高项第四版第1-7章思维导图模板_ProcessOn思维导图、流程图

1.信息化发展

1.1信息与信息化

信息是指音讯、消息、信息系统传输和处理的对象，泛指人类社会传播的一切内容

1.1.1信息

1.信息的定义

信息是物质、能量及其属性的标示的集合

信息是用来消除随机不确定性的东西

2.信息的特征与质量

特征

客观性、普遍性、无限性、动态性、相对性、依附性、变换性、传递性、层次性、系统性和转化性

质量属性

精确性、完整性、可靠性、及时性、经济性、可验证性、安全性

1.1.2信息系统

是由相互联系、相互依赖、相互作用的事物或过程组成的具有整体功能和综合行为的统一体

1.信息系统及其特性

信息系统就是通过输入数据、然后进行加工处理，最后产生信息的系统

显著特点

面向管理

支持生产

2.信息系统生命周期

系统规划（可行性分析、项目开发计划）

系统分析（需求分析）

系统设计（概要设计、详细设计）

系统实施（编码、测试）

系统运行与维护

1.1.3信息化

1.信息化内涵

信息网络体系

信息产业基础

社会运行环境

效用累积过程

2.信息化体系

国家信息化体系6要素

信息技术应用

信息资源

信息网络

信息技术和产业

信息化人才

信息化政策法规和标准规范

3.信息化趋势

组织信息化趋势

国家信息化趋势

1.2现代化基础设置

1.2.1新型基础设施建设

5G、人工智能、工业互联网、物联网称为新基建

5G基建、特高压、城际高速铁路和城际轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网，七大领域

1.概念定义

信息基础设施（凸显技术新）

以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施

以人工智能、云计算、区块链等为代表的新技术基础设施

以数据中心、智能计算中心为代表的算力基础设施

融合基础设施（凸显应用新）

智能交通基础设施、智慧能源基础设施

创新基础设施（凸显平台新）

重大科技基础设施、科教基础设施、产业技术创新基础设施

2.发展重点

强化数字转型、智能升级、融合创新支撑，布局建设信息基础设施、融合基础设施、创新就出设施等新型基础设施

建设高速泛在、天地一体、集成互联、安全高效的信息基础设施，增强数据感知、传输、存储和运算能力

加快5G网络规模化部署，持续提高用户普及率，推广升级千兆光纤网络

前瞻布局6G网络技术储备

扩容骨干网络互联节点，新设一批国际通信出入口，全面推进互联网协议第六版IPv6商用部署

实施中西部地区中小城市基础网络完善工程

推动物联网全面发展，打造支持固移融合、宽窄结合的物联接入能力

加快构建全国一体化大数据中心体系，强化算例统筹智能调度，建设若干国家枢纽节点和大数据中心集群、建设E级和10E级超级计算机中心

积极稳妥发展工业互联网和车联网

打造全球覆盖、高效运行的通信、导航、遥感空间基础设施体系，建设商业航天发射场

加快交通、能源、市政等传统基础设施数字化改造，加强泛在感知、终端物联、智能调度体系建设

发挥市场主导作用，打通多元投资渠道，构建新兴基础设施标准体系

1.2.2工业互联网

1.内涵和外延

工业经济发展

推动传统工业转型升级

加快新兴产业培育壮大

网络设施发展

加快网络演进升级

拓展数字经济空间

2.平台体系（四层级）

网络是基础

工业互联网网络体系包括：网络互联、数据互通、标识解析

平台是中枢

工业互联网平台体系包括：边缘层、Iaas层、PaaS层、Saas层

作用：数据汇聚、建模分析、知识复用、应用创新

数据是要素

工业互联网数据3特性：重要性、专业型、复杂性

安全是保障

工业互联网安全3特点：涉及范围广、造成影响大、企业防护基础弱

