免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2017年上半年 信息系统管理工程师 上午试卷 综合知识
  第59题      
  知识点:   硬件管理的范围   COBIT   信息系统审计
  关键词:   BI   安全   信息系统审计   信息系统        章/节:   系统运行管理知识       

 
COBIT{Control Objectives for Information and related Technology)是目前国际上通用信息系统审计的标准,由信息系统审计与控制协会1996年公布。是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。该标准对IT资源进行了相关定义,下面( )不属于标准中定义的IT资源。
 
 
  A.  数据
 
  B.  应用系统
 
  C.  设备和人员
 
  D.  基线配置
 
 
 

 
  第57题    2019年上半年  
   29%
IT资源管理中的硬件配置管理,硬件经常被划分为各类配置项(Configuration Item, CI)。一个CI或一组CI在其生命周期的不同时间点上..
  第57题    2009年下半年  
   28%
COBIT中定义的IT资源如下:数据、应用系统、(57)、设备和人员。
 
   知识点讲解    
   · 硬件管理的范围    · COBIT    · 信息系统审计
 
       硬件管理的范围
        近年来,企业IT资源管理(或称系统管理、系统网络管理、系统资源管理,等等)逐渐成为广大CEO(企业首席行政主管)与CIO(企业首席信息主管)所谈论的话题。有效的企业(IT)管理一定是从CEO/CIO自身的需求出发,真正反映用户需求,为用户解决实际管理难题,获得企业效益的解决方案。
        众所周知,信息技术产业(Information Technology,IT)的发展历程就是企业CEO/CIO需求发展的过程。从我们引进先进的硬件产品,到购买数据库软件及应用软件,到现在的大量进行的网络基础建设,无一不是由企业的需求所引导的。
        进行IT资源管理,首先第一步就是识别企业待管理的硬件有哪些?弄清企业的硬件设备有哪些?有哪些设备需要被管理?COBIT中定义的IT资源如下。
        (1)数据。是最广泛意义上的对象(如外部和内部的)、结构化及非结构化的、图像、各类数据。
        (2)应用系统。人工处理以及计算机程序的总和。
        (3)技术。包括硬件、操作系统、数据库管理系统、网络、多媒体等。
        (4)设备。包括所拥有的支持信息系统的所有资源。
        (5)人员。包括员工技能,意识、以及计划、组织、获取、交付、支持和监控信息系统及服务的能力。
        因此,应该对企业的中央计算机以及外部设备进行统计,并且记录下来各计算机和设备的位置信息、配置信息、购买信息、责任人以及使用状况等。然后再记录分布在各个现场的计算机和外部设备,认真清理,并做好相应的设备的纪录——配置信息、位置信息、购买信息、责任人、使用状况等。并且对于以后新购买的计算机与外部设备都应做好相应的记录,将记录登记到系统的硬件登记表中,如下图所示。对于损毁的部分应该相应地删除,这样便于对企业的信息系统资产的硬件进行管理。
        
        系统硬件登记表
        认真识别和清理企业的硬件设备,对企业的信息系统的资产进行管理,便于以后企业资产的管理。一般管理的硬件包括企业所购买的和保管的各种硬件设备(服务器、交换机、计算机、磁盘、打印机、复印机、扫描仪、刻录机、摄像机、录像机、照相机等)。
        识别清楚了有哪些资源需要被管理之后,就应该开始对待管理的资源进行管理准备工作,对于硬件资源应逐步进行登记管理,记录相关资产。
 
       COBIT
        成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology信息系统和技术控制目标),COBIT包含34个信息技术过程控制,并归集为4个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
        COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。该框架如下图所示。
        
        COBIT框架
        该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。
        首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
        IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。
        COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。
        COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。
        COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。
        从内容上看,COBIT覆盖了从分析、设计到开发、实施到运营、维护的整个过程,COBIT覆盖整个信息系统的全部生命周期,其视野是最为开阔的。
 
       信息系统审计
               信息系统审计概念
               美国信息系统审计的权威专家Ron Weber将信息系统审计定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。
               信息系统审计的目的是评估并提供反馈、保证及建议,主要关注:
               .可用性:商业高度依赖的信息系统能否在任何需要的时刻都能提供服务,信息系统是否被完好保护以应对各种损失和灾难?
               .保密性:系统保存的信息是否仅对需要这些信息的人员开放,而不对其他人开放?
               .完整性:信息系统提供的信息是否始终保持正确、可信、及时,能否防止未授权的对系统数据和软件的修改?
               信息系统审计的理论基础
               信息系统审计建立在以下四种理论基础之上,分别为:
               .传统审计理论:提供了丰富的内部控制理论与实践经验,同时收集并评价证据的方法论也在信息系统审计中广泛应用。
               .信息系统管理理论:是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
               .行为科学理论:行为科学特别是组织学理论解释了组织中产生的“人的问题”,也为审计人员了解哪些行为因素可能导致系统失败提供了依据。
               .计算机科学:计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并有效地实现企业目标。
               信息系统审计的基本业务
               信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
               .系统开发审计:包括开发过程的审计、开发方法的审计、为IT规划指导委员会及变革控制委员会提供咨询服务。
               .主要数据中心、网络、通信设施的结构审计:包括财务系统和非财务系统的应用审计。
               .支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训。
               .为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导,推动风险自评估程序的执行。
               .软件和硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符的审计。
               .灾难恢复和业务持续计划审计。
               .对系统运营效能、投资回报率及应用开发测试审计。
               .系统的安全审计。
               .网站的信誉审计。
               .全面控制审计等。
               针对某个信息系统进行审计时,需要注意六个方面:
               .信息系统的管理、规划与组织。
               .信息系统技术基础设施与操作实务。
               .资产的保护。
               .灾难恢复与业务持续计划。
               .应用系统的开发、交付、实施与维护。
               .业务流程评价与风险管理
               信息系统审计的依据
               信息系统审计的主要依据有:
               .一般公认的信息系统审计准则:包括职业准则、ISACA公告和职业道德规范。
               .信息系统的控制目标:信息系统审计与控制协会在1996年公布的COBIT被国际上公认为最先进、最权威的安全与信息技术管理和控制标准。
               .其他法律及规定。
               基于风险的审计方法
               采用新技术能带来好处,但也会带来很多风险。此时,审计从基于控制的方法演变为基于风险的方法。
               基于风险的方法进行审计的步骤如下:
               (1)编制组织使用的信息系统清单并对其进行分类。
               (2)决定哪些系统影响关键功能和资产。
               (3)评估哪些风险会影响这些系统及对商业运作的冲击。
               (4)在上述评估的基础上对系统分级,决定审计优先级、资源、进度和频率。
   题号导航      2017年上半年 信息系统管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第59题    在手机中做本题