2.1信息系统集成和服务管理体系

2.1.1信息系统集成和服务管理体系内容

以满足企业和机构的业务发展所带来的信息化需求为目的，基于信息技术和信息化理念而提供的专业信息技术咨询服务、系统集成服务、技术支持服务、运行维护服务等工作，都属于信息系统集成及服务的范畴。

存在问题：

(1)系统质量不能满足应用的基本需求;

(2)工程进度拖后延期:

(3)项目资金使用不合理或严重超出预算;

(4)项目文档不全甚至严重缺失;

(5)在项目实施过程中系统业务需求一变再变

(6)在项目实施过程中经常出现扯皮、推诿现象;

(7)系统存在着安全漏洞和隐患;

(8)重硬件轻软件，重开发轻维护，重建设轻应用:

(9)信息系统服务企业缺乏规范的流程和能力管理;

(10)信息系统建设普遍存在产品化与个性化需求的矛盾

(11)开放性要求高，而标准和规范更新快

问题原因概括：

(1)不具备技术实力的系统集成商搅乱信息系统集成及服务市场;

(2)一些建设单位在选择项目承建商和进行业务需求分析方面经验不足;

(3)信息系统集成及服务企业自身建设有待加强;

(4)缺乏相应的机制和制度;

(5)企业能力建设缺乏相关的指导标准

保证上述问题可控的方法内容：

(1)信息系统集成、运维服务和信息系统监理资质管理;

(2)信息系统集成、运维服务和信息系统监理相关人员管理;

(3)国家计划(投资) 部门对规范的、具备信息系统项目管理能力的企业和人员的建议性要求:

(4)信息系统用户对规范的、具备信息系统项目管理能力的企业和人员市场性需求。

2.1.2信息系统集成和服务管理体系推进

1.实施信息系统集成及服务资质管理制度

1推荐优秀系统集成商

2对信息系统集成企业进行资质认证

2.推行项目经理制度

2002年8月28日，信息产业部发出《关于发布计算机信息系统集成项目经理资质管理办法(试行)的通知》(信部规2002 382 号文)(以下简称为《项目经理管理办法》，决定在计算机信息系统集成行业推行项目经理制度

3.推出ITSS标准及评估服务

2012年首先推出《信息技术服务 分类与代码》(GB/T 29264-2012);《信息技术服务运行维护第1部分通用要求》(GB/T 28827.1-2012)《信息技术服 运行维护第2部分:交付规范》(GB/T 28827.2-2012)《信息技术服务 运行维护第3 部分:应急响应规范》(GB/T 28827.3-2012)，并于2013年6月由“中国电子工业标准化技术协会信息技术服务分会”发布 18 家第一批通过《信息技术服务 运行维护 第1部分:通用要求》GB/T28827.1-2012) 符合性评估的企业。

2.2信息系统集成及服务资质管理

2.2.1信息系统集成及服务资质管理的必要性和意义

资质认证工作的意义：

(1)有利于系统集成及服务企业展示自身实力，参与市场竞争;按照等级条件，加强自身建设。

(2) 有利于规范信息系统集成及服务市场

(3) 有利于保证信息系统及服务工程质量

2.2.2信息系统集成及服务资质管理办法

2015年7月1日起实行，管理办法分为 7章，分别为总则，工作机构，资质设定，资质申请与认定，资质证书管理，监督管理及投诉、申诉和罚则，附则。

1.工作机构

电子联合会设立信息系统集成资质工作委员会(以下称电子联合会资质工作委员会)，负责协调、管理资质认定工作，对资质认定结果进行审定。

2.资质设定

信息系统集成及服务资质是对企业从事信息系统集成及服务综合能力和水平的客观评价，集成资质分为一级、二级、三级和四级四个等级，其中一级最高。

3.资质申请与认定

凡从事信息系统集成及服务的企业，可根据电子联合会发布的资质等级评定条件和自身能力水平情况，自愿申请相应类别和级别的资质认定。

(1) 是在中华人民共和国境内注册的企业法人;

