软高第四版_新增知识点
时政
国家信息化发展战略纲要
- 战略总目标是建设网络强国,分“三步走”:第一步到2020年,核心关键技术部分领域达到国际先进水平,信息产业国际竞争力大幅提升,信息化成为驱动现代化建设的先导力量;第二步到2025年,建成国际领先的移动通信网络_根本改变核心关键技术受制于人的局面,实现技术先进、产业发达、应用领先、网络安全坚不可摧的战略目标,涌现一批具有强大国际竞争力的大型跨国网信企业;第三步到本世纪中叶,信息化全面支撑富强民主文明和谐的社会主义现代化国家建设,网络强国地位日益巩固,在引领全球信息化发展方面有更大作为。
"十四五"国家信息化规划
- 《"十四五"国家信息化规划》:到2025年,数字中国建设取得决定性进展
- 以推动高质量发展为主题,以建设数字中国为总目标,以加快数字化发展为总抓手,发挥信息化对经济社会发展的驱动引领作用,推动新型工业化、信息化、城镇化、农业现代化同步发展,加快建设现代化经济体系
- 《中华人民共和国国民经济和社会发展第十四个五年规划和2035远景目标纲要》中从数字经济、数字政府、数字社会、数字生态四个维度出发勾勒了建设数字中国的宏伟蓝图。
- 《中华人民共和国国民经济和社会发展第十四个五年规划和2035远景目标纲要》提出:推动制造业优化升级,深入实施智能制造 和 绿色制造工程,发展服务型制造新模式,推动制造业高端化智能化绿色化。
- 《中华人民共和国国民经济和社会发展第十四个五年规划和2035远景目标纲要》提出:培育及壮大数字化管理平台、人工智能等新兴数字产业,提升通信设备、关键软件等产业水平,促进共享经济、平台经济健康发展。实施“上云用数赋智”行动,推动数据赋能全产业链协同转型。
智能制造
智能制造能力
- 智能制造能力成熟度模型给出了4个能力要素,包括人员、技术、资源 和 制造。并基于这4个能力要素进行分解,形成能力域及能力子域。
智能制造成熟度评估模型

智慧城市核心能力要素
- 5个智慧城市核心能力要素:数据治理、数字孪生、边际决策、多元融合 以及 态势感知
工业互联网
工业互联网体系架构
- 工业互联网体系架构功能架构主要包括网络、平台、数据 和 安全四个部分内容,其中
- 网络是基础,
- 平台是核心,
- 数据是要素,
- 安全是保障,
- 而构建在工业互联网平台之上的各类业务服务则是工业互联网应用(工业App)。
工业互联网平台分层
- 边缘层
- IaaS层
- PaaS层
- SaaS层
两化融合
- 两化融合的四个方向:
- 技术融合
- 产品融合
- 业务融合
- 产业衍生
ITU:5G 的三大应用场景
- 增强移动宽带,超高可靠低时延通信,大规模机器类型通信
技术
信息
- 信息就是信息,信息既不是物质,也不是能量
- 信息是不确定性的消除
- 信息是事物及其属性标识的集合
- 信息是事物运动状态和存在方式的表现形式
- 信息是物质、能量、信息及其属性的标示
结构化分析法
- 实体关系图(E-R图):数据模型
- 数据流图(DFD):功能模型
- 状态转换图(STD):行为模型
IT审计
IT审计风险
- 固有风险:是指IT活动不存在相关控制的情况下,易于导致重大错误的风险。(不做任何管控,存在的风险)
- 控制风险:是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险(内部质控检查无法发现的风险)
- 检查风险:是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险(外部审计无法发现的风险)
- 总体审计风险:是指针对单个控制目标所产生的各类审计风险总和(经过各种检查后,仍存在的风险)
- 关系:总体审计风险=固有风险×控制风险×检查风险
IT审计阶段
- 审计准备阶段
- 审计实施阶段
- 审计终结阶段
- 后续审计阶段
IT审计范围
- 总体范围:需要根据审计目的和投入的审计成本来确定;
- 组织范围:明确审计涉及的组织机构、主要流程、活动及人员等;
- 物理范围:具体的物理地点与边界;
- 逻辑范围:涉及的信息系统和逻辑边界;
IT审计底稿
- 综合类工作底稿
