信息系统项目管理师——第4章信息系统管理

从近几期的考情来看，本章稳定考选择题2分。本章节记忆性的内容较多，技术内容较少，难度偏简单。对于文科生来说这个章节的分不能丢，大家尽量多读、多背、多刷题，把本章节的教材内容一字一字的看2遍。

1.管理方法
1.1 管理基础♥♥♥
信息系统是对信息进行采集、处理、存储、管理和检索，形成组织中的信息流动和处理，必要时能向有关人员提供有用信息的系统，它是由人、技术、流程和数据资源组成的人机系统。
1. 层次结构与要素

层次结构：

上管，中信，下人机
要素：
信息系统由四个关键要素构成：

人员：包括信息系统的用户、管理者、维护者及决策者，他们在信息系统的使用、管理、维护和决策中扮演不同角色。
技术：涵盖硬件、软件、网络、数据存储与处理技术等，是信息系统运行的物质基础。
流程：即信息系统的业务流程、管理流程与支持流程，规定了信息在系统内如何流转、处理与交互。
数据：包括原始数据、中间数据与最终信息产品，是信息系统处理的对象与产出，是组织决策的重要依据。
2. 系统管理四大领域

规划和组织：
侧重于信息系统整体的战略规划、组织架构设计、资源分配与支持机制建立。包括制定信息系统发展战略，明确信息系统的角色定位、发展目标与实施路径，以及组织内部与外部合作伙伴的协调管理。

设计和实施：
关注信息系统解决方案的具体定义、采购、部署与整合。包括根据业务需求选择合适的技术方案，进行系统设计与定制开发，购置软硬件设备，以及将新系统与既有业务流程无缝对接，确保信息系统能够有效支持业务运营。

运维和服务：
聚焦于信息系统的日常运行维护、服务交付与支持，以及安全保障。包括系统监控、故障排查、性能优化、数据备份与恢复、用户支持等，以确保信息系统稳定、高效运行，满足业务连续性要求。

优化和持续改进：
关注信息系统性能监控、内部性能目标管理、内部控制目标与外部要求的一致性管理，以及基于监控结果的系统优化与改进措施。包括定期评估系统性能指标，对比内部设定的目标与外部监管要求，找出差距并制定改进计划，通过持续优化提升信息系统效能，确保其始终符合组织战略与外部法规要求。

1.2 规划和组织♥♥♥♥♥
信息系统战略三角由业务战略、信息系统和组织机制构成，是实现组织使命与目标的关键要素。以下是对这三个方面的详细解读：

1. 业务战略

业务战略是组织为在竞争环境中取得优势地位、实现长期成功而制定的一系列协调行动。迈克尔·波特的竞争力优势模型为描述业务战略提供了经典框架，包含以下三种战略：

总成本领先战略：组织通过最大限度地降低成本，使其产品或服务价格低于竞争对手，从而吸引客户，获得市场份额。通常，行业内仅有一家成本领先者能够成功维持较低的成本优势。

差异性战略：组织通过提供与众不同的产品或服务，满足特定客户群体的独特需求，从而在市场中树立独特的品牌形象，避开直接的价格竞争。差异化可以体现在产品特性、服务质量、品牌形象、销售渠道等多个方面。

专注化战略：组织选择专注于某一特定细分市场，针对该市场的客户需求进行深度定制，提供高度契合的产品或服务。专注化战略有两种变体：

专注成本：在选定的细分市场中，通过精细化成本管理，提供性价比高的产品或服务。
专注差异化：在选定的细分市场中，通过提供具有显著差异性的产品或服务，满足客户的特殊需求，建立竞争优势。
2. 组织机制战略

组织机制是指组织内部的结构、流程、规则、文化等元素，它们共同决定了组织如何运作、决策和协调。哈罗德·莱维特提出的钻石模型将组织机制的关键组成部分归纳为信息与控制、人员、结构和任务，这些组件相互关联，共同塑造了组织的行为模式和绩效表现。

3. 信息系统战略

信息系统战略是组织为有效利用信息技术，支持业务战略实施而制定的计划。信息系统通过提供信息服务，支撑组织的运营、决策和创新活动。信息系统的基础结构包括：

硬件：包括服务器、工作站、网络设备、存储设备等物理设施，为信息系统的运行提供硬件支持。
软件：包括操作系统、数据库管理系统、应用程序等，为信息系统的功能实现提供软件支撑。
网络：包括局域网、广域网、互联网等通信网络，实现信息系统的互联互通和数据传输。
数据：包括组织内部产生的业务数据、外部获取的市场数据、用户数据等，是信息系统处理和分析的对象，也是信息价值的源泉。
1.3 设计和实施♥♥♥♥
信息系统是支持组织中信息流动和处理的所有基础，包括硬件、软件、数据和网络组件，并以最适合计划的方式进行选择和组装，因此其最能体现组织总体业务战略。