3.融合应用

6大类典型应用模式

平台化设计

智能化制造

网络化协同

个性化定制

服务化延伸

数字化管理

1.2.3车联网

1.体系框架

IoV是一个“端、管、云”三层体系

2.链接方式

车与平台、车与车、车与路、车与人、车内设备之间

3.应用场景

实用类场景应用

为客户、汽车经销商、厂家提供必要信息

便捷类场景应用

语音、手势控制、娱乐类、地图、有声读物

效率类场景应用

拥堵状况、预知交通安全隐患

1.3现代化创新发展

1.3.1农业农村现代化

1.农业现代化

2.乡村振兴战略

建设基础设施

发展智慧农业

建设数字乡村

1.3.2两化融合与智能制造

1.两化融合

信息化和工业化的高层次的深度集合

技术融合、产品融合、业务融合、产业衍生

2.智能制造

基于新一代信息通信技术与先进制造技术深度融合

智能制造能力成熟度等级提升的关键方面

人员

组织战略、人员技能

技术

数据、集成、信息安全

资源

装备、网络

制造

设计

产品设计、工艺设计

生产

采购、计划与调度、生产作业、设备管理、安全环保、仓储配送、能源管理

物流

销售

服务

客户服务、产品服务

成熟度等级

一级：规划级

企业应开始对实施智能制造的基础和条件进行规划，能够对核心业务活动（设计、生产、物流、销售、服务）进行流程化管理

二级：规范级

企业应采用自动化技术、信息技术手段对核心装备和业务活动进行改造和规范，实现单一业务活动的数据共享

三级：集成级

企业应对装备、系统等开展集成，实现跨业务活动间的数据共享

四级：优化级

企业应对人员、资源、制造等进行数据挖掘，形成知识、模型等，实现对核心业务活动的精准预测和优化

五级：引领级

企业应对基于模型持续驱动业务活动的优化和创新，实现产业链谢东并衍生新的制造模式和商业模式

1.3.3消费互联网

消费互联网是以个人为用户，以日常生活为应用场景的应用形式，满足消费者在互联网中的消费需求而生的互联网类型

基本属性

媒体属性

产业属性

应用新格局

1.4数字中国

1.4.1数字经济

1.新技术经济范式

数字经济的技术经济方式的结构

驱动力、新结构、价值创造、经济增长

2.主要内容构成

产业构成

数字产业化

数字产品制造业、数字产品服务业、数字技术应用业、数字要素驱动业

产业数字化

数字化效率提升业

整体构成

数字产业化

为产业数字化发展提供数字技术、产品、服务、技术设施和解决方案，以及完全依赖于数字技术、数字要素的各类经济活动

发展重点

云计算、大数据、物联网、工业互联网、区块链、人工智能、虚拟现实和增强现实

产业数字化

在新一代数字科技支持和引领下，以数字为关键要素、以价值释放魏可欣、以数据赋能为主线，对产业链上下游的全要素数字化升级、转型和再造的过程。

上云用数赋智

典型特征

以数字科技变革生产工具

以数据资源为关键生产要素

以数字内容重构产品结构

以信息网络为市场配置纽带

以服务平台为产业生态载体

以数字善治为发展机制条件

数字化治理

依托互联网、大数据、人工智能等技术和应用，创新社会治理方法与手段，优化社会治理模式，推进社会治理的科学化、精细化、高效化，助理社会治理现代化

核心特征

起全社会的数据互通、数字化全面协同与跨部门的流程再造，形成“用数据说话、用数据决策、用数据管理、用数字创新”的治理机制

内涵

对数据的治理

运用数据进行治理

对数字融合空间进行治理

数字价值化

以数据资源化为起点，经理数据资产化、数据资本化阶段，实现数据价值化的经济过程

构成数据价值化的“三化”框架

数据资源化

是使无序、混乱的原始数据成为有序、有实用价值的数据资源

数据资产化

是数据通过流通交易给使用者或者所有者带来经济利益的过程

数据资本化

