【高项第4版】【第4章】《信息管理系统》知识点梳理

4.1管理方法

4.1.1管理基础

1.层次结构

信息系统包括四个要素：人员、技术、流程和数据。

2.系统管理

信息系统的发展和应用给我们带来了极大的便利和效益，但同时也带来了诸多风险和挑战，如网络安全、数据泄露、个人隐私保护等。因此，信息系统管理需要加强对信息系统的规范管理和监督，注重平衡不同利益干系人之间的关系，实现信息系统的良性互动和可持续发展。

信息系统管理覆盖四大领域：

• 规划和组织：针对信息系统的整体组织、战略和支持活动。
• 设计和实施：针对信息系统解决方案的定义、采购和实施，以及他们与业务流程的整合。
• 运维和服务：针对信息系统服务的运行交付和支持，包括安全。
• 优化和持续改进：针对信息系统的性能监控及其于内部性能目标、内部控制目标和外部要求的一致性管理

4.1.2规划和组织

1.规划模型

战略是协调行动实现目标、意图和目的的一组计划。

信息系统战略三角包括：业务战略、信息系统和组织机制的协同关系。

组织需要平衡信息系统战略三角，注重信息系统战略的动态调整，并考虑业务战略、组织机制和信息系统之间的相互影响。信息系统规划需要遵循业务和组织策略，定期进行动态调整，以实现所期望的效果。

2.组织模型

历史上的系统失效灾难表明，信息系统战略三角存在协同问题。实现三种战略的协同和一致性可以防止系统失效灾难的发生。因此，在制定信息系统战略时，需要考虑组织机制战略和业务战略，实现三角之间的协同和一致性。

1）业务战略

经典的模型是迈克尔·波特(Michacl E.Porter,1947一)提出的竞争力优势模型。

• 总成本领先战略是为了获得高性价比；
• 差异化战略是通过独特的产品或服务来区分市场；
• 专注化战略则是通过在更小的市场中提供定制化的产品或服务来实现竞争优势。

2）组织机制战略

组织机制战略主要涉及组织的设计、工作流程的控制和文化的变量的最佳组合，其中钻石模型中的信息与控制、人员、结构和任务是组织计划的关键组成部分。

为了执行成功的组织机制战略，管理人员应该使用这个框架评估当前组织并确定哪些组件可能缺失以及未来的可选项，同时需要注意组织、控制和文化的变量。回答问题包括组织内重要的结构和报告关系、谁拥有关键决策的决策权、重要的以人为本的网络是什么以及如何利用它们来更好地完成工作、组织内人员的特征、经验和技能水平、关键业务流程、有哪些控制系统到位以及组织的文化、价值观和信仰等，这样就可以制定出更好的组织机制战略，帮助组织实现其目标并成功实施其业务战略。

3）信息系统战略

信息系统战略的矩阵框架包括硬件、软件、网络和数据四个基础结构组件，以及这些组件相关事项的使用者、位置、所有者和管理者信息。理解这个矩阵框架可以帮助管理者更好地制定信息系统战略，以支持组织的业务战略。需要考虑物理位置、数据安全与使用者需求等问题。

4.1.3设计和实施

1.设计方法

信息系统的设计和实施是将业务需求转换为信息系统架构的过程：从战略到系统架构、从系统架构到系统设计、转换框架。

• 首先，组织需要将业务战略转化为具体的目标，并从每个目标派生出详细的业务需求。
• 然后，组织需要与架构设计人员合作，将这些业务需求转换为构成信息系统架构的系统要求、标准和流程的更详细视图，即信息系统架构要求。
• 最后，信息系统架构需要被转换为系统设计，包括实际的硬件、数据、网络和软件等。