1.4运维和服务
信息系统的运维和服务由各类管理活动组成，主要包括:运行管理和控制、IT服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等。
信息系统的运维和服务涵盖了多种管理活动，旨在确保信息系统持续稳定、高效地运行，并提供满足业务需求的服务。以下是对这些管理活动的简要说明：

运行管理和控制：

运行管理：负责信息系统日常运行的组织、协调和控制，包括系统启动、关闭、状态监控、故障响应、性能调优等。
控制：通过制定和执行运维策略、流程和规范，对系统运行进行规范化管理，确保系统的合规性、安全性、稳定性和服务质量。
IT服务管理：

服务级别管理：定义、协商、监控和报告IT服务的质量指标（SLAs），确保服务满足业务需求和用户期望。
服务台：作为用户与IT部门之间的单一联系点，接收、记录、分类、分配和跟踪用户请求或问题，提供一线支持。
问题管理：识别、记录、调查、解决和预防IT服务中出现的非预期事件，减少对业务的影响。
变更管理：控制对IT服务或其组件的任何更改，确保变更过程的有序进行，降低变更引发的风险。
配置管理：记录、控制和验证IT服务及其组件的配置信息，确保配置信息的准确性和完整性。
发布管理：计划、准备、测试、实施和评审新的或变更的IT服务或组件的发布，确保对业务的平滑过渡。
运行与监控：

系统监控：实时监测系统资源（如CPU、内存、磁盘、网络等）的使用情况，以及应用性能、系统日志、告警信息等，及时发现异常并采取应对措施。
性能管理：通过性能指标分析，评估系统性能、识别瓶颈、预测容量需求，以优化系统性能和资源利用率。
事件管理：对系统中发生的事件进行识别、记录、分类、优先级设定、通知、处理和关闭，确保及时响应并恢复服务。
终端侧管理：

桌面管理：包括终端设备（如PC、笔记本、移动设备等）的配置、软件分发、补丁管理、安全防护、远程支持等。
用户管理：对用户账户、权限、密码、访问控制等进行管理，确保用户访问的合规性和安全性。
程序库管理：

软件资产管理：跟踪、控制和报告软件的购买、安装、使用、升级、退役等全生命周期管理。
版本控制：管理软件代码、配置文件、脚本等的版本，确保开发、测试、生产环境的一致性。
安全管理：

访问控制：通过身份认证、授权、审计等手段，确保只有授权用户可以访问系统资源。
网络安全：保护网络免受攻击、入侵、数据泄露等威胁，包括防火墙、入侵检测、防病毒、数据加密等。
信息安全管理：制定和执行信息安全政策、标准、流程，进行信息安全风险评估、管理、培训和演练。
介质控制和数据管理：

介质控制：对存储介质（如硬盘、磁带、光盘等）进行妥善保管、备份、恢复、销毁等管理，防止数据丢失或泄露。
数据管理：包括数据生命周期管理、数据质量控制、数据备份与恢复、数据归档、数据隐私保护等，确保数据的完整性、一致性和可用性。
1.5优化和持续改进
六西格玛是对戴明环四阶段周期的延伸，包括:定义(Define)、度量(Measure)、分析(Analysis)、 改进/设计(Improve/Design)、控制/验证(Control/Verify)

六西格玛（Six Sigma）是一种以数据驱动、持续改进为核心的质量管理方法论，旨在通过严格的数据分析和流程改进，减少产品或服务过程中的缺陷，提升组织的整体绩效。它将戴明环（PDCA，即Plan-Do-Check-Act）的四阶段周期进行了扩展和深化，形成了更为细致和系统化的DMAIC（Define-Measure-Analyze-Improve-Control）流程和DFSS（Design for Six Sigma）流程。

定义（Define）

项目选择：确定需要改进的业务过程或产品特性，评估其对组织战略目标和顾客满意度的影响。
问题定义：明确要解决的问题或改进的机会，设定六西格玛项目的目标（通常以减少缺陷率或提升关键绩效指标为目标）。
项目范围：定义项目边界，确定涉及的流程、人员、资源和时间表。
顾客之声（Voice of the Customer, VOC）：收集和分析顾客需求、期望和痛点，形成顾客需求定义。
度量（Measure）