指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿,主要包括:审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料。 - 业务类工作底稿
指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿,包括:符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等。 - 备查类工作底稿
指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新;应详细列明目录清单,并将更新的文件资料随时归档;应根据需要,将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。通常,备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体来源。
IT审计方法
- 访谈法
- 调查法
- 检查法
- 观察法
- 测试和平行模拟法
- 程序代码检查
- 编码比较法
- 风险评估法
IT审计技术
- 风险评估技术
- 审计抽样技术
- 计算机辅助审计技术
- 大数据审计技术
国际常用审计准则
- 信息系统审计准则(ISACA)
- 《内部控制—整体框架》(COSO)
- 《萨邦斯法案》(SOX)
- 信息及相关控制目标(COBIT)
属性抽样和变量抽样
- 属性抽样,即进行定性判断,只判断是否符合要求,是否合格。 属性抽样时,每个样本的结果都是非此即彼(比如,要么是检测合格,要么是不合格)。抽样检测的置信水平会由于抽样数量的不同而不同,比如我们希望产品合格率为90%,那么我们应该至少抽多少个产品样品进行检测,业界会有相应的公式来佐证这种关联,具体公式样例可以查阅百度获得。这里仅举一个具体的例子,比如某车间对其生产的产品“钢圈”进行检查,钢圈的直径范围落在5.3~5.4厘米之间的为合格品,此范围之外的为次品。根据行业公式推演,某日进行了500批次的抽检,如果合格率都在90%以上,其整批产品的合格率的置信水平可以达到90%以上。
- 变量抽样,即进行定量判断,精确判断具体的偏差值。变量抽样关心实际检测值在某个连续刻度上所处位置,而不是产品合格或不合格。而变量抽样相对于属性抽样更多的是看被抽检样本的合格程度,比如某车间对其生产的产品“钢圈”进行检查,如果有需要确定产品各批次的平均直径和相对于平均直径的标准偏差的需求(此处可以理解为关联三点估算和标准差的知识),那就需要执行变量抽样。如果PMP考试中给出抽样时相对于产品的标准重量或尺寸的偏差量或标准差的概念,那更多的是选变量抽样。
IT 运维能力的关键指标
- 人员能力
面向 IT 运维所有干系人需求,建立人员需求规划;
基于人员需求计划,制定人员招聘、培训、储备和考核机制并实施;
定义 IT 运维人员岗位,根据工作内容不同,划分管理岗、技术岗、操作岗,并对每个岗位梳理工作职责,同时定义岗位的任职要求,包括知识、技能及经验要求等方面。 - 资源能力
IT 运维资源是为了保证 IT 运维的正常交付所依存和产生的有形及无形资产。该表述最后的落脚点是资产,这就区别于广义的资源概念,广义的资源是指组织拥有的物力、财力、人力等各种物质要素的总称。 - 技术能力
组织需要通过自有核心技术的研发和非自有核心技术的学习,持续提升 IT 运维过程中发现问题和解决问题的能力,在提升 IT 运维效率方面是重点考虑的要素,技术要素确保 IT 运维能“高效做事”。 - 过程
组织通过过程的制定,把人员、技术和资源要素以过程为主线串接在一起,用于指导 IT 运维人员按约定的方式和方法,确保 IT 运维能“正确做事”。
信息系统咨询设计范畴
容灾的分类
- 从其对系统的保护程度来分,可以将容灾系统分为:数据容灾和应用容灾,数据容灾就是指建立一个异地的数据系统,该系统是本地关键应用数据的一个实时复制。应用容灾是在数据容灾的基础上,在异地建立一套完整的与本地生产系统相当的备份应用系统(可以是互为备份),在灾难情况下,远程系统迅速接管业务运行,数据容灾是抗御灾难的保障,而应用容灾则是容灾系统建设的目标。
基本安全保护能力等级
等级 | 等级特征 |
---|---|
第一级 | 能防护来自个人及拥有很少资源的威胁源发起的恶意攻击,受损后能恢复部分功能 |