(2)能够提供与资质等级评定条件相关的证明材料;

(3)承诺并遵守行业公约，并认同《信息系统集成及服务资质认定管理办法(暂行)》

4.资质证书管理

资质证书有效期四年，分为正本和副本，正本和副本具有同等效力。

2.2.3信息系统集成资质等级条件

根据国务院关于标准化改革工作的有关要求，电子联合会组织制定了《信息系统集成资质等级评定条件(暂行)》，自2015年7月1日起实行。系统集成资质等级评定条件主要由综合条件、财务状况、信誉、业绩、管理能力、技术实力、人才实力7个方面描述的。

1.综合条件

综合条件从企业的从业年限、获取低一级资质年数、主业是否为系统集成、注册资金等基本情况来衡量。

2.财务状况

系统集成企业要求财务状况良好。如果企业近三年中连续两年亏损，或虽只有一年亏损，但亏损额较大则反映其财务状况不佳。

注意，企业的财务状况应由有资质的审计机构提供的财务数据说明，或以其他方式证明企业所提供的财务数据是可信的。

3.信誉

企业必须从提高自身的综合实力和提高对客户的服务水平及效果上下功夫以提高并保持其信誉度。

4.业绩

业绩要求主要从企业近三年完成的系统集成项目额、项目规模、项目的技术含量、项目的软件费用比例、项目的实施质量、企业所完成项目在主要业务领域的水平等方面衡量。

5.管理能力

管理能力要求主要从质量管理、客户服务、企业的信息管理系统、企业负责人以及技术、财务负责人等方面能力衡量。

1)质量管理体系

对不同级别的系统集成企业都要求建立有质量管理体系并能有效实施

2)客户服务管理

对不同级别的系统集成企业要求建立有客户服务制度，并配备专门客服部门和客服人员。越高级别要求越高。

6.技术实力

各级别的技术实力要求主要从企业在某些业务领域的实力、软件研发能力、开发环境、研发投入等方面衡量。

1)业务领域

对不同级别的系统集成企业都要求有明确或主要的业务领域，而且在主要的业务领域上技术实力、市场占有率有不同的要求。

2)软件开发能力

主要从企业自主开发的软件平台、软件产品的情况衡量，同时也要求所开发的软件应应用到系统集成项目上。同时开发能力也体现在开发环境和研发投入费用上。

7.人才实力

各级别的人才实力要求主要从工程技术人员、本科以上人员比例、项目经理数目培训体系和人力资源管理水平等方面衡量。

2.3ITIL与IT服务管理、ITSS 与信息技术服务、信息系统审计

2.3.1ITIL与IT 服务管理

1.ITIL 的概念及其发展

ITIL概念

ITIL的全称是Information Technology Infrastructure Library(信息技术基础架构库)，ITIL 包含着如何管理 IT 基础设施的流程描述，以流程为向导、以客户为中心，通过整合IT 服务与企业服务，提高企业的IT 服务提供和服务支持的能力和水平。

2.IT 服务管理 (ITSM)

ITSM(IT Service Management，IT 服务管理)起源于ITIL，其结合了高质量服务不可缺少的过程、人员和技术这三大要素，通过集成 IT 服务和业务，协助企业提高其 IT服务提供和支持能力，能够帮助企业对 I 系统的规划、研发、实施和运营进行有效管理。

1)ITSM的核心思想

ITSM 的核心思想是，IT 组织，不管它是企业内部的还是外部的，都是IT 服务提供者，其主要工作就是提供低成本、高质量的IT 服务。

实施ITSM的根本目标有以下三个。

(1)以客户为中心提供T服务。

(2)提供高质量、低成本的服务。

(3)提供的服务是可准确计价的。

2)ITSM的基本原理

ITSM的基本原理可简单地用“二次转换”来概括，第一次是“梳理”，第二次是“打包”