数据收集：设计并实施数据收集计划，确保数据的准确、完整和代表性强。
度量系统：建立度量体系，确定关键绩效指标（KPIs）和过程绩效指标（Process Performance Indicators, PPIs），如缺陷率、周期时间、成本等。
基准设定：确定当前过程的基线性能，明确改进前的缺陷水平和过程能力。
数据解析：运用统计方法（如直方图、散点图、控制图等）对数据进行初步分析，识别过程变异和潜在问题。
分析（Analyze）

根本原因分析：使用工具如鱼骨图、5Why、失效模式与效应分析（FMEA）等，深入探究问题的根本原因。
过程能力分析：评估过程的稳定性和能力（如 Cp、Cpk），确定过程是否处于统计控制状态，能否满足顾客需求。
假设检验：通过统计测试（如t-test、ANOVA、回归分析等）验证假设，找出影响过程绩效的关键因素。
模型建立：在数据分析基础上，建立过程模型或关系模型，描述因素与结果之间的关系。
改进/设计（Improve/Design）

改进方案生成：基于分析结果，创新性地提出改进措施或设计新的解决方案，可能包括流程再造、技术升级、人员培训、制度完善等。
方案筛选与优化：运用实验设计（DOE）等方法，对多种改进方案进行比较和优化，确定最有效、可行的实施方案。
改进实施：制定详细的改进行动计划，包括责任人、时间表、资源分配等，确保改进措施的落地执行。
过程标准化：将改进后的流程、方法、规则等进行标准化，形成书面文档或操作规程，确保改进成果的固化和传承。
控制/验证（Control/Verify）

控制计划：制定控制计划，包括过程监控、反应计划、持续改进机制等，确保改进成果的持久性和稳定性。
过程监控：实施持续的数据收集和分析，使用控制图等工具监控过程绩效，及时发现并处理过程变异。
防错措施：实施防错技术（如 Poka-Yoke），防止已知问题的再次发生，提升过程稳健性。
效果验证：定期评估改进效果，验证是否达到预期的六西格玛水平，如有必要，进行新一轮的改进循环。
2.管理要点
2.1 数据管理♥♥♥♥♥
定义：数据管理是指通过规划、控制与提供数据和信息资产的职能，以获取、控制、保护、交付和提高数据和信息资产价值
DCMM：全称:数据管理能力成熟度评估模型。GB/T 36073《数据管理能力成熟度评估模型》中提出。

数据战略（Data Strategy）
数据战略是组织数据管理的顶层规划，包含以下几个能力项：

数据战略规划：定义组织在较长时期内对数据资源的总体部署和利用方向，包括数据愿景、目标、原则、重点投资项目以及数据驱动业务创新的战略路径。
数据战略实施：将数据战略转化为具体的行动计划，包括项目立项、资源配置、责任分配、时间表制定等，确保战略落地执行。
数据战略评估：定期审视数据战略的执行情况，评估其对业务价值的贡献、目标达成程度以及外部环境适应性，根据评估结果调整战略方向或实施细节。
数据治理（Data Governance）
数据治理是确保数据得到有效管控和正确使用的组织机制，包括以下能力项：

数据治理组织：设立数据治理委员会、数据管理办公室等组织机构，明确角色分工、职责权限以及协作机制，确保数据治理工作的有效推进。
数据制度建设：制定数据相关政策、流程、标准和指南，形成数据治理体系，为数据管理活动提供制度化保障。
数据治理沟通：建立有效的内外部沟通机制，传播数据治理理念，协调跨部门数据管理事务，提升全员数据意识，促进数据文化的形成。
数据架构（Data Architecture）
数据架构关注数据的结构、分布、整合与共享，包括以下能力项：

数据模型：设计和维护反映业务实体及其关系的数据模型，如概念模型、逻辑模型和物理模型，为数据存储、查询和分析提供基础。
数据分布：规划数据在不同系统、平台、数据中心之间的分布策略，考虑数据冗余、访问效率、合规要求等因素。
数据集成与共享：设计和实施数据集成方案，解决数据孤岛问题，实现跨系统、跨部门的数据交换与共享。
元数据管理：收集、存储、更新和分发关于数据的数据（元数据），包括数据的定义、来源、格式、关系、生命周期等信息，支持数据资产管理、数据理解和一致性维护。
数据应用（Data Application）
数据应用关注数据如何转化为有价值的业务洞察与服务，包括以下能力项：

数据分析：运用统计学、机器学习等方法对数据进行深度挖掘，提取有价值的信息，支持决策制定、风险评估、市场趋势预测等。
数据开放共享：制定和执行数据开放政策，通过API、数据集市、数据平台等方式对外提供数据服务，促进数据经济的发展。
数据服务：构建数据驱动的产品和服务，如数据报告、数据产品、数据接口等，直接或间接地创造业务价值。
数据安全（Data Security）
数据安全旨在保护数据免受非法访问、篡改、泄露或破坏，包括以下能力项：

