系統內建項目管理工程師---資訊系統內建及服務管理

我國資訊系統內建及服務存在的主要問題：

1.系統品質不能滿足應用的基本需求

2.工程進度拖後延期

3.項目資金使用不合理或嚴重超出預算

4.項目文檔不全或嚴重缺失

5.在項目實施過程中系統業務需求一再變更

6.在項目實施過程中經常出現扯皮，推诿現象

7.系統存在着安全漏洞和隐患

8.重硬體輕軟體，重開發輕維護，重建設輕應用

9.資訊系統服務企業缺乏規範的流程和能力管理

10.資訊系統建設普遍存在産品化和個性化需求的沖突

11.開放性要求高，而标準和規範更新快

原因：

1不具備技術實力的系統內建商攪亂資訊系統內建及服務市場

2.一些建設機關在選擇項目承建商和進行業務需求分析方面經驗不足

3.資訊系統內建及服務企業自身建設有待加強

4.缺乏相應的機制和制度

5.企業能力建設缺乏相關的知道标準

我國現行集中資訊系統內建及服務管理内容的形成和推進過程

1.實施資訊系統內建及服務資質管理制度

2.推行項目經理制度

3.退出ITSS（Information Technology Service Standards 資訊技術服務标準）标準及評估服務

《計算機資訊系統內建資質管理辦法》意義：

1.有利于系統內建及服務企業展示自身實力，參與市場競争；按照等級條件，加強自身健身

2.有利于規範資訊系統內建及服務市場

3.有利于保證資訊系統級服務工程品質

系統內建資質（公司）等級評定條件主要由綜合條件，财務狀況，信譽，業績，管理能力，技術實力，人才實力7個方面。

ITSS(資訊技術服務标準)組成要素：人員，流程，技術，資源

ITSS生命周期：規劃設計，部署實施，服務營運，持續改進，監督管理

資訊系統審計的目的是評估并提供給回報，保證及建議。

資訊系統審計建議在4個理論基礎之上：1傳統審計理論，資訊系統管理理論，行為科學理論，計算機科學理論

資訊系統審計的主要組成部分

1.資訊系統的管理，規劃與組織：評價資訊系統的管理，計劃與組織方面的政策，政策，标準，程式和相關實務

2.資訊系統技術基礎設施與操作實務：評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率，以確定其充分支援組織的商業目标

3.資産的保護：對邏輯，環境和資訊技術基礎設施的安全性進行評價，確定其能支援組織保護資訊資産的需要，防止資訊資産在未經授權的情況下被使用，披露，修改，損壞或丢失

4.應用系統開發，獲得，實施與維護：對應用系統的開發，獲得，實施與維護方面所采用的方法和流程進行評價，確定其滿足組織的業務目标

5.災難恢複與業務持續計劃：這些計劃是在發生災難時，能夠使組織持續進行業務，對這種計劃的建立和維護流程需要進行評價。

6.業務流程評價與風險管理：評估業務系統與處理流程，確定根據組織的業務目标對相應風險實施管理

COBIT(Control Objectives for Information and related Technology, 資訊及相關技術控制目标)被認為國際上最先進，最權威的安全與資訊技術管理和控制标準

COBIT基于五個基本原則

1.滿足利益相關者需求

2.端到端覆寫企業

3.采用單一內建架構

4.啟用一種綜合的方法

5.區分治理和管理

審計從基于控制演變為基于風險的方法

基于風險方法來進行審計的步驟：

1.編制組織使用的資訊系統清單并對其進行分類

2.決定哪些系統影響關鍵功能和資産

3.評估哪些風險影響這些系統及對商業運作的沖擊

4.在上述評估的基礎上對系統分級，決定審計優先值，資源，進度和頻率