江山，选择题，知识点，章节3-5

第3章-信息系统治理

IT 治理

• IT 治理主要目标包括： 与业务目标一致、有效利用信息与数据资源、风险管理 。
• IT 治理管理层次大致可分为三层：最高管理层、执行管理层、业务与服务执行层。
• ,有效的 IT 治理必须关注五项关键决策包括 ：IT 原则、 IT 架构、 IT 基础设施、业务应用需求、 IT 投资和优先顺序。
• IT 治理体系框架具体包括：IT 战略目标、 IT 治理组织、 IT 治理机制、 IT 治理域、IT 治理标准、IT绩效目标等部分。
• IT 治理的核心内容包括六个方面：组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理。
• 建立IT治理机制的原则包括：简单、透明、适合。

《信息技术服务治理第1部分：通用要求》

• 标准规定了： IT 治理的模型和框架、实施 IT 治理的原则，以及开展 IT 顶层设计、管理体系和资源的治理要求。
• 该标准可用于：建立组织的 IT 治理体系，并实施自我评价；开展信息技术审计；研发、选择和评价 IT 治理相关的软件或解决方案；第三方对组织的 IT 治理能力进行评价。
• 标准定义的 IT 治理框架包含：信息技术顶层设计、管理体系、资源三大治理域。
• IT 治理实施框架包括：治理的实施环境、实施过程和治理域。

COBIT

• COBIT 给出了建议设计流程：①了解组织环境和战略；②确定治理系统的初步范围；③优化治理系统的范围；④最终确定治理系统的设计。

IT 审计

• IT审计的范围：

1. 总体范围： 需要根据审计目的和投入的审计成本来确定
2. 组织范围： 明确审计涉及的组织机构、主要流程、活动及人员等
3. 物理范围： 具体的物理地点与边界
4. 逻辑范围： 涉及的信息系统和逻辑边界

• IT 审计风险主要包括：固有风险、控制风险、检查风险和总体审计风险。
• 常用审计方法包括：访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。
• IT 审计技术包括：风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
• 审计证据的特性：充分性、客观性、相关性、可靠性、合法性。
• 审计工作底稿一般分为：综合类工作底稿、业务类工作底稿和备查类工作底稿。
• 审计工作底稿按照一定的标准归入审计档案后，应交由档案管理部门进行管理，并确保审计档案的安全、完整。

第4章-信息系统管理

信息系统

• 信息系统包括四个要素：人员、技术、流程和数据。
• 信息系统战略三角突出了业务战略、信息系统和组织机制之间的必要一致性。
• 信息系统管理覆盖四大领域：

1. 规划和组织：针对信息系统的整体组织、战略和支持活动。
2. 设计和实施：针对信息系统解决方案的定义、采购和实施，以及他们与业务流程的整合。
3. 运维和服务：针对信息系统服务的运行交付和支持，包括安全。
4. 优化和持续改进：针对信息系统的性能监控及其于内部性能目标、内部控制目标和外部要求的一致性管理。

业务战略

• 专注化战略有2种变体，分别是专注成本和专注差异化。

IT服务

• 服务台是服务中与服务干系人沟通和交互的重要界面， 负责对服务干系人遇到的问题和需求进行响应和处理；
• 事件可能是服务中断、服务速度变慢、软件缺陷以及其他任何组件发生故障。
• 度量阶段目标包括流程定义、指标定义、流程基线和度量系统分析。

数据治理

• 组织的数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项。
• 组织的数据质量能力域通常包括数据质量需求、数据质量检查、数据质量分析和数据质量提升四个能力项。
• 组织的数据生存周期能力域通常包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。

数据管理能力成熟度模型 (DCMM)

1. 初始级：数据需求的管理主要是在项目级体现，没有统一的管理流程，主要是被动式管理
2. 受管理级：组织意识到数据是资产，根据管理策略的要求制定了管理流程，指定了相关人员进行初步管理
3. 稳健级：数据已被当做实现组织绩效目标的重要资产，在组织层面制定了系列的标准化管理流程，促进数据管理的规范化
4. 量化管理级：数据被认为是获取竞争优势的重要资源，数据管理的效率能量化分析和监控
5. 优化级：数据被认为是组织生存和发展的基础，相关管理流程能实时优化，能在行业内进行最佳实践分享。

