域执行运维操作，使运维场景具备智能特征，提升智能运维水平，实现质量可靠、安全可控、效率提升、成本降低。

        (1)能力要素。智能运维的能力要素主要包括：人员、技术、过程、数据、算法、资源、知识。
        (2)能力平台。智能运维能力平台通常具备数据管理、分析决策、自动控制等能力。其中，数据管理能力用于采集、处理、存储、展示各种运维数据。分析决策能力以感知到的数据作为输入，做出实时的运维决策，驱动自动化工具实施操作。自动控制根据运维决策，实施具体的运维操作。
        (3)能力应用。以运维场景为中心，通过场景分析、能力构建、服务交付、迭代调优四个关键环节，可以使运维场景具备智能特征。
        根据复杂程度，运维场景分为单一场景、复合场景和全局场景。
        (4)智能运维需具备若干智能特征，智能特征包括：能感知、会描述、自学习、会诊断可决策、自执行、自适应。

4.2.3信息安全管理

1.CIA三要素

        CIA三要素是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个词的缩写。CIA是系统安全设计的目标。保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组，这也是信息安全通常所强调的目标。

2.信息安全管理体系

        在组织机构中应建立安全管理机构，不同安全等级的安全管理机构逐步建立自己的信息系统安全组织机构管理体系，参考步骤包括：①配备安全管理人员。②建立安全职能部门。③成立安全领导小组。④主要负责人出任领导。⑤建立信息安全保密管理部门。

3.网络安全等级保护

1)安全保护等级划分
        等级保护对象的安全保护等级分为以下五级：
        第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益；

        第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

        第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；

        第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；

        第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

2)安全保护能力等级划分
        GB/T22239《信息安全技术网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力。
        第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。
        第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分
功能。
        第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。
        第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造·成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速
恢复所有功能。
        第五级安全保护能力：略。