第4章-信息系统管理之管理方法(第四版新增章节)(第一部分)
- 章节说明
- 1 管理方法
- 1.1 信息系统四个要素
- 1.2 信息系统四大领域
- 1.3 信息系统战略三角
- 1.4 信息系统架构转换
- 1.5 信息系统体系架构
- 1.6 信息系统运行
- 1.7 运行和监控
- 1.8 管理和控制
- 1.9 优化 - 六西格玛、戴明环
- 2 管理要点
- 2.1 数据管理能力成熟度评估模型DCMM
- 详细表格
- 简要表格
- 2.2 组织的管理成熟度
- 2.3 能力模型
- 2.4 智能运维能力框架
- 2.5 安全保护等级
章节说明
全部为新增内容,预计选择题考2分,案例和论文不考;不再标注楷体
1 管理方法
1.1 信息系统四个要素
1、信息系统包括四个要素:人员、技术、流程和数据 【口诀:人流技术(数)】
1.2 信息系统四大领域
2、信息系统管理覆盖四大领域:①规划和组织;②设计和实施;③运维和服务;④优化和持续改进。
1.3 信息系统战略三角
3、信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性。
| 信息系统战略 | 具体内容 |
|---|---|
| 业务战略 | 1.业务战略阐明了组织寻求的业务目标以及期望如何达成的路径。2.描述业务战略的经典框架是 迈克尔?波特提出的竞争力优势模型。 |
| 组织机制战略 | 1.组织机制即包括组织的设计以及为定义、设置、协调和控制其工作流程而做出的选择。组织机制战略本质上需要回答“组织将如何构建以实现其目标并实施其业务战略”这一问题2.全解组织设计的经典框架是 哈罗德?莱维特提出的钻石模型。 |
| 信息系统战略 | 是组织用来提供信息服务的计划。信息系统支撑组织实施其业务战略 |
1.4 信息系统架构转换
4、开展信息系统设计和实施,首先需要将业务需求转换为信息系统架构,信息系统架构为将组织业务战略转换为信息系统的计划提供了蓝图。
| 要素 | 具体内容 | |
|---|---|---|
| 设计方法 | 从战略到系统架构 | 业务战略一>更具体的目标一>业务需求一>将这些业务需求转换为构成信息系统架构的要求、标准和流程的更详细视图(信息系统架构要求,包括考虑数据和流程需求以及安全目标等事项+治理安排+权责) |
| 从系统架构到系统设计 | 将信息系统架构转换为系统设计时,需要继承信息系统架构并添加更多细节, 包括实际的硬件、数据、网络和软件。 | |
| 转换框架 | 转换框架将业务战略转化为信息系统架构进而转变为信息系统设计,转换框架提出了三类问题:内容、人员和位置,需要为每个信息系统组件回答这些问题。 | |
| 信息系统体系架构 | 集中式架构 | 所有内容采用集中建设、支持和管理的模式,其主体系统通常部署于数据中心,以消除管理物理分离的基础设施带来的困难 |
| 分布式架构 | 硬件、软件、网络和数据的部署方式是在多台小型计算机、服务器和设备间分配处理能力和应用功能,这些设施严重依赖于网络将它们连接在一起之 | |
| 面向服务的系统架构(SOA) | SOA架构中使用的软件通常被引向软件即服务(SaaS)的相关架构,同时,这些应用程序在通过互联网交付时也被称为Web服务。 | |
1.5 信息系统体系架构
| 架构模式 | 描述 | 别名 | 什么时候使用 |
|---|---|---|---|
| 集中式架构 | 大型中央计算机系统处理系统的所有功能。通常,计算机位于数据中心,并由IT部门直接管理。存储的数据和应用程序都运行于中央计算机上。网络连接允许用户从远程位置访问大型机 | 主机架构 | 当需要系统易于管理时:所有功能都在同一个地方;当业务本身高度集中的时候 |
| 分布式架构 | 运行业务所需的计算能力分散在许多设备中,包括不同位置的服务器、PC和笔记本电脑、智能手机和平板电脑。设备(有时也被称为客户端), 具有足够的处理能力来执行所需的许多服务,并根据数据和专用服务的需要连接中央服务器 | 基于服务器的架构 | 当担心可伸缩性时,模块化在这里会有所帮助;当业务主要是非集中化的时候 |
