信息系统集成及服务管理（ITSS）和审计要点_its认证算 信息系统审计

今天小编整理的主要内容是：信息系统集成及服务管理（ITSS）和审计要点

先来说说服务管理

按照信息服务生命周期推出一套完整的IT服务标准体系ITSS（Information Technology Service Standards ， 信息技术服务标准），包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准，涉及信息系统建设、运行维护、服务管理、治理及外包等业务领域，是一套体系化的信息技术服务标准库。

ITSS 的来源

ITSS是在工业和信息化部、国家标准化管理委员会的联合知道下，有国家信息技术服务标准工作组组织研究制定的，是我国IT服务行业最佳实践的总结和提升，也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。

ITSS组成要素

人员：提供IT服务所需的人员及其知识、经验和技能要求【正确选人】

流程：提供IT服务时，合理利用必要的资源，将输入转化为输出的一组相互关联和结构化的活动【正确做事】

技术：交付满足质量要求的IT服务应使用的技术或应具备的技术能力【高效做事】

资源：提供IT服务所依存和产生的有形及无形资产【保障做事】

IT服务生命周期

规划设计：从客户业务战略出发，以需求为中心，参照ITSS对IT服务进行全面系统的战略规划和设计，为IT服务的部署实施做好准备，以确保提供满足客户需求的IT服务。

部署实施：依据ITSS建立管理体系、部署专用工具及服务解决方案。

服务运营：根据服务部署情况，依据ITSS，采用过程方法，全面管理基础设施、服务流程、人员和业务连续性，实现业务运营与IT服务运营融合。

持续改进：根据服务运营的实际情况，定期评审IT服务满足业务运营的情况，以及IT服务本身存在的缺陷，提出改进策略和方案，并对IT服务进行重新规划设计和部署实施，以提高IT服务质量。

监督管理：依据ITSS对IT服务质量进行评价，并对服务供方对服务过程、交付结果实施监督和绩效评估。

ITSS主要内容

ITSS体系的提出主要从业务分类、服务管控、服务安全、服务业务、外包、对象、和行业等几个方面考了，分为基础标准、服务管控标准、服务外包标准、业务标准、安全标准、行业应用标准6大类。

再来说说信息系统审计

信息系统审计是全部审计过程的一个部分，信息系统审计（IS audit）目前还没有固定通用的定义，美国信息系统审计的权威专家Ron Weber 将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源”。

信息系统审计的目的

评估并提供反馈、保证和建议

信息系统审计关注之处分3类

可用性：商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种损失和灾难？

保密性：系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开发？

完整性：信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？

信息系统审计的组成部分

信息系统的管理，规划与组织

信息系统技术基础设施与操作实务

资产的保护

灾难恢复与业务持续计划

应用系统开发、获得、实施与维护

业务流程评价与风险管理

信息系统审计的原则

ISACA公告

ISACA公告职业准则

ISACA职业到的规范

COBIT5基于五条基本原则治理和管理企业IT

满足利益相关者的需求

端到端覆盖企业

采用单一的集成框架

启用一种综合的方法

区分治理和管理

基于风险的审计方法

审计从基于控制（Control - Based）演变为基于风险（Risk - Based）的方法，其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

基于风险方法来进行审计的步骤

编制组织使用的信息系统清单并对其进行分类

决定哪些系统影响关键功能和资产

评估哪些风险影响这些系统及对商业运作的冲击

在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率；审计者可以制定年度审计计划，并列出一年之中要进行的审计项目。

信息系统审计流程

信息系统审计流程图 

以上是信息系统集成及服务管理（ITSS）和审计要点所有重点整理和归纳，每天持续更新所有知识点。