具体的转换框架需要考虑三个问题：内容、人员和位置。

2.架构模式

传统上，信息系统体系架构有三种常见的模式：集中式架构、分布式架构和面向服务的架构。

• 在集中式架构下，所有内容采用集中建设、支持和管理的模式，其主体系统通常部署于数据中心；
• 在分布式架构下，运行业务所需的计算能力分散在许多设备中，包括不同位置的服务器、PC和笔记本电脑等；
• 而面向服务的架构则是将较大的软件程序分解为相互连接的服务，从而构成一个应用来运行整个业务流程。

根据不同的组织治理目标和应用场景，选择不同的架构模式可以更好地满足组织的需求。

4.1.4运维和服务

信息系统的运维和服务需要从信息系统运行的视角进行整合性规划，包括对信息系统、应用程序和基础设施的日常控制进行综合管理，以有效支持组织目标的达成和流程实现。其中，运维和服务主要包括：

运行管理和控制、IT服务管理、运行与监控、终端侧管理、程序库管理、安全管理、介质控制和数据管理等各类管理活动。

1.运行管理和控制

在运行管理和控制中，IT团队的所有活动都应该受到管理和控制，并由管理层批准的控件、过程和项目的一部分。需要记录足够的过程和项目文档，以便管理层了解这些活动的状态。同时，管理层应当负责信息系统运行团队发生的所有活动，主要管理控制活动包括：过程开发、标准制定、资源分配和过程管理。

• 过程开发：需要记录操作人员执行的重复性活动并提供给运营人员；
• 标准制定：需要采用标准化定义和约束，确保信息系统运行相关工作的一致性；
• 资源分配：应与组织的使命、目标和目的保持一致；
• 过程管理：需要测量和管理所有信息系统运行的相关过程，确保过程在时间上和预算目标内被正确和准确地执行。

2.IT服务管理

IT服务管理由若干不同的活动组成：服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理和可用性管理。

3.运行与监控

IT运行的任务包括：

1. 按照计划执行作业：IT人员需要按照预定的计划执行作业，确保系统和应用程序能够按要求运行。
2. 监控作业，并按照优先级为作业分配资源：IT人员需要监控作业的运行情况，并根据优先级为作业分配资源。
3. 重新启动失败的作业和进程：当作业或进程发生故障时，IT人员需要重新启动它们以确保系统恢复正常。
4. 通过加载或变更备份介质，或通过确保目标的存储系统就绪来优化备份作业：IT人员需要通过加载或变更备份介质或确保目标的存储系统就绪来优化备份作业。
5. 监控信息系统、应用程序和网络的可用性，保证这些系统具备足够的性能：IT人员需要监控信息系统、应用程序和网络的可用性，以确保它们能够按要求运行，并具备足够的性能。
6. 实施空闲期的维护活动，如设备清洁和系统重启等。IT人员需要利用空闲期实施维护活动，如设备清洁和系统重启等，以确保系统运行的稳定性和安全性。

IT组织制订的工作计划包括：

1. 安排定期执行的活动或任务：IT组织安排定期执行的活动或任务，如备份、访问评审、对账和月末结算等。
2. 监控系统中的计划内活动：系统中的计划内活动可以自动或手动调度，IT组织需要监控这些计划内活动是否按照要求进行。
3. 网络运营中心和安全运营中心：大型组织可能具备网络运营中心和安全运营中心，由相关人员负责监控相关安全设备、网络、系统和应用程序中的活动。

1）运行监控

IT团队对信息系统、应用程序和基础设施进行监控，以确保它们正常运行。通过使用监控工具和系统，IT运营人员能够检测并解决故障、错误等问题，并记录任何异常情况。

2）安全监控

组织执行不同类型的安全监控，作为整体安全策略的一部分，以预防和响应安全事件。可能执行的监控类型包括防火墙、入侵防御、数据丢失防护、用户访问管理、网络异常、网页内容过滤、终端管理、供应商发布的安全公告、第三方发布的安全公告、威胁情报咨询、门禁系统和视频监控系统等。这种监控有助于增强组织的安全性和抵御网络攻击。