3)ITSM的范围

ITSM 适用于IT 管理而不是企业的业务管理。清楚这点非常重要，因为它明确划分了ITSM与ERP、CRM和SCM 等管理方法和软件之间的界限，这个界限是:前者面向IT 管理，后者面向业务管理。

4)ITSM 的价值

作为IT 管理的“ERP 解决方案”， 服务管理给实施它的企业、企业员工及其他利益相关者提供多方面的价值。《IT 服务管理实施规划》将这些价值归纳为商业价值、财务价值、创新价值和内部价值、员工利益。

(1)商业价值。IT 在商业中演着越来越重要的角色，通过实施 IT 服管理，可以获取多方面的商业价值

(2)财务价值。IT 服务管理不但提供商业价值，而且使企业在财务上直接受益

(3)内部价值和创新价值

(4)员工利益

2.3.2 ITSS 与信息技术服务

1.ITSS 简介

1ITSS基本概念

信息技术服务标准，ITSS (Information Technology Service Standards，简称 ITSS)是一套成体系和综合配套的信息技术服务标准库，全面规范了 IT 服务产品及其组成要素，用于指导实施标准化和可信赖的 ITT 服务。

2ITSS 原理

ITSS 充分借鉴了质量管理原理和过程改进方法的精髓，规定了 IT 服务的组成要素和生命周期，并对其进行标准化

(1)组成要素。IT 服务由人员 (People)、流程(Process)、技术 (Technology)和资源(Resource)组成，简称 PPTR。

(2)生命周期。IT 服务生命周期由规划设计 (Planning & Design)、部署实施(Implementing)服务运营(Operation)持续改进(Improvement)和监督管理(Supervision)5 个阶段组成，简称 PIOIS。

2.ITSS与信息技术服务

1)信息技术服务概念

信息技术服务:是指供方为需方提供如何开发、应用信息技术的服务，以及供方以信息技术为手段提供支持需方业务活动的服务。常见服务形态有信息技术咨询服务、设计与开发服务、信息系统集成服务、数据处理和运营服务及其他信息技术服务。2)信息技术服务核心要素

ITSS 定义了IT 服务的核心要素由人员、过程、技术和资源组成，并对这些I 服务的组成要素进行标准化。对这四个要素及其关系可以概括为:正确选择人员遵从过程规范，正确使用技术，并合理运用资源，向客户提供IT 服务。

3)信息技术服务生命周期

ITSS 定义的IT 服务生命周期由规划设计、部署实施、服务运营、持续改进和监督管理五个阶段组成，并规定了 IT 服务生命周期各阶段应遵循的标准， 涉及咨询设计、集成实施、运行维护及运营服务等领域

IT 服务生命周期的引入，变了 IT 服务在不同阶段相互割裂、独立实施的局面。

4)信息技术的标准化和产业化

IT 服务的产业化进程分为产品服务化、服务标准化和服务产品化3 个阶段

3ITSS主要内容

1)ITSS体系框架

标准体系是标准化系统为了实现本系统的目标而必须具备一整套具有内在联系的、科学的、由标准组成的有机整体。标准体系是一个概念系统，是人为组织制定的标准而形成的人工系统。

ITSS 体系的提出主要从业务分类、服务管控、服务安全、服务业务、外包、对象和行业等几个方面考虑，分为基础标准、服务管控标准、服务外包标准、业务标准、安全标准、行业应用标准6大类

ISS主要内容包括:

基础标准旨在阐述信息技术服务的业务分类、服务级别协议、服务质量评价方法服务人员能力要求等;

服务管控标准是指通过对信息技术服务的治理、管理和监理活动，以确保信息技术服务的经济有效;

业务标准按业务类型分为面向 IT 的服务标准(咨询设计标准、集成实施标准和运行维护标准)和IT 驱动的服务标准(服务运营标准，按标准编写目的分为通用要求、服务规范和实施指南，其中通用要求是对各业务类型的基本能力要素的要求，服务规范是对服务内容和行为的规范，实施指南是对服务的落地指导;

服务外包标准是对信息技术服务采用外包方式时的通用要求及规范;