第二级 | 防护来自小型组织及拥有少量资源的威胁源发起的恶意攻击,受损后一段时间内恢复部分功能 |
第三级 | 防护来自海外有组织团体及拥有较为丰富资源的威胁源发起的恶意攻击,受损后能较快恢复绝大部分功能 |
第四级 | 防护来自国家级、敌对组织及拥有丰富资源的威胁源发起的恶意攻击,受损后能迅速恢复所有功能 |
第五级 | 根本不允许出现被共计损坏的情况,故无需恢复 |
安全空间五大属性
- 认证
- 权限
- 完整
- 加密
- 不可否认
管理
项目管理计划
- 10个子计划
- 3大基准
- 5个全局组件
管理技术
凸显模型
- 凸显模型:根据干系人的权力(施加自己意愿的能力)、紧迫程度和合法性对干系人进行分类。
霍桑效应
- 霍桑效应指出,对某一事物进行度量时会对其行为产生影响,因此需要谨慎制定度量指标。例如,仅度量项目团队可交付物的输出,会鼓励项目团队专注于创建更多数量的可交付物 ,而不是仅仅专注于度量客户更满意的那些可交付物 。
统计过程技术
- 统计过程技术是应用统计技术对过程的各个阶段进行评估和监控。建立并保持过程处于可接受的且稳定的水平,从而保证产品和服务符合规定的要求的一种质量管理技术。
情商的组成
- 自我意识
- 自我管理
- 社交意识
- 社交技能
流程的分类
- 根据流程的性质不同,可具体分为:
- 战略流程
- 支持流程
- 运行流程
信息系统
信息系统四要素
- 人员
- 技术
- 流程
- 数据
信息系统战略三角
- 业务战略
- 组织机制
- 信息系统
信息系统架构模式
- 集中式架构
- 分布式架构
- 面向服务的系统架构(SOA)
CSMM能力域
- 治理:包括战略与治理、目标管理能力子域,确定组织的战略、产品的方向、组织的业务目标,并确保目标的实现
- 开发与交付:包括需求、设计、开发、测试、部署、服务、开源应用能力子域,这些能力子域确保通过软件工程过程交付满足需求的软件,为顾客与利益相关方增加价值
- 管理与支持:包括项目策划、项目监控、质量保证、风险管理、配置管理、供应商管理能力子域,这些能力子域覆盖了软件开发项目的全过程,以确保软件项目能够按照既定的成本、进度和质量交付,能够满足顾客与利益相关方的要求
- 组织管理:包括过程管理、人员能力管理、组织资源管理、过程能力管理能力子域,对软件组织能力进行综合管理
ISSE 信息安全系统过程
- ISSE 过程的目的是使信息安全系统成为系统工程和系统获取过程整体的必要部分。 ISSE 将信息安全系统工程实施过程分解为:工程过程(Engineering Process)、风险过程 (Risk Process) 和 保证过程 (Assurance Process)个基本的部分。
CMMI2.0能力与能力域
- CMMI 2.0则将所有能力域按照功能特性分为4个能力类别(Capability Category),分别是:
- 行动(Doing)
- 管理(Managing)
- 赋能(Enabling)
- 提升(Improving)
- CMMI V2.0的12个能力域与4个能力类别的关系如下
PMO类型
类型 | 控制程度 | 对项目的帮助 |
---|---|---|
支持型 | 低 (顾问的角色、项目资源库) |
1.提供模板、最佳实践、培训 2.提供来自各个项目的信息和经验 |
控制型 | 中 | 1.提供支持 2.使用各种手段要求项目服从服从的事项包括: 1)采用哪种项目框架和方法论 2)使用特定的模板、格式、工具 3)服从治理 |
指令型 | 高 (直接管理,控制项目) |
1.指定项目经理 2.项目经理向PMO报告 |
项目集生命周期
- 项目集定义阶段
- 项目集交付阶段
- 项目集收尾阶段
项目组合生命周期
- 项目组合启动阶段
- 项目组合规划阶段
- 项目组合执行阶段
- 项目组合优化阶段
质量成本:
- 质量成本(cost of quality)包括在产品生命周期中为预防不符合要求,为评估产品或服务是否符合要求,以及因未达到要求(返工),而发生的所有成本。
风险分类
- 风险按后果分为纯粹风险和投机风险;
- 按风险来源或损失产生的原因划分为自然风险和人为风险;
- 按影响范围分为局部风险和整体风险;
- 按可预测性分为已知风险、可预测风险和不可预测风险。