4.终端侧管理

IT团队提供服务来改善组织用户访问和使用IT的情况。为了简化最终用户计算机的管理，组织使用IT管理工具限制配置更改数量和类型，包括操作系统、软件安装和外部数据存储设备等。这些限制有助于确保IT环境的安全性和一致性，并降低支持成本。

5.程序库管理

程序库是组织用来存储和管理应用程序代码的工具。

由于应用程序代码可能包含算法、加密密钥和其他敏感信息，因此它应该视为信息，并受到组织的安全策略和数据分类策略的管理。

控制程序库可使组织高度控制其应用程序的完整性、质量和安全性。程序库通常作为信息系统存在，具有用户界面和多种功能，例如访问控制、程序签出、程序签入、版本控制和代码分析。

6安全管理、7介质控制、8数据管理（略）

4.1.5优化和持续改进

戴明环PDCA，六西格玛的五阶段方法DMAIC/DMADV。

DMAIC是指六西格玛中用于改进流程的五个关键阶段：定义(Define)、度量(Measure)、分析(Analysis)、改进/设计(Improve/Design)、控制(Control)。

DMAIC方法帮助组织识别和消除导致产品或过程缺陷的根本原因，适用于现有过程的改进。

当将DMAIC的第四个阶段“改进”替换为“设计”，将第五个阶段“控制”替换为“验证”，就形成了DMADV方法，它用于设计新的产品或过程。

1.定义阶段

定义阶段的目标包括待优化信息系统定义、核心流程定义和团队组建。

第一个目标是待优化信息系统定义。

在这个目标中，所需的关注点包括确定需要进行优化的信息系统的范围、优化目标和目的、信息系统相关的业务、系统团队成员和出资人，以及优化时间表和交付成果。通过了解信息系统相关的业务和使用“延伸目标”概念来定义待优化的信息系统，可以帮助超越渐进式改进，重新思考信息系统相关业务。这样可以达到可以实现重大改进的程度。

第二个目标是核心流程定义。

在这个目标中，需要关注定义利益干系人、投入和产出以及广泛的功能。 SIPOC (Supplier、Input、Process、Output、Customer)分析是定义流程视图的首选工具。通过SIPOC分析，可以确定组织中的5个部分，即提供人、输入、流程、输出，还有服务对象，这些部分构成了相互关联和互动的系统，帮助了解整个流程的运行和可能的优化点。

最后一个目标是团队组建。

在这个目标中，需要关注确定高能力团队，对信息系统的问题和收益达成共识。通过从关键利益干系人群体中选出可靠的团队成员，以代表他们在优化和持续改进中的职能或领域，可以有效地形成有利于信息系统优化过程的工作团队。通常来说，这样的团队是由5-7名核心成员组成的，可以确保高效协作和质量控制。此外，其他团队成员可能是来自非关键利益干系人组的临时成员，他们仅在需要时参与，例如需要流程专业知识时。

2.  度量阶段

度量阶段的目标包括流程定义、指标定义、流程基线和度量系统分析。

其中，流程定义和指标定义非常重要，因为它们为度量阶段提供了基础和框架。流程定义通过流程图工具来描述信息系统的输入、操作和输出，帮助人们理解流程并发现可能存在的问题。

指标定义则选择能够切实提高系统质量、业务绩效和服务对象满意度的指标，这些指标将成为衡量信息系统状态的标准化和数据化语言，为基于数据的决策提供输入，并为持续改进提供对质量、成本和进度的重要描述。

流程基线是建立在指标定义之上的，通过确定现有系统的能力，以确定当前系统在多大程度上较好地满足了服务对象的要求，并验证定义阶段中确立的信息系统目标达成情况。只有在使用基线清晰描述了系统稳定性之后，才能评估系统变异，只有稳定的系统才能预测。当系统指标数据不稳定或不在控制优化中时，可以使用系统性能指标作为粗略估计，将给定周期内观察的系统变化与服务对象要求进行比较。