服务安全标准重点规定事前预防、事中控制、事后审计服务安全以及整个过程的持续改进，并提出组织的服务安全治理规范，以确保服务安全可控;

行业应用标准是对各行业进行定制化应用落地的实施指南。信息技术服务标准体系是动态发展的，与信息技术服务相关的技术和产业发展紧密相关，同时也与标准化工作的目标和定位紧密相关。

2)ITSS 核心价值

在信息技术服务产业，主要的利益相关方包括服务需方和服务供方，服务需方主要是各行业用户，服务供方主要是提供相应软件、硬件、服务或人员的服务供应商。

2.3.3 信息系统审计

1.信息系统审计概念

信息系统审计是全部审计过程的一个部分，信息系统审计 (IS audit)目前还没有固定通用的定义，美国信息系统审计的权威专家 Ron Weber 将它定义为“收集并评估证据以决定一个计算机系统(信息系统) 是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源”可用性，保密性，完整性

2.信息系统审计产生动因及其发展

1）信息系统审计产生动因分析

从会计审计发展到计算机审计到信息系统审计，信息系统是庞大的系统工程，投资大、周期长、风险高在建设过程中，对工程进行严格、规范的管理和控制至关重要。

2)信息系统审计在国际上的发展

信息系统审计的发展是伴随着信息技术的发展而发展的。

3)信息系统审计在国内的发展

目前国内有学者提出计算机审计、电算化审计，但基本上停留在对会计信息系统的审计上，只是延伸手工会计信息系统审计，尚未全面探讨信息时代给审计业务带来的深刻变化。

3.信息系统审计的理论基础

信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产，和传统资产一样需要控制，组织同时需要审计人员提供对信息资产控制的评价

信息系统审计是建立在以下4 个理论基础之上的

1) 传统审计理论

传统审计理论为信息系统审计提供丰富的内部控制理论与实践经验，保证所有交易数据都被正确处理。

2) 信息系统管理理论

信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论它的发展提高了系统保护资产安全、保证信息完整，并能有效地实现企业目标的能力

3)行为科学理论

人是信息系统安全最薄弱的环节，信息系统有时会因为人的问题而失败，比如对系统不满的用户故意破坏系统及其控制。

4)计算机科学

计算机科学本身的发展也在关注如何保护资产安全、保证信息完整，并能有效地实现企业目标。

4.信息系统审计的基本业务和依据

1)信息系统审计的基本业务

信息系统审计业务将随着信息技术的发展而发展，为满足信息使用者不断变化的需要而增加新的服务内容，目前其基本业务如下。

(1)系统开发审计，包括开发过程的审计、开发方法的审计，为IT 规划指导委员会及变革控制委员会提供咨询服务。

(2)主要数据中心、网络、通信设施的结构审计，包括财务系统和非财务系统的应用审计。

(3) 支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训。

(4)为组织提供增值服务，为管理信息系统人员提供技术、控制与安全指导:推动风险自评估程序的执行。

(5)软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计。

(6)灾难恢复和业务持续计划审计

(7)对系统运营效能、投资回报率及应用开发测试审计

(8)系统的安全审计

(9)网站的信誉审计

(10)全面控制审计等

2)信息系统审计的依据

信息系统审计师须了解规划、执行及完成审计工作的步骤与技术，并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定

COBIT 5 基于如下五条基本原则治理和管理企业 IT:

满足利益相关者需求;

端到端覆盖企业;

采用单一集成框架

启用一种综合的方法;

区分治理和管理

6.基于风险的审计方法

很多组织意识到技术能带来的潜在好处。然而，成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制(Control-Based) 演变为基于风险(Risk-Based)的方法，其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

基于风险方法来进行审计的步骤如下

编制组织使用的信息系统清单并对其进行分类。

(2) 决定哪些系统影响关键功能和资产。

(3)评估哪些风险影响这些系统及对商业运作的冲击。

(4)在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率。审计者可以制定年度审计计划，开列出一年之中要进行的审计项目。