2 信息系统集成及服务管理

2.3 ITIL与IT服务、ITSS与信息技术服务、信息系统审计

2.3.2 ITSS与信息技术服务

1. ITSS简介

3）ITSS原理

ITSS充分借鉴了质量管理原理和过程改进方法的精髓，规定了IT服务的组成要素和生命周期,并对其进行标准化,如图2-2所示。

（1）组成要素。 IT服务由人员(People)、流程（Process)、技术(Technology)和资源(Resource)组成，简称PPTR。其中:
人员：指提供IT服务所需的人员及其知识、经验和技能要求；
流程：指提供IT服务时，合理利用必要的资源，将输入转化为输出的一组相互关联和结构化的活动；
技术：指交付满足质量要求的IT服务应使用的技术或应具备的技术能力；
资源：指提供IT服务所依存和产生的有形及无形资产。

（2）生命周期。IT服务生命周期由规划设计(Planning & Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision)5个阶段组成，简称 PIOIS。其中:
规划设计：从客户业务战略出发，以需求为中心，参照 TTSS对T服务进行全面系统的战略规划和设计，为IT服务的部署实施做好准备，以确保提供满足客户需求的IT服务；
部署实施：在规划设计基础上，依据ITSS 建立管理体系、部署专用工具及服务解决方案；
服务运营：根据服务部署情况，依据ITSS，采用过程方法，全面管理基础设施、服务流程、人员和业务连续性，实现业务运营与IT服务运营融合；
持续改进：根据服务运营的实际情况，定期评审IT服务满足业务运营的情况，以及IT服务本身存在的缺陷，提出改进策略和方案，并对IT服务进行重新规划设计和部署实施，以提高IT服务质量；
监督管理：本阶段主要依据ITSS对IT服务服务质量进行评价，并对服务供方的服务过程、交付结果实施监督和绩效评估。

2. ITSS与信息技术服务

2）信息技术服务核心要素

ITSS定义了IT服务的核心要素由人员、过程、技术和资源组成，并对这些IT服务的组成要素进行标准化，如图2-3所示。对这四个要素及其关系可以概括为：正确选择人员遵从过程规范，正确使用技术，并合理运用资源，向客户提供IT服务。

 

2.3.3 信息系统审计

1. 信息系统审计概念

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源”。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下3类。
可用性：商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种损失和灾难?
保密性：系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放?
完整性：信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?

4. 信息系统审计的基本业务和依据

1）信息系统审计的基本业务

对一个信息系统审计的主要组成部分包括以下6个方面。

（1）信息系统的管理、规划与组织：评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
（2）信息系统技术基础设施与操作实务：评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的商业目标。
（3）资产的保护：对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
（4）灾难恢复与业务持续计划：这些计划是在发生灾难时，能够使组织持续进行业务，对这种计划的建立和维护流程需要进行评价。
（5）应用系统开发、获得、实施与维护：对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。
（6）业务流程评价与风险管理：评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

2）信息系统审计的依据

（1）一般公认信息系统审计准则。包括职业准则、ISACA公告和职业道德规范。
（2）信息系统的控制目标。

COBIT5基于如下五条基本原则治理和管理企业IT：

满足利益相关者需求；
端到端覆盖企业；
采用单一集成框架；
启用一种综合的方法；
区分治理和管理。

6. 基于风险的审计方法

很多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制(Control-Based）演变为基于风险(Risk-Based）的方法，其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

基于风险方法来进行审计的步骤如下。

（1）编制组织使用的信息系统清单并对其进行分类。
（2）决定哪些系统影响关键功能和资产。
（3）评估哪些风险影响这些系统及对商业运作的冲击。
（4）在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率。审计者可以制定年度审计计划，开列出一年之中要进行的审计项目。