度量系统分析是十分重要的，因为质量始于度量。一个良好的度量系统应该具备准确、可重复、线性、可重现和稳定等特性。在对信息系统进行优化和持续改进过程中，需要十分注意度量水平、度量的可靠性与有效性问题，确保度量系统能够准确、可靠地反映信息系统状态，并为持续改进提供支持。

3. 分析阶段

分析阶段的三个目标是：价值流分析、信息系统异常的源头分析和确定优化改进的驱动因素。

• 价值流分析确定信息系统产品或服务的价值，包括组织愿意投资的系统组件、改变信息系统形式、适合度或功能的活动，以及将业务输入经信息系统转换为输出的活动。
• 信息系统异常的源头分析有助于区分稳定和失控，并帮助解决信息系统中的问题。对于稳定的信息系统，需要通过对系统进行根本性的更改来减少系统内置的常见变异原因；而对于失控的系统，则必须解决并消除在特定时间段内造成不稳定情况的特殊原因，重新获得稳定的过程，然后可以进行改进。确定优化改进的驱动因素有助于提高信息系统的功能和性能。
• 优化改进的驱动因素是指对信息系统优化影响最大的因素，可以使用一些数学分析方法，如相关性与回归分析、最小二乘拟合和残差分析等来计算确定关键驱动因素。

4. 改进/设计阶段

改进/设计阶段的目标包括：

1. 向发起人提出解决方案并量化每种方法的收益，达成共识并实施。
2. 定义新的操作/设计条件，确定最佳操作条件以最大或最小化响应。
3. 定义和缓解信息系统的故障模式，制定策略最大限度地减少故障的发生并控制损失。

改进/设计的解决方案推进是关键步骤，需要验证并确保实施后达到预期效果，并制定相关计划。在此阶段，需要考虑之前未考虑的因素，并成为变革的真正推动者。同时，管理支持也至关重要。

定义新的操作/设计条件，可以通过核心流程开发新流程，并进行其他实验设计，以确定所需的最佳操作条件，以最大或最小化响应。

定义和缓解信故障模式，评估故障模式使组织能够定义不同故障的缓解策略，最大限度地减少故障的影响或发生。这些策略可能会导致新的运行维护过程步骤、最优系统设置或控制策略，以防止信息系统失效，提升信息系统性能，并降低信息系统容量损耗。如果故障无法预防，则可以制定一种策略来最大限度地减少故障的发生并控制损失。

5.控制/验证阶段

控制/验证阶段的目标包括：

1. 标准化新程序/新系统功能的操作控制要素，以保持改进带来的效益并维持信息系统优化改进。
2. 持续验证优化的信息系统的可交付成果，对受影响的人员进行培训，了解信息系统变化的原因和可能的改进方法。
3. 记录经验教训，保留项目文档，对团队的努力给予认可，并为组织中的其他团队提供经验。

标准化新程序/新系统功能的操作控制要素，需要对改进形成的新方法、新系统运行进行标准化，以维持改进带来的效益。同时，培训对新系统或优化系统的操作控制能力，是维护已部署改进的关键。

持续验证优化的信息系统的可交付成果，需要将变更的系统组件信息、信息系统状态趋势等内容，对受影响的人员进行培训，使其了解信息系统如何变化，以及可能会在未来找到进一步改进的方法。

记录经验教训，最终确定和保留项目文档，并将经验对组织中的其他团队共享，以便学习、分享经验教训、对团队的努力给予认可。同时，记录经验教训还能为组织中的其他团队提供经验参考。

4.2 管理要点

4.2.1 数据管理

数据管理是指规划、控制与提供数据和信息资产的职能，以获取、控制、保护、交付和提高数据和信息资产的价值。

数据管理能力成熟度评估模型(Data Management Capability Maturity Assessment Model,DCMM)是国家标准GB/T 36073《数据管理能力成熟度评估模型》中提出的，其核心能力域包括数据的战略、治理、架构、应用、安全、质量和标准等。