| 面向服务的架构 | 在被称为编排的过程中,将较大的软件程序分解为相互连接的服务。基于此,它们共同构成了一个应用来运行整个业务“。 | 基于Web的架构 | 当希望系统成为敏捷架构:可重用性和组件化利于创造新应用;当业务对新应用和快速设计迭代要求较高时 |
5、信息系统的运维和服务由各类管理活动组成,主要包括:运行管理和控制、IT服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等。
1.6 信息系统运行
6、管理信息系统运行的管理控制主要活动包括:
(1)过程开发:操作人员执行的重复性活动应以过程的形式记录下来,需要开发、审查和批准描述每个过程及其每个步骤的相关文档,并将其提供给运营人员。
(2)标准制定:联行执行任务的方式到所使用的技术,采用标准化定义和约束,从而有效推动信息系统运行相关工作的一致性。
(3)资源分配:管理层分配支持信息系统运行的各项能力,包括人力、技术和资源。资源分配应与组织的使命、目标和目的保持一致。
(4)过程管理:应测量和管理所有信息系统运行的相关过程,确保过程在时间上和预算目标内被正确和准确地执行。
7、IT服务管理由若干不同的活动组成:服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。
| 活动 | 要点 |
|---|---|
| 服务台 | 服务台是服务中与服务干舒而通和交互的重要界面,负责对服务干系人遇到的问题和需求进行响应和处理:消息发布点+协调者 |
| 事件管理 | 事件可能是服务中断、服务速度变慢、软件缺陷以及其他任何组件发生故障,目标就是快速解决事件,恢复业务。 |
| 问题管理 | 找到相同或相似事件根本原因,预防再次发生 |
| 变更管理 | 所有变更都得到控制和一致化的执行,变更需要走流程,防止不必要的变更。 |
| 配置管理 | 配置管理的核心工作是对配置项进行识别、记录、控制、更新配置项信息 |
| 发布管理 | 发布管理负责计划和实施信息系统的变更,并且记录该变更的各方面信息。 |
| 服务级别管理 | IT服务的级别进行定义、记录和管理,并在可接受的成本之下与干系人达成一致的管理过程,通过服务水平协议(SLA)、服务绩效监控和报告的不断循环,持续维护和改进服务质量,以及触发采取行动消除较差服务,从而满足干系人的服务需求。 |
| 财务管理 | 对IT服务运作过程中所有资源进行财务管理的流程,主要活动包括:预算编制、设备投资、费用管理、项目会计和项目投资回报率管理等。 |
| 容量管理 | 有足够的容量满足当前和未来的服务需求。 |
| 服务连续性管理 | 当发生自然或人为灾难时继续保持服务有效性的活动。服务连续性管理活动分为服务连续性管理的治理、业务影响分析、制订和维护服务连续性计划、测试服务连续性计划、响应与恢复五个过程。 |
| 可用性管理 | 可用性是指一个组件或一种服务在设定的某个时刻或某段时间内发挥其应有功能的能力,即在约定的服务时段内,IT服务实际能够使用的服务的时间比例。 |
1.7 运行和监控
8、IT运行的任务-运行和监控
| 要素 | 具体内容 |
|---|---|
| 运行监控 | IT团队应对信息系统、应用程序和基础设施进行监控,以确保它们继续按要求运行。是否按计划进行+检测和报告一些错误包括:系统错误、程序错误、通信错误和操作员错误等。 |
| 安全监控 | 组织需要执行不同类型的安全监控,并把安全监控作为其整体策略的一部分,以预防和响应安全事件。如防火墙策略规则中的例外情况、入侵防御系统的告警、数据丢失防护系统的告警等 |
1.8 管理和控制
9、终端侧管理:组织通常使用IT管理工具来促进对用户终端计算机的高效和一致的管理。 比如限制最终用户可能在其设备上执行的配置更改的数量和类型,包括操作系统配置、补丁安装、软件程序安装、使用外部数据存储设备等。
10、程序库管理:组织用来存储和管理应用程序源代码和目标代码的工具。程序库通常作为具有用户界面和多种功能的信息系统存在,其中主要功能包括:访问控制、程序签出、程序签入、 版本控制和代码分析等。
11、安全管理:信息安全管理可确保组织的信息安全计划充分识别和解决风险,并在整个运维和服务过程中正常运行