数据安全策略：制定全面的数据安全政策、标准和程序，涵盖数据分类、访问控制、加密、备份恢复、应急响应等多个方面。
数据安全管理：实施数据安全管理体系，包括风险评估、安全审计、安全培训、合规性检查等，确保数据安全策略的有效执行。
数据安全审计：定期进行数据安全审计，检测安全漏洞、评估安全措施的有效性，及时发现并纠正安全风险。
数据质量（Data Quality）
数据质量关注数据的准确性、完整性、一致性、时效性等属性，包括以下能力项：

数据质量需求：明确业务对数据质量的具体要求，如数据准确性阈值、数据更新频率、数据一致性标准等。
数据质量检查：设计并执行数据质量检查规则，通过自动或人工方式检测数据质量问题，如数据缺失、错误、冲突等。
数据质量分析：对数据质量问题进行统计分析，识别问题根源，量化问题影响，为改进数据质量提供依据。
数据质量提升：制定并实施数据质量改进计划，包括数据清洗、数据校正、流程优化、系统升级等措施，持续提升数据质量水平。
数据标准（Data Standards）
数据标准是保证数据在组织内部及外部交流中的一致性和互操作性的规则，包括以下能力项：

业务术语：定义和维护统一的业务词汇表，确保业务概念表述的准确性和一致性。
参考数据和主数据：建立和管理关键业务实体（如客户、产品、位置等）的权威记录，确保这些数据在整个组织内的一致性。
数据元和指标数据：定义数据元素的标准格式、含义、取值范围等，以及关键业务指标的计算方法、口径、度量单位等，确保数据的规范使用和准确解读。
数据生存周期（Data Lifecycle）
数据生存周期关注数据从产生到废弃的全过程管理，包括以下能力项：

数据需求：明确业务对数据的需求，包括数据类型、数据格式、数据更新频率等。
数据设计和开发：根据数据需求设计数据模型、数据存储方案，开发数据采集、处理、加载等程序。
数据运维：对数据系统进行日常监控、故障排查、性能调优、数据备份与恢复等操作，确保数据系统的稳定运行。
数据退役：制定数据过期、废弃或迁移的策略，执行数据清理、归档、销毁等操作，遵循法规要求和业务规则，合理处置不再需要的数据。
数据管理能力成熟度模型(DCMM)，将组织的管理成熟度划分为5个等级，分别是:初始级、受管理级、稳健、量化管理级和优化级。

初识被动，管理初步，稳健规范，量化监控，优化最佳

2.2运维管理
能力模型

能力建设
围绕人员、过程、技术、资源能力四要素

智能运维
智能运维能力框架包括:组织治理、智能特征、智能运维场景实现、能力域和能力要素
能力要素是构建智能运维能力的基础
组织通过场景分析、场景构建、场景交付和效果评估四个过程，使运维场景具备智能特征

2.3信息安全管理♥♥♥♥
**CIA三要素 **
保密性、完整性和可用性
保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特
性也经常被称为信息安全三元组
CIA有其局限性，CIA关注的重心在信息，这是大多数信息安全的核心要素

**信息安全管理体系 **
建立安全管理机构的步骤:
①配备安全管理人员。
②建立安全职能部门。
③成立安全领导小组。
④主要负责人出任领导。
⑤建立信息安全保密管理部门。

网络安全等级保护

① 网络安全等级保护制度2.0实施：2019年12月1日，中国正式开始实施网络安全等级保护制度2.0（简称“等保2.0”），这是对原有等级保护体系的全面升级和扩展，旨在适应数字化时代下网络安全的新形势和新要求。

② 等保1.0体系与五级安全保护等级：等保1.0体系以信息系统为核心保护对象，确立了从第一级到第五级共五个级别的安全保护等级。每个等级对应不同的安全控制要求，体现了不同程度的风险防范能力。第一级最低，主要针对一般的信息系统；第五级最高，适用于涉及国家安全、社会稳定、公民生命财产安全等关键领域的特别重要信息系统。

③ 等保2.0扩展至“网络安全”：相较于等保1.0以信息系统为焦点，等保2.0将保护范围从单纯的“信息系统安全”扩展至更广泛的“网络安全”。这意味着不仅关注传统的信息系统，还包括云计算、物联网、移动互联网、工业控制系统等各种新型网络环境及其承载的各类数据资源。这一转变反映出等保体系对现代网络环境下多元、复杂、动态安全威胁的全面应对，以及对网络空间整体安全的高度重视。

第五级略。