数据信贷融资、数据证券化

1.4.2数字政府

1.数字新特征

协同化、云端化、智能化、数据化、动态化、共享、互通、便利

放管服

2.主要内容

一网通办

跨省通办

一网统管

一网

政务云、政务网和政务大数据中心等

一屏

通过对多个部门的数据进行整合，将城市运行情况充分反映出来

联动

跨部门、跨区域、跨层级联动

预警

智能预警

创新

1.4.3数字社会

1.数字民生

普惠、赋能、利民

2.智慧城市

体现

智慧城市建设更注重以人民为中心

新技术持续赋能智慧城市的建设与发展

城市治理现代化是智慧城市建设的必然要求

智慧城市群区域一体化协同发展新格局逐步形成

共建、共治、共享生态模式助力智慧城市高质量发展

基本原理

子主题

核心能力要素

数据治理、数字孪生、边际决策、多元融合、态势感知

成熟等级

一级：规划级

应围绕智慧城市的发展进行策划，明确相关职责分工和工作机制等，初步开展数据采集和应用，确保相关活动有序开产

二级：管理级

应明确智慧城市发展战略、原则、目标和实施计划等，推进城市基础设施只能改造，多领域实现信息系统单项应用，对智慧城市生命周期实施管理

三级：协同级

应管控智慧城市各项发展目标实施多业务、多层级、跨领域应用系统的集成，持续推进信息资源的共享与交换，推动惠民服务、城市治理、生态宜居、产业发展等融合创新，实现跨领域的协同改进

四级：优化级

应聚焦智慧城市与城市经济社会发展深度融合，基于数据与知识模型实施城市经济、社会精准化治理，推动数据要素的价值挖掘和开发利用，推进城市竞争力持续提升

五级：引领级

应构建智慧城市敏捷发展能力，实现城市物理空间、社会空间、信息空间的融合演进和共生共治，引领城市集群治理联通，形成高质量发展共同体

3.数字乡村

4.数字生活

生活工具数字化

生活方式数字化

生活内容数字化

1.4.4数字生态

1.数据要素市场

2.数字营商环境

评价指标

数字支撑体系，包含普遍接入、智慧物流设施、电子支付设施

数据开发利用与安全，包含公共数据开放、数据安全

数字市场准入，包含数字经济业态市场准入、政务服务便利度

数字市场规则，包含平台企业责任、商户权力与责任、数字消费者保护

数字创新环境，包括数字创新生态、数字素养与京能、知识产权保护

3.网络安全保护

1.5数字化转型与元宇宙

三元空间

信息空间、物理空间、社会空间

1.5.1数字化转型

1.驱动因素

生产力飞升：第四次科技革命

生产要素变化：数据要素的诞生

信息传播息率突破：社会互联网新格局

社会“智能主体”规模：快速复制与“智能+”

2.基本原理

传统

决策瓶颈、变革制约、知识产权流失、需求响应延迟

组织的数字化转型

能力因子定义和数字化“封装”

基于互联网+的调度与决策

业务融合、持续坚持、文化冲突、效果判别

转型控制

3.智慧转移

揭示了个体智慧（知识、技能、经验）由”自然人“个体，转移到组织智慧（计算机、信息系统）的必要性和重要性

DIKW模型诠释了数据、信息、知识和智慧之间的关系，S8D模型就是基于此构筑了两过程的8个转换活动

”智慧-数据“过程

1.通过智慧结构化明确了业务体系层面的内容

2.通过知识模型化定义业务活动的逻辑关系

3.通过过程信息化（管理和工艺流程化）明确各执行操作系列要求

4.通过数据平台化实现数据的采集、存储和共享等

”数据-智慧“过程

1.通过对象数字化是想对各类对象的数字化表达

2.通过孪生虚拟化完成物理对象到信息空间的映射

3.通过架构可视化实现业务知识模型能够与经验沉淀的复用和创新

4.通过计算机智能化实现多元条件下的调度与决策

4.持续迭代

四项活动

信息物理世界（数字孪生CPS）建设

决策能力边际化部署(PtoE)

科学物理赛博机制构筑(CPSS)

