系统集成项目管理第七章（信息系统集成及服务管理）

ITSS信息技术服务标准组成要素：人员、流程、技术、资源

IT服务生命周期：规划设计、部署实施、服务运营、持续改进、监督管理（PIOIS）

ITSS体系：基础标准、服务管控标准、服务外包标准、业务标准、安全标准、行业应用标准。

信息系统审计的目的是评估并提供反馈、保证及建议。

关注之处：可用性、保密性、完整性。

信息系统审计的主要组成部分：

（1）信息系统的管理、规划与组织

（2）信息系统技术基础设施与操作实务

（3）资产的保护

（4）灾难恢复与业务持续计划

（5）应用系统开发、获得、实施与维护

（6）业务流程评价与风险管理

审计准则：职业准则、ISACA公告和职业道德规范。

COBIT（信息及相关技术控制目标）基于如下基本原则治理和管理企业IT：

（1）满足利益相关者需求

（2）端到端覆盖企业

（3）采用单一集成框架

（4）启用一种综合的方法

（5）区分治理和管理

信息系统审计流程

基于风险的审计方法：企业风险、确定风险、风险评估、风险管理、风险沟通

基于风险方法审计步骤：

（1）编制组织使用的信息系统清单并对其进行分类

（2）决定哪些系统影响关键功能和资产

（3）评估哪些风险影响这些系统及对商业运作的冲击

（4）在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率。审计者可以制定年度审计计划，开列出一年中要进行的审计项目。