按风险后果划分
- 按照后果的不同,风险可划分为纯粹风险和投机风险。
- 纯粹风险
不能带来机会、无获得利益可能的风险,叫纯粹风险。纯粹风险只有两种可能的后果:造成损失和不造成损失。纯粹风险造成的损失是绝对的损失。活动主体蒙受了损失,全社会也有可能跟着受损失。如:某建设项目空气压缩机房在施工过程中失火。蒙受了损失。该损失不但是这个工程的,也是全社会的。没有人从中获得好处。纯粹风险总是和威胁、损失、不幸相联系。 - 投机风险
既可能带来机会、获得利益,又隐含威胁、造成损失的风险,叫投机风险。投机风险有三种可能的后果:造成损失、不造成损失和获得利益。投机风险如果使活动主体蒙受了损失,但全社会不一定也跟着受损失。反之,其他人有可能因此而获得利益。例如私人投资的房地产开发项目如果失败,投资者要蒙受损失。但是发放贷款的银行却可将抵押的土地和房屋收回,等待时机转手高价卖出,不但可收回贷款,而且还有可能获得高额利润。
- 纯粹风险和投机风险在一定条件下可以相互转化。项目管理人员必须避免投机风险转化为纯粹风险。
风险不是零和游戏。在许多情况下,涉及风险的各有关方面都要蒙受损失,无一幸免。
按风险来源划分
- 按风险来源或损失产生的原因可将风险划分为自然风险和人为风险。
- 自然风险:由于自然力的作用,造成财产毁损或人员伤亡的风险属于自然风险。例如,水利工程施工过程中因发生洪水或地震而造成的工程损害,材料和器材损失。
- 人为风险:人为风险是指由于人的活动而带来的风险。人为风险又可以细分为行为、经济、技术、政治和组织风险等。
按风险是否可管理划分
- 可管理的风险是指可以预测,并可采取相应措施加以控制的风险,反之,则为不可管理的风险。风险能否管理,取决于风险不确定性是否可以消除以及活动主体的管理水平。要消除风险的不确定性,就必须掌握有关的数据、资料和其他信息。随着数据、资料和其他信息的增加以及管理水平的提高,有些不可管理的风险可以变为可管理的风险。
按风险影响范围划分
- 按风险影响范围划分,可以有局部风险和总体风险。局部风险影响的范围小,而总体风险影响范围大。局部风险和总体风险也是相对的。项目管理团队特别要注意总体风险。例如,项目所有的活动都有拖延的风险,但是处在关键路线上的活动一旦延误,就要推迟整个项目的完成日期,形成总体风险。而非关键路线上活动的延误在许多情况下是局部风险。
按风险后果的承担者划分
- 项目风险,若按其后果的承担者来划分,则有项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险,担保方风险和保险公司风险等。这样划分有助于合理分配风险,提高项目对风险的承受能力。
按风险的可预测性划分
- 按这种方法,风险可以分为己知风险、可预测风险和不可预测风险。
- 己知风险就是在认真、严格地分析项目及其计划之后就能够明确的那些经常发生的,而且其后果亦可预见的风险。己知风险发生概率高,但一般后果轻微,不严重。项目管理中已知风险的例子有:项目目标不明确,过分乐观的进度计划,设计或施工变更,材料价格波动等。
- 可预测风险就是根据经验,可以预见其发生,但不可预见其后果的风险。这类风险的后果有时可能相当严重。项目管理中的例子有:业主不能及时审查批准,分包商不能及时交工,施工机械出现故障,不可预见的地质条件等。
- 不可预测风险就是有可能发生,但其发生的可能性即使最有经验的人亦不能预见的风险。不可预测风险有时也称未知风险或未识别的风险。它们是新的、以前未观察到或很晚才显现出来的风险。这些风险一般是外部因素作用的结果,例如地震、百年不遇的暴雨、通货膨胀、政策变化等。
评价团队有效性的指标
- 个人技能的改进,从而使成员更加有效的完成工作任务
- 团队能力的改进,从而使团队更好的开展工作;
3. 团队成员离职率的降低: - 团队凝聚力的加强,从而使团队成员公开分享信息和经验,并互相帮助,来提高项目绩效。
绩效
绩效评估的方法
- 平衡计分卡法:是指通过财务、客户、内部运营、学习与成长 4个角度将组织的战略目标落实为可操作的衡量指标和目标值,对被评估者进行综合考评的方法 。
有效执行绩效域
- 有效执行绩效域将产生以下预期成果
- 共享责任。
- 高绩效团队。
- 所有团队成员都展现出相关领导力和其他人际关系技能。