【软考高项】信息系统项目管理师--第三章打卡

学习目标：

• 这章也只考选择题，感觉这章的概念不多，也不算难，只是比较的抽象。

---

第3章 信息系统治理

1. 信息系统（IT）治理：组织开展信息技术及其应用活动的重要管控手段，也是组织治理的重要组成部分，组织的数字化转型和组织建设过程中，IT治理起到重要的统筹、评估、指导和监督作用。
2. IT治理的概念：是描述组织采用有效的机制对信息技术和数据资源开发利用，平衡信息化发展和数字化转型过程中的风险，确保实现组织的战略目标的过程。
3. IT治理目标：（1）与业务目标一致（2）有效利用信息与数据资源（3）风险管理。
4. IT治理管理层次：最高管理层、执行管理层、业务与服务执行层。（1）最高管理层的主要职责是：证实IT战略与业务战略是否一致（2）执行管理层的主要职责包括：制定IT的目标；分析新技术的机遇和风险。业务及服务执行层的主要职责是：信息和数据服务的提供和支持。
5. IT治理体系
6. IT治理关键决策：IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。IT原则驱动IT整体架构形成，IT整体架构决定基础设施，基础设施所确定的能力又决定着基于业务需求应用的构建。最后IT投资和优先顺序为IT原则、整体架构、基础设施和应用需求所驱动。
7. IT治理体系框架包括：IT战略目标、IT治理组织、IT治理机制、IT治理域、IT治理标准、IT绩效目标。
8. IT治理核心内容：本质上（1）实现IT的业务价值（2）IT风险的规避。内容包含六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。
9. IT治理方法与标准：我国信息技术服务标准库（ITSS）中IT治理系列标准、信息和技术治理框架（COBIT）和IT治理国际标准（ISO/IEC 38500）等。
10. IT治理标准可用于：（1）建立组织的IT治理体系，实施自我评价（2）开展信息技术审计（3）研发、选择和评价IT治理相关的软件或解决方案（4）第三方对组织的IT治理能力进行评价。
11. IT治理实施指南：（1）建立组织的IT治理实施框架，明确实施方法和过程（2）组织内部开展IT治理的实施（3）IT治理相关软件或解决方案实施落地的指导（4）第三方开展IT治理评价的指导。
12. COBIT框架中治理目标被列入评估、指导和监控（EDM）领域，在这个领域，治理机构将评估战略方案，指导高级管理层执行所选的战略方案并监督战略的实施。管理目标分四个领域。（1）调整、规划和组织（APO）针对IT的整体组织、战略和支持活动；（2）内部构建、外部采购和实施（BAD）针对IT解决方案的定义、采购和实施以及它们到业务流程的整合（3）交付、服务和支持（DSS）针对IT服务的运营交付和支持，包括安全；（4）监控、评价和评估（MEA）针对IT的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。
13. COBIT治理系统组件包括：（1）流程（2）组织结构（3）原则、政策和程序（4）信息（5）文化、道德和行为（6）人员、技能和胜任能力（7）服务、基础设施和应用程序
14. COBIT建议设计流程：（1）了解组织环境和战略（2）确定治理系统的初步范围（3）优化治理系统的范围（4）最终确定治理系统的设计。
15. IT治理国际标准：通过评估、指导、监督三个主要任务来治理IT。
16. IT审计监督作用，提高组织的信息系统治理水平，促进组织信息系统治理目标的实现。
17. IT审计基础：IT审计重要性是指IT审计风险（固有风险、控制风险、检查风险）对组织影响的严重程度，如：财务损失、业务中断、失去客户信任、经济制裁等。
18. IT审计目标：（1）组织的IT战略应与业务战略保持一致（2）保护信息资产的安全及数据的完整、可靠、有效（3）提高信息系统的安全性、可靠性及有效性（4）合理保证信息系统及其运用符合有关法律、法规及标准等。
19. IT审计范围：（1）总体范围：需要根据审计目的和投入的审计成本来确定（2）组织范围：明确审计涉及的组织机构、主要流程、活动及人员等（3）物理范围：具体的物理地点与边界（4）逻辑范围：涉及的信息系统和逻辑边界（5）其他相关内容。
20. IT审计风险：IT审计风险主要包括固有风险、控制风险、检查风险、总体审计风险。
21. 固有风险：是指IT活动不存在相关控制的情况下，易于导致重大错误的风险。可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险。固有风险是IT活动本身所具有的，审计人员只能评估，无法控制或影响它；固有风险的衡量是主观的、复杂的，不同的IT活动其固有风险水平不同。
22. 控制风险：是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。可从IT组织层面控制、一般控制及应用控制三个方面分析控制风险。特点是与内部控制制度执行的有效性有关，与审计无关，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量。
23. 检查风险：检查风险通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。影响检查风险的因素是由于IT审计规范不完善，审计人员自身或技术原因等造成影响审计测试正确性的各种因素。
24. IT审计方法：访谈法、调查法、监察法、观察法、测试法和程序代码检查法等。
25. IT审计技术：风险评估技术（风险评估技术、风险识别技术、风险评价技术、风险应对技术）、审计抽样技术（统计抽样、非统计抽样）、计算机辅助审计技术、大数据审计技术
26. IT审计证据的特性：充分性、客观性、相关性、可靠性、合法性。
27. IT审计底稿：是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论做出的记录。审计底稿的作用表现在：（1）是形成审计揭露、发表审计意见的直接依据；（2）是评价考核审计人员的主要依据（3）是审计质量控制与监督的基础（4）对未来审计业务具有参考备查作用。
28. 审计工作底稿分为：综合类工作底稿、业务类工作底稿、备查类工作底稿。
29. 审计流程作用：（1）有效指导审计工作（2）有利于提高审计工作效率（3）有利于保证审计项目质量（4）有利于规范审计工作。
30. 审计流程：审计准备阶段、审计实施阶段、审计终结阶段、后续审计阶段。