1 数据战略

通常包括三个方面：数据战略规划、数据战略实施和数据战略评估。

• 数据战略规划的重点在于明确利益相关者，评估业务和信息化现状，制定数据管理规划并发布并定期修订；
• 数据战略实施的关键是建立评估标准、现状评估、实施路径、保障计划、任务实施以及过程监控；
• 数据战略评估主要是建立任务效益评估模型、业务案例和投资模型，并定期对已取得的成果进行阶段性评估。

2. 数据治理

数据治理能力域通常包括数据治理组织、数据制度建设和数据治理沟通三个能力项，为提升应试能力，可以从以下几个方面进行归纳和精简：

• 数据治理组织：建立内部沟通顺畅、权责明确的数据治理组织，并明确岗位职责、团队建设计划、绩效考核体系以及数据所有人和管理人相关角色等。这将有助于有效规划和控制组织在数据管理和数据应用方面的职责，并指导各项数据职能的执行以达到数据战略目标。
• 数据制度建设：组织需要建立规范的数据制度体系，分层次设计，定期检查和更新。具体包括制定数据制度框架、整理数据制度内容、数据制度发布、数据制度宣贯和数据制度实施等方面。此举可以为数据管理和数据应用各项工作的有序开展提供基础和依据。
• 数据治理沟通：建立和提升跨部门及部门内部数据管理能力，构建数据文化，做到利益相关者都能及时了解相关策略、标准、流程、角色、职责、计划的最新情况。具体措施包括明确沟通路径、建立沟通计划、沟通执行、问题协商机制、建立沟通渠道、制定培训宣传计划和开展培训等。

3. 数据架构

• 数据模型：收集和理解组织的数据需求，制定模型规范，开发数据模型，数据模型应用，符合性检查，模型变更管理。这些步骤可以帮助我们建立一个结构化的语言，将收集到的组织业务运行、管理和决策中使用的数据需求进行综合分析，并按照模型设计规范将需求重新组织。这对于我们的数据处理工作非常重要。
• 数据分布：数据分布职能域是针对组织级数据模型中数据的定义，明确数据在系统、组织和流程等方面的分布关系，定义数据类型，明确权威数据源，为数据相关工作提供参考和规范。通过数据分布关系的梳理，定义数据相关工作的优先级，指定数据的责任人，并进一步优化数据的集成关系。这些步骤可以帮助我们清晰了解组织内的数据分布关系，提高数据的集成效率和数据相关工作的优化。
• 数据集成与共享：数据集成与共享职能域是建立起组织内各应用系统、各部门之间的集成共享机制，指明数据集成共享的原则、方式和方法，依据数据集成共享方式不同，制定不同的数据交换标准，将组织内多种类型的数据整合在一起，形成对复杂数据加工处理和便捷访问的环境，建立对新建系统的数据集成方式的检查。这些步骤可以帮助我们建立起组织内各应用系统、各部门之间的集成共享机制，形成对复杂数据加工处理和便捷访问的环境，提高数据的整合与共享效率。
• 元数据管理：元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合，包括元模型管理、元数据集成和变更、元数据应用。这些步骤可以帮助我们对组织管理的各类元数据进行分析应用，如查询、血缘分析、影响分析、符合性分析、质量分析等，提高数据管理和数据应用的水平。

4. 数据应用

数据应用能力域包括数据分析、数据开放共享和数据服务三个能力项。

• 在数据分析方面，需要掌握常规报表分析、多维分析、动态预警和趋势预报等活动和工作要点。这些技能可以帮助组织制定决策、创造价值、向用户提供价值的方式。
• 在数据开放共享方面，需要梳理开放共享数据，建立统一的数据开放共享策略并对数据提供方进行管理。同时，需要对外开放数据并且保证数据的质量，以实现数据跨组织、跨行业流转的目标。
• 在数据服务方面，需要进行数据服务需求分析、数据服务开发、数据服务部署、数据服务监控以及数据服务授权等活动和工作要点。这些技能可以帮助组织提供跨领域、跨行业的数据服务，实现数据资产价值变现和更好地服务公众和社会的目标。