12、介质控制:组织需要采取一系列活动,以确保数字介质得到适当管理。组织应考虑包含在介质管理、销毁策略和程序范围内的介质主要包括:备份介质、虚拟磁带库、光学介质、硬盘驱动器、固态驱动器、闪存、硬拷贝等。介质清理的策略和程序需要包含在服务提供商的相关要求中,以及记录保存活动以跟踪介质随时间推移的销毁情况。
13、数据管理:是与数据的获取、处理、存储、使用和处置相关的一组活动。
1.9 优化 - 六西格玛、戴明环
14、传统的改进是PDCA循环是将持续改进分为四个阶段,即Plan (计划)、Do (执行)、Check (检查)和Act (处理)。
15、优化和持续改进基于有效的变更管理,使用六西格玛倡导的五阶段方法DMAIC/DMADV,是对戴明环四阶段周期的延伸,包括:定义(Define)、度量(Measure)、分析(Analysis)>改进/设计(Improve/Design)、控制/验证(Control/Nerify)当第四阶段的“改进”替换为“设计”,“控制”替换为“验证”时,五阶段法就从DMAIC转变为DMADV。
| 阶段 | 要点 |
|---|---|
| 定义阶段 | 目标包括待优化信息系统定义、核心流程定义和团队组建。 |
| 度量阶段 | 目标包括流程定义、指标定义、流程基线和度量系统分析。 |
| 分析阶段 | 目标包括价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。 |
| 改进/设计阶段 | 改进/设计阶段的目标包括:①向发起人提出一个或多个解决方案;量化每种方法的收益;就解决方案达成共识并实施;②定义新的操作/设计条件;③为新工艺/设计提供定义和缓解故障模式。 |
| 控制/验证阶段 | 目标包括标准化新程序/新系统功能的操作控制要素、持续验证优化的信息系统的可交付成果、记录经验教训。 |
信息系统管理之管理要点(第四版新增章节)(第二部分)
- 章节说明
- 1 管理方法
- 1.1 信息系统四个要素
- 1.2 信息系统四大领域
- 1.3 信息系统战略三角
- 1.4 信息系统架构转换
- 1.5 信息系统体系架构
- 1.6 信息系统运行
- 1.7 运行和监控
- 1.8 管理和控制
- 1.9 优化 - 六西格玛、戴明环
- 2 管理要点
- 2.1 数据管理能力成熟度评估模型DCMM
- 详细表格
- 简要表格
- 2.2 组织的管理成熟度
- 2.3 能力模型
- 2.4 智能运维能力框架
- 2.5 安全保护等级
2 管理要点
2.1 数据管理能力成熟度评估模型DCMM
1、数据管理能力成熟度评估模型DCMM旨在帮助组织利用先进的数据管理理念和方法, 建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进组织向信息化、数字化、智能化发展方面的价值。
详细表格
2、DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域。
【点击跳转:数据能力成熟度评估模型<细分表格>时间不多的可以不看】
简要表格
| 战略核心能力域 | 能力项 |
|---|---|
| 数据战略 | 数据战略规划、数据战略实施、数据战略评估 |
| 数据治理 | 数据治理组织、数据制度建设、数据治理沟通 |
| 数据架构 | 数据模型、数据分布、数据集成与共享、元数据管理 |
| 数据应用 | 数据分析、数据开放共享、数据服务 |
| 数据安全 | 数据安全策略、数据安全管理、数据安全审计 |
| 数据质量 | 数据质量需求、数据质量检查、数据质量分析、数据质量提升 |
| 数据标准 | 业务术语、参考数据和主数据、数据元、指标数据 |
| 数据生存周期 | 数据需求、数据设计和开发、数据运维、数据退役 |
3、国内外常用的数据管理模型包括:数据管理能力成熟度模型(DCMM)、数据治理框架 (DGI)、数据管理能力评价模型(DCAM)、数据管理模型(DAMA定义的模型)等
2.2 组织的管理成熟度
4、数据管理能力成熟度模型DCMM将组织的管理成熟度划分为5个等级,分别是:初始级、受管理级、稳健级、量化管理级和优化级。
| 级别 | 要点 |
|---|---|
| 初始级 | 数据需求的管理主要是在项目级体现,没有统一的管理流程,主要是被动式管理 |
| 受管理级 | 组织意识到数据是资产,根据管理策略的要求制定了管理流程,指定了相关人员进行初步管理 |