数字框架与信息调制（DFIM)

1.5.2元宇宙

1.主要特征

沉浸式体验、虚拟身份、虚拟经济、虚拟社会治理

2.发展演进

数字人、数字人生、数字组织、数字生态、数字社会治理

2.信息技术发展

2.1信息技术及其发展

2.1.1计算机软硬件

计算机硬件：是指计算机系统中由电子、机械和光电元件等组成的各种物理装置的总称

计算机软件：计算机系统中的程序及其文档，程序是计算任务的处理对象和处理规则的描述；文档是为了便于了解程序所需的阐明性资料

2.1.2计算机网络

网络的范围划分：个人局域网（PAN）、局域网（LAN）、城域网（MAN）、广域网（WAN）、公用网、专用网

1.网络标准协议

广域网协议

PPP 点对点协议

ISDN综合业务数字网

xDSL（DSL数字用于线路的统称：HDSL、SDSL、MVL、ADSL）

DDN数字转下

x.25

FR帧中继

ATM异步传输模式

IEEE 802协议族

定义网卡如何访问传输介质（光缆、双绞线、无线等），以及如何在传输介质上传输数据的方法，传输信息的网络设备之间连接的建立、维护和拆除的途径

802.1 协议概论

802.2 逻辑链路层控制层LLC协议

802.3 以太网的CSMA/CD载波监听多路访问/冲突检测协议

802.4 令牌总线Token Bus协议

802.5 令牌环Token Ring协议

802.6 城域网MAN协议

802.7 FDDI宽带技术协议

802.8 光纤技术协议

802.9 局域网上的语音、数据集成规范

802.10 局域网安全互操作标准

802.11 无线局域网WLAN标准协议

TCP/IP

将OSI七层简化为四层：应用（应用、表示、会话）、传输层、网络层、网络接口层（数据链路层、物理层）

应用层：FTP、TFTP、HTTP、SMTP（简单邮件传输协议）、DHCP（动态主机配置协议）、Telnet、DNS、SNMP（简单网络管理协议）

传输层：TCP、UDP

网络层：IP、ICMP、IGMP、ARP、RARP

2.软件定义网络（SDN）

利用分层思想，SDN将数据与控制相分离

整个架构由下到上（由南到北）分为数据平面、控制平面和应用平面

控制平面与数据平面通过控制数据平面接口CDPI通信（OpenFlow协议）

控制平面与应用平面通过北向接口NBI通信

3.第五代移动动心技术

在正交频分多址OFDMA和多入多出MIMO基础技术上，采用全新设计，同时支持中低频和高频。

采用LDPC（一种具有系数校验矩阵的分组纠错码）、Polar（一种基于信道极化理论的线型分组码）新型信道编码方案、性能更前大的大规模天线技术

三大应用场景

增强移动宽带（eMBB）：针对互联网用户

超高可靠低时延通信（uRLLC）：工业控制、远程医疗、自动驾驶

海量机器类通信（mMTC）：智慧城市、智能家居、环境监测

2.1.3 存储和数据库

1.存储技术

根据服务器类型分

封闭系统的存储

大型机

开放系统的存储

麒麟、欧拉、UNIX、Linux

内置存储

外挂存储

直连式存储

网络化存储

网络接入存储（NAS）

存储区域网络（SAN）

存储虚拟化

把来自一个或多个网络的存储资源整合起来，向用户提供一个抽象的逻辑视图。

存储虚拟化使存储设备能够转换为逻辑数据存储

绿色存储

节能环保，设计运行温度更低的处理器和更有效率的系统，生产更低能耗的存储系统或组件，存储容量、性能、能耗的三者平衡

2.数据结构模型

格式化数据模型

层次模型

树、节点

网状模型

有向图、一个事物与多个事物都有联系、导航式数据库

关系模型

二维表格

3.常用数据库类型

关系型数据库

事务ACID：原子性、一致性、隔离性、持久性

非关系型数据库

分布式的、非关系型的、不保证遵循ACID

键值数据库、列存储数据库、面向文档数据库、图形数据库

4.数据仓库

清洗、转换、加载（ETL）

元数据