5.数据安全

• 数据安全策略：制定适合组织的数据安全标准，规划数据安全管理策略，并为组织的数据安全管理提供保障。
• 数据安全管理：根据组织数据安全标准，对组织内部的数据进行等级划分，并通过对数据访问的授权、控制和监控，实现对数据生存周期的管理和保护。数据安全管理还需要对已知或潜在的数据安全进行分析和风险管理。
• 数据安全审计：定期分析、验证、讨论、改进数据安全管理相关的策略、标准和活动，确保数据安全目标、策略、标准、指导方针和预期结果相一致，并向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态并提出改进建议。

6.数据质量

数据质量提升能力包括四个方面，分别是数据质量需求、 数据质量检查、数据质量分析和数据质量提升。

• 其中，数据质量需求的主要工作是明确数据质量目标，并根据业务需求及数据要求制定用来衡量数据质量的规则；
• 数据质量检查的主要工作是根据数据质量规则中的有关技术指标和业务指标对组织的数据质量情况进行实时监控，并向数据管理人员进行反馈；
• 数据质量分析的主要工作是对数据质量检查过程中发现的数据质量问题及相关信息进行分析，找出影响数据质量的原因，并定义数据质量问题的优先级，以作为数据质量提升的参考依据；
• 数据质量提升的主要工作是制定、实施数据质量改进方案，包括错误数据更正、业务流程优化、应用系统问题修复等，并制定数据质量问题预防方案，确保数据质量改进的成果得到有效保持。

7.数据标准

数据标准化的能力域，主要包括业务术语、参考数据和主数据、数据元、指标数据四个能力项。

• 其中，业务术语是组织中业务概念的描述，通过对业务术语的管理能保证组织内部对具体技术名词理解的一致性；
• 参考数据和主数据是用于将其他数据进行分类的数据，通过定义参考数据和主数据唯一标识的生成规则、识别数据值域、创建管理流程等方式，实现参考数据和主数据跨系统的一致、共享使用；
• 数据元通过对组织中核心数据元的标准化，可以使数据的拥有者和使用者对数据有一致的理解；
• 指标数据是组织在经营分析过程中衡量某一个目标或事物的数据，通过制定组织内指标数据分类管理框架、定义指标数据标准化的格式、采集和应用等方式，用于提升统计分析的数据质量。

8.数据生存周期

数据生存周期的能力域包括数据需求、数据设计和开发、数据运维和数据退役四个能力项。

• 在数据需求方面，需要建立数据需求管理制度，收集数据需求并记录和管理，评审数据需求并更新数据标准，集中管理各方数据用户的数据需求。
• 在数据设计和开发方面，需要设计数据解决方案，进行数据准备，进行数据解决方案质量管理，实施数据解决方案。
• 在数据运维方面，需要制定数据运维方案，进行数据提供方管理，对数据平台的运维进行管理，管理数据需求的变更，并确保设计和实施的一致性。
• 在数据退役方面，需要进行数据退役需求分析，设计数据退役标准和执行流程，执行数据退役操作并更新数据退役设计，制定数据恢复检查机制，并对归档数据查询进行管理。

这些能力项可以有效提升组织的数据生存周期能力，使组织能够更好地管理数据，为业务运营、经营分析和战略决策提供持续可用的数据支持。

9.理论框架与成熟度

国内外常用的数据管理模型，分别为：数据管理能力成熟度模型(DCMM)、数据治理框架(Data Govemnance Institute,DGI)、数据管理能力评价模型(Data Management capability Assessment Model,DCAM)以及数据管理模型(DAMA定义的模型)。

