文集：《信息系统项目管理师第四版攻略》

本节概要

信息系统管理涉及系统准备、设计、实施、运行等活动的众多方面，管理重点范围和细致程度随各组织的战略和业务目标的不同而存在差异。从日常管理活动视角来看，各组织关注的管理内容主要聚焦在数据管理、运维管理和信息安全管理等方面的体系化管理。

数据管理

数据管理能力模型

数据战略

1. 数据战略规划。

   • 识别利益相关者：明确利益相关者的需求。
   • 数据战略需求评估：组织对业务和信息化现状进行评估，了解业务和信息化对数据的需求。
   • 数据战略制定。
   • 数据战略发布：以文件、网站、邮件等方式正式发布审批后的数据战略。
   • 数据战略修订：根据业务战略、信息化发展等方面的要求，定期进行数据战略的修订。

2. 数据战略实施。
   数据战略实施是组织完成数据战略规划后，逐渐实现数据职能框架的过程。

3. 数据战略评估。
   组织在数据战略评估过程中需要建立对应的业务案例和投资模型，并在整个数据战略实施过程中跟踪进度，同时做好记录供审计和评估使用。

数据治理

1. 数据治理组织
2. 数据制度建设
3. 数字治理沟通

数据治理框架

1. 数据模型
2. 数据分布
3. 数据集成与共享
4. 元数据管理

数据应用

1. 数据分析
2. 数据开放共享
3. 数据服务

数据安全

1. 数据安全策略
2. 数据安全管理
3. 数据安全审计

数据质量

1. 数据质量需求
2. 数据质量检查
3. 数据质量分析
4. 数据质量提升

数据标准

1. 业务术语
2. 参考数据和主数据
3. 数据元
4. 指标数据

数据生存周期

1. 数据需求
2. 数据设计和开发
3. 数据运维
4. 数据退役

理论框架与成熟度

1. 数据管理能力成熟度模型（DCMM）

   • 初始级：数据需求的管理主要是在项目级体现，没有统一的管理流程，主要是被动式管理。
   • 受管理级：组织意识到数据是资产，根据管理策略的要求制定了管理流程，指定了相关人员进行初步管理。
   • 稳健级：数据已被当做实现组织绩效目标的重要资产，在组织层面制定了系列的标准化管理流程，促进数据管理的规范化。
   • 量化管理级：数据被认为是获取竞争优势的重要资源，数据管理的效率能量化分析和监控。
   • 优化级：数据被认为是组织生存和发展的基础，相关管理流程能实时优化，能在行业内进行最佳实践分享。

2. 数据治理框架（DGI）

   
   
   DGI 数据治理框架

3. 数据管理能力评价模型（DCAM）

4. 数据管理模型（DAMA）

运维管理

能力模型

国家标准 GB/T28827.1《信息技术服务运行维护第 1 部分通用要求》定义了 IT 运维能力模型，该模型包含治理要求、运行维护服务能力体系和价值实现。治理要求是为实现运行维护服务绩效、风险控制和服务合规性的组织目标，提出的关于最高管理层领导作用及承诺的能力体系建设要求。

IT 运维能力模型图

1. 能力建设
   组织需要考虑环境的内外部因素，在治理要求的指导下，根据服务场景，识别服务能力需求，围绕人员、过程、技术、资源能力四要素，策划、实施、检查和改进运行维护能力体系，向各种服务场景赋能，通过服务提供实现服务价值；并针对能力建设、人员、过程、技术、资源建立关键指标；还需要定期评价运行维护服务能力成熟度，衡量能力水平差距，以持续提升运行维护服务能力。

2. 人员能力

   • 面向 IT 运维所有干系人需求，建立人员需求规划；
   • 基于人员需求计划，制定人员招聘、培训、储备和考核机制并实施；
   • 定义 IT 运维人员岗位，根据工作内容不同，划分管理岗、技术岗、操作岗，并对每个岗位梳理工作职责，同时定义岗位的任职要求，包括知识、技能及经验要求等方面。

3. 资源能力
   IT 运维资源是为了保证 IT 运维的正常交付所依存和产生的有形及无形资产。该表述最后的落脚点是资产，这就区别于广义的资源概念，广义的资源是指组织拥有的物力、财力、人力等各种物质要素的总称。

4. 技术能力
   组织需要通过自有核心技术的研发和非自有核心技术的学习，持续提升 IT 运维过程中发现问题和解决问题的能力，在提升 IT 运维效率方面是重点考虑的要素，技术要素确保 IT 运维能“高效做事”。

5. 过程
   组织通过过程的制定，把人员、技术和资源要素以过程为主线串接在一起，用于指导 IT 运维人员按约定的方式和方法，确保 IT 运维能“正确做事”。

智能运维

智能运维能力框架

1. 能力要素
   人员、技术、过程、数据、算法、资源、知识。

2. 能力平台
   具备数据管理、分析决策、自动控制等能力。

3. 能力应用
   场景构建、能力构建、服务交付、迭代调优。

4. 智能特征
   能感知、会描述、自学习、会诊断、可决策、自执行、自适应。

信息安全管理

CIA 三要素

CIA 三要素是保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）三个词的缩写。CIA 是系统安全设计的目标。保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组，这也是信息安全通常所强调的目标。

信息安全管理体系

1. 落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划；
2. 开发安全策略；
3. 实施风险管理；
4. 制订业务持续性计划和灾难恢复计划；
5. 选择与实施安全措施；
6. 保证配置、变更的正确与安全；
7. 进行安全审计；
8. 保证维护支持；
9. 进行监控、检查，处理安全事件；
10. 安全意识与安全教育；
11. 人员安全管理等。

网络安全等级保护

1. 安全保护等级划分
   GB/T22240《信息安全技术网络安全等级保护定级指南》定义了等级保护对象，为网络安全等级保护工作直接作用的对象。
   第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益；第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益产生严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

2. 安全保护能力等级划分
   GB/T22239《信息安全技术网络安全等级保护基本要求》规定了不同级别的等级保护对象应具备的基本安全保护能力。
   第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。
   第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。
   第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。
   第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。
   第五级安全保护能力：略。

信息系统管理要点思维导图