| 稳健级 | 数据已被当做实现组织绩效目标的重要资产,在组织层面制定了系列的标准化管理流程,促进数据管理的规范化 |
| 量化管理级 | 数据被认为是获取竞争优势的重要资源,数据管理的效率能量化分析和监控 |
| 优化级 | 数据被认为是组织生存和发展的基础,相关管理流程能实时优化,能在行业内进行最佳实践分享 |
5、国家标准GB/T 28827.1《信息技术服务运行维护第1部分通用要求》定义了 IT运维能力模型,该模型包含治理要求、运行维护服务能力体系和价值实现。
2.3 能力模型
| 要素 | 具体内容 |
|---|---|
| 能力建设 | 组织需要考虑环境的内外部因素,在治理要求的指导下,根据服务场景,识别服务能力需求,围绕人员、过程、技术、资源能力四要素,策划、实施、检查和改进运行维护能力体系,向各种服务场景赋能,通过服务提供实现服务价值;并针对建立关键指标;还需要定期评价运行维护服务能力成熟度,衡量能力水平差距,以持续提升运行维护服务能力 |
| 在价值实现方面,组织需要村同的服务场景中识别服务需求,通过服务提供,满足用户需求,实现服务价值: (1)服务需求:识别服务需求并遵循能力管理的要求对服务场景进行完整的策划。 (2)服务提供:联置符合能力要素要求且和服务场景相适宜的人员、过程、技术和资源,并遵循能力管理的要求实施服务提供。 (3)服务价值:将运行维护服务能力体系输出的服务能力应用到服务场景中,通过服务成心标本控制、风险控制实现服务价值。 | |
| 人员能力 | “选人做事”:运维人员一般分为管理类、技术类和操作类三种人员岗位,为了保证人员能力满足运维服务的要求,组织依据运维能力策划要求,进行人员能力策划、 岗位结构、人员储备、人员培训、绩效管理和能力评价等管理活动。 |
| 资源能力 | “保障做事”:资源包括:知识库、服务台、备件库以及运行维护工具 |
| 技术能力 | “高效做事”:发现问题和解决问题技术 |
| 过程 | “正确做事”:服务级别、服务报告、事件、问题、变更、发布、配置等过程。 |
2.4 智能运维能力框架
7、智能运维能力框架,包括组织治理、智能特征、智能运维场景实现、能力域和能力要素,其中能力要素是构建智能运维能力的基础。组织需在组织治理的指导下,对智能运维场景实现提出能力建设要求,开展智能运维能力规划和建设。组织通过场景分析、场景构建、场景交付和效果评估四个过程,基于数据管理能力域提供的高质量数据,结合分析决策能力域做出合理判断或结论,并根据需要驱动自动控制能力域执行运维操作,使运维场景具备智能特征, 提升智能运维水平,实现质量语、安全可控、效率提升、成本降低。
| 要素 | 具体内容 | |
|---|---|---|
| 能力建设 | 人员 | 运维团队需要熟悉IT运维领域的业务活动与流程,掌握自动化、大数据、人工智能、云计算、算法等技术,具备一定的智能运维研发能力 |
| 技术 | 包括统一标准和规范、开放的基础公共资源与服务、数据与流程及服务的互联互通 | |
| 过程 | 需要具备清晰界定人机界面,能够充分发挥智能化优势,实现过程优化,并考虑权限控制、风险规避 | |
| 数据 | 运维组织需要加强数据治理,保证数据质量,规范数据接口。运维应用需要围绕数据进行采集、加工、消费,提升运维智能化水平 | |
| 算法 | 可以聚焦在异常检测、根因分析、故障预测、知识图谱、健康诊断、决策分析等方面,具备有穷性、确切性、有效性等特点 | |
| 资源 | 组织在数据管理能力域数据服务中,对于资源管理,至少应根据不同场景要求, 配置开放共享服务管理所需要的算力、带宽、存储等 | |
| 知识 | 包括运维技术方案及方法与步骤、运维的经验沉淀、运维对象的多维度描述、 运维数据的智能挖掘结果 | |
| 能力平台 | 智能运维能力平台通常具备数据管理、分析决策、自动控制等能力。 👉数据管理能力用于采集、处理、存储、展示各种运维数据。 👉分析决策能力以感知到的数据作为输入,做出实时的运维决策,驱动自动化工具实施操作。 👉自动控制根据运维决策,实施具体的运维操作 | |
| 能力应用 | 场景分析 | 指从业务或IT本身接收对新服务或改进服务的需求,场景需求分析从业务需求、用户需求以及系统需求,不同层次阶段进行不同方式、内容以及侧重点的需求调研 |