其中，DCMM将组织的管理成熟度划分为5个等级，DGI数据治理框架为组织在进行数据治理的操作层面的框架体系，DCAM提供了用于建立和评估组织数据管理计划的关键维度，DAMA-DMBOK2理论框架由11个数据管理职能领域和7个基本环境要素构成。

这些模型都可以帮助组织提升数据管理能力，从而更好地应对各种挑战并实现业务目标。

4.2.2运维管理

1. 能力模型

在IT运维领域，能力模型是评估和提高组织运维服务水平的重要框架。这一模型主要包括治理要求、运行维护服务能力体系和价值实现三个部分。

其中，能力建设、人员能力、资源能力、技术能力和过程是组织提升运维服务能力的关键要素。

在能力建设方面，组织需要考虑环境内外部因素，围绕人员、过程、技术和资源能力四要素，策划、实施、检查和改进运行维护能力体系，以持续提升运行维护服务能力。

在人员能力建设方面，组织应根据运维能力策划要求，进行人员能力策划、岗位结构、人员储备、培训、绩效管理和能力评价等管理活动。

在资源能力建设方面，组织需要建立和管理运行维护工具、服务台、备件库、最终软件库、服务数据和服务知识等，以满足不同服务场景的服务需求。

在技术能力建设方面，组织需要根据服务对象要求或技术发展趋势，对运维技术进行研究和应用，以提升服务质量和效率。在过程能力建设方面，组织需要制定和实施包括流程、规范、方法、指南和模板等一系列管理活动，以促进运维活动标准化、流程化和自动化，从而提高工作效率和质量。

通过能力模型的建设和运用，组织可以实现既定的治理要求，持续提升运行维护服务能力，实现业务目标和战略目标的有效衔接。同时，能力模型可以为组织提供一种全面、系统、科学的能力管理框架，帮助组织更好地管理和优化 IT 运维服务，提高服务质量和用户满意度，增强组织的竞争力和市场影响力。

2. 智能运维

中国电子工业标准化技术协会发布的团体标准T/CESA 1172《信息技术服务智能运维通用要求》，给出了智能运维能力框架，包括组织治理、智能特征、智能运维场景实现、能力域和能力要素，其中能力要素是构建智能运维能力的基础。

4.2.3 信息安全管理

1.  CIA三要素

密性(Confidentiality)、完整性(Integrity)和可用性(Availability)

2. 信息安全管理体系

使用Chatgpt归纳为以下内容：

• 建立安全管理机构和职责明确的安全管理人员，制定安全规划和安全策略。
• 实施风险管理、业务持续性计划和灾难恢复计划，选择与实施安全措施。
• 保证配置、变更的正确与安全，进行安全审计和维护支持。
• 进行监控、检查，处理安全事件，加强人员安全管理，提高安全意识与安全教育。
• 在组织机构中建立安全管理机构，包括配备安全管理人员、建立安全职能部门、成立安全领导小组、由主要负责人出任领导和建立信息安全保密管理部门等。

3. 网络安全等级保护

1）安全保护等级划分

老考点，去年11月还考了。

第一级：等级保护对象受到破坏后，可能对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。

第二级：等级保护对象受到破坏后，可能对相关公民、法人和其他组织的合法权益产生严重或特别严重的损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。

第三级：等级保护对象受到破坏后，可能对社会秩序和公共利益造成严重危害，或者对国家安全造成危害。

第四级：等级保护对象受到破坏后，可能对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害。

第五级：等级保护对象受到破坏后，可能对国家安全造成特别严重危害。

2）安全保护能力等级划分

• 第一级，适用于一般的小型系统和个人；
• 第二级，适用于重要信息系统；
• 第三级，适用于国家重要机构、重要基础设施和重要信息系统；
• 第四级，适用于面临国家级别和敌对组织威胁的重要信息系统；
• 而第五级，则适用于最高级别的国家重要机构、重要基础设施以及其他重要信息系统的安全保护。