IT运维

• IT 运维能力的关键要素：人员、技术、过程、数据、算法、资源、知识。
• 智能运维场景实现的关键审核要点包括：场景分析、场景构建、场景交付和效果评估四个过程。

等保等级

• 保护等级：

1. 一级：损个人
2. 二级：严重损人，损社会
3. 三级：严重损社会，损国家
4. 四级：特别严重损社会，严重损国家
5. 五级：特别严重损国家

• 防护等级

1. 一级：个人攻击，能部分回复（能恢复就行）
2. 二级：小型攻击，能一段时间部分恢复。
3. 三级：有组织的团体攻击，能较快恢复大部分
4. 四级：国家、敌对组织攻击，能迅速恢复所有
5. 五级：略（不可能被攻击破）

第5章- 信息系统工程

软件架构

• 软件架构分为：数据流风格、调用/返回风格、独立构件风格、虚拟机风格和仓库风格。

1. 数据流风格：包括批处理序列架构风格和管道/过滤器两种风格。
2. 调用/返回风格：包括主程序/子程序、数据抽象和面向对象，以及层次结构。
3. 独立构件风格：包括进程通信和事件驱动的系统。
4. 虚拟机风格：包括解释器和基于规则的系统。
5. 仓库风格：包括数据库系统、黑板系统和超文本系统。

• 软件架构评估技术可以归纳为三类，主要的评估方式是：基于调查问卷(或检查表)的方式、基于场景的方式和基于度量的方式。

软件需求

• 质量功能部署 (QFD) 是一种将用户要求转化成软件需求的技术，其目的是最大限度地提升软件工程过程中用户的满意度。
• QFD 将软件需求分为三类，分别是常规需求、期望需求和意外需求。
• 需求的层次：业务需求、用户需求、系统需求。

UML

• 统一建模语言 (UML) 是一种定义良好、易于表达、功能强大且普遍适用的建模语言。
• 实体联系图 (E-R 图)表示数据模型，用数据流图表示功能模型，用状态转换图表示行为模型。
• UML 表示软件体系架构，用到的5个视图是：用例视图、逻辑视图、进程视图、实现视图和部署视图。

OOD面向对象

• 常用的OOD 原则包括：

1. 单职原则：设计功能单一的类。本原则与结构化方法的高内聚原则是一致的。
2. 开闭原则：对扩展开放，对修改封闭。
3. 李氏替换原则：子类可以替换父类。
4. 依赖倒置原则：要依赖于抽象，而不是具体实现；要针对接口编程，不要针对实现编程。
5. 接口隔离原则：使用多个专门的接口比使用单一的总接口要好。
6. 组合重用原则：要尽量使用组合，而不是继承关系达到重用目的。
7. 迪米特原则(最少知识法则):一个对象应当对其他对象有尽可能少的了解。本原则与结构化方法的低耦合原则是一致的。

设计模式

• 设计模式包含模式名称、问题、目的、解决方案、效果、实例代码和相关设计模式等基本要素。
• 根据目的和用途不同，设计模式可分为创建型模式、结构型模式和行为型模式三种。

1. 创建型模式主要用于创建对象
2. 结构型模式主要用于处理类或对象的组合
3. 行为型模式主要用于描述类或对象的交互以及职责的分配

• 根据处理范围不同，设计模式可分为类模式和对象模式。

软件配置

1. 软件配置标识活动：识别要控制的配置项，并为这些配置项及其版本建立基线。
2. 软件配置控制：关注的是管理软件生命周期中的变更。
3. 软件配置状态记录：标识、收集、维护并报告配置管理的配置状态信息。
4. 软件发布管理和交付：通常需要创建特定的交付版本，完成此任务的关键是软件库。