| 能力构建 | 指基于运维场景分析的结果和目标要求,应用赋能平台中适合运维场景数据特点的加工处理能力、系统性设计数据的处理流程,构建符合特定运维场景需求的智能运维解决方案 | |
| 服务交付 | 指制订详细的交付计划,准备必要的资源,评估可能存在的风险并明确规避方案,完善交付实施过程,通过服务交付检查确保运维场景的智能特征符合策划要求 | |
| 迭代调优 | 指通过持续的迭代对智能运维场景的优化,确保投入符合智能运维具体场景的规划目标渐进式达成 | |
| 智能运维 | 能感知 | 具备灵敏、准确地识别人、活动和对象的状态的特点 |
| 会描述 | 具备直观友好地展现和表达运维场景中各类信息的特点 | |
| 自学习 | 具备积累数据、完善模型、总结规律等主动获取知识的特点 | |
| 会诊断 | 具备对人、活动和对象进行分析、定位、判断的特点 | |
| 可决策 | 具备综合分析,给出后续处置依据或解决方案的特点 | |
| 自执行 | 具备对已知运维场景做出自动化处置的特点 | |
| 自适应 | 具备自动适应环境变化,动态优化处理的特点 | |
8、信息安全CIA三要素是保密性、完整性和可用性,也经常被称为信息安全三元组。
9、自己的信息系统安全组织机构管理体系,参考步骤:①配备安全管理人员一>②建立安全职能部门一> ③成立安全领导小组一>④主要负责人出任领导一>⑤建立信息安全保密管理部门。
2.5 安全保护等级
10、GB/T22240《信息安全技术网络安全等级保护定级指南》,安全保护等级分为以下五级:
| 安全等缓 | 信息系统破坏程度划分 |
|---|---|
| 第一级 | 等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害, 但不危害国家安全、社会秩序和公共利益 |
| 第二级 | 等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全 |
| 第三级 | 等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害; |
| 第四级 | 等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害; (17下15)(19上16) |
| 第五级 | 等级保护对象受我破床后,会对国家安全造成特别严重危害 |
| 受到破坏后受损害的客体 | 对客体的侵害程度 | ||
|---|---|---|---|
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 1级 | 2级 | |
| 对社会秩序和公共利益 | 2级 | 3级 | 4级 |
| 国家安全 | 3级 | 4级 | 5级 |
| 级别 | 个人合法权益 | 社会利益 | 国家安全 |
|---|---|---|---|
| 第一级 | 损害 | ||
| 第二级 | 严重损害 | 损害 | |
| 第三级 | 严重损害 | 损害 | |
| 第四级 | 特别严重损害 | 严重损害 | |
| 第五级 | 特别严重损害 |
11、GB/T22239《信息安全技术网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力。
| 级别 | 要点 |
|---|---|
| 第一级 | 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害飒的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能 |
| 第二级 | 应能够防护免受来自外部小型组织的的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。 |
| 第三级 | 应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。 |
| 第四级 | 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。 |
| 第五级 | 略 |