软件测试

• Alpha 测试是指由用户在开发环境下进行测试； Beta 测试是指由用户在实际使用环境下进行测试。在通过 Beta 测试后，才能把产品发布或交付给用户。

软件部署

• 蓝绿部署是指同事运行两个版本的应用，当新版本正常运行起来时，再将流量切换到新版本上，如果发现有任何问题，则及时切换回旧版本。
• 金丝雀部署是指当有新版本发布的时候，先让少量用户使用新版本，并且观察新版本是否存在问题。如果出现问题，就及时处理并重新发布；如果一切正常，就稳步地将新版本适配给所有的用户。

CSMM 模型

• CSMM 模型由4个能力域、20个能力子域、161 个能力要求组成：

1. 治理：包括战略与治理、目标管理能力子域，用于确定组织的战略、产品的方向、组织的业务目标，并确保目标的实现。
2. 开发与交付：包括需求、设计、开发、测试、部署、服务、开源应用能力子域，这些能力子域确保通过软件工程过程交付满足需求的软件，为顾客与利益干系人增加价值。
3. 管理与支持：包括项目策划、项目监控、项目结项、质量保证、风险管理、配置管理、供应商管理能力子域，这些能力子域覆盖了软件开发项目的全过程，以确保软件项目能够按照既定的成本、进度和质量交付，能够满足顾客与利益干系人的要求。
4. 组织管理：包括过程管理、人员能力管理、组织资源管理、过程能力管理能力子域，对软件组织能力进行综合管理。

软件过程能力成熟度等级

1. 初始级： 软件过程和结果具有不确定性
2. 项目规范级： 项目基本可按计划实现预期的结果
3. 组织改进级： 在组织范围内能够稳定地实现预期的项目目标
4. 量化提升级： 在组织范围内能够量化地管理和实现预期的组织和项目目标
5. 创新引领级： 通过技术和管理的创新，实现组织业务目标的持续提升，引领行业发展。

数据模型

• 数据模型划分为三类：概念模型、逻辑模型和物理模型。
• 数据建模过程包括数据需求分析、概念模型设计、逻辑模型设计和物理模型设计等过程。
• 数据标准化的主要内容包括元数据标准化、数据元标准化、数据模式标准化、数据分类与编码标准化和数据标准化管理。
• 数据标准化阶段的具体过程包括确定数据需求、制定数据标准、批准数据标准和实施数据标准四个阶段。

备份容灾

• 数据备份是为了防止由于用户操作失误、系统故障等意外原因导致的数据丢失，而将整个应用系统的数据或一部分关键数据复制到其他存储介质上的过程。
• 数据备份是数据容灾的基础。数据备份是数据高可用的最后一道防线，其目的是为了在系统数据崩溃时能够快速恢复数据。
• 常见的备份策略主要有三种：完全备份、差分备份和增量备份。
• 应用容灾用于克服灾难对系统的影响，保证应用服务的完整、可靠和安全等一系列要求，使得用户在任何情况下都能得到正常的服务。

数据产品

• 数据清理主要包括数据分析、数据检测和数据修正三个步骤。
• 数据产品的质量控制分成前期控制和后期控制两部分。
• 数据挖掘流程一般包括确定分析对象、数据准备、数据挖掘、结果评估与结果应用五个阶段。

信息检索

• 信息检索的主要方法如下：全文检索、字段检索、基于内容的多媒体检索、数据挖掘。

系统集成

• 系统集成在技术上需要遵循的基本原则包括：开放性、结构化、先进性和主流化。
• 数据集成可以分为基本数据集成、多级视图集成、模式集成和多粒度数据集成四个层次。
• 从信息系统集成技术的角度看，在集成的堆栈上，应用集成在最上层，主要解决应用的互操作性的问题。

信息安全系统

• 信息安全系统三维空间包括安全机制、网络参考模型和安全服务。
• ISSE 将信息系统安全系统工程实施过程分为：工程过程、风险过程、保证过程。
• 信息安全系统工程能力成熟度模型 (ISSE-CMM) 包含3种组织：工作组织(集成商、开发商)、获取组织(采购、服务)、评估组织(认证授权机构)。
• 安全服务包括对等实体认证服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务和犯罪证据提供服务等。