粒度

分割

结构相同的数据分割成多个数据物理单元

数据集市

小型的，面向部门或工作组级的数据仓库

操作数据存储

特点：面向主题的、集成的、可变的、当前或接近当前的

数据模型

逻辑数据结构

人工关系

用于表示参照完整性的设计技术

2.1.4 信息安全

1.信息安全基础

安全属性：保密性、完整性、可用性

安全层次：设备安全、数据安全、内容安全、行为安全

信息系统安全：计算机设备安全、网络安全、操作系统安全、数据库系统安全、应用系统安全

网络安全技术：防火墙、入侵检测与防护、VPN、安全扫描、网络蜜罐技术、用户和实体行为分析技术

2.加密解密

对称加密

私钥加密

DES

非对称加密

公钥解密

RSA

3.安全行为分析技术

用户和实体行为分析（UEBA）

4.网络安全态势感知

对引起网络态势发生变化的安全要素进行获取、理解、显示，并预测未来网络安全发展趋势

2.1.5 信息技术的发展

2.2新一代及信息技术及应用

2.2.1物联网

通过信息传感设备，按约定的协议将任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的网络

解决物品与物品T2T、人与物品H2T、人与人H2H之间的互联

1.技术基础

物联网框架

感知层

温度传感器、二维码标签、RFID标签和读写器、摄像头、GPS等

网络层

互联网、广电网、网络管理系统和云计算平台组成

应用层

智能应用

2.关键技术

传感器技术

射频识别技术RFID

传感网

微机电系统（MEMS）

应用系统框架

5个重要技术部分：机器、传感器硬件、通信网络、中间件和应用

3.应用和发展

2.2.2云计算

分布式计算的一种，通过网络“云”将巨大的数据计算处理程序分解成无数个小程序，然后通过由多部服务器组成的系统进行处理和分析这些小程序得到的结果并返回给用户。

1.技术基础

资源层次

基础设施即服务Iaas

平台即服务Paas

软件即服务Saas

2.关键技术

虚拟化技术

容器技术

云存储技术

分布式文件系统

多租户和访问控制管理

基于任务的访问控制模型

基于属性模型的云计算访问控制

基于UCON模型的云计算访问控制

基于BLP模型的云计算访问控制

基于ABE密码机制的云计算访问控制，4个参与方：数据提供者、可信第三方授权中心、云存储服务器和用户

云中多租户及虚拟化访问控制是云计算的典型特征

云安全技术

云计算技术本身的安全保护工作、以云服务方式保护用户的安全性需求

云计算安全性

保障云基础设施的安全性

云安全技术服务

3.应用和发展

AI与机器学习

IOT与边缘计算

区域块到工程实践领域的DevOps

云原生和Service Mesh

创新、垂直、混合、生态四大趋势

2.2.3大数据

无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合

1.技术基础

主要特征

数据海量、数据类型多样、数据价值密度低、数据处理速度快

2.关键技术

大数据获取技术

采集

分布式爬取、分布式告诉高可靠性数据采集、高速全网数据映像技术，DPI、DFI

整合

信息高质量整合

清洗

清洗不合理和错误的数据

分布式数据处理技术

Hadoop、Spark、Storm

大数据管理技术

大数据存储

大数据协同

安全隐私

大数据应用和服务技术

分析应用技术

可视化技术

文本可视化技术

网络（图）可视化技术

时空数据可视化技术

多维数据可视化技术

交互可视化

主要关注：原位交互分析、数据表示、不确定性量化、面向领域的可视化工具库

3.应用和发展

互联网行业

广告、营销

政府的公共数据领域

提高执法、增进财税、加大监管、节省投资、增强管理

金融领域

实现个人信用与金融服务结合、信任管理、风控管理、借贷服务

工业领域

提供指导，航运货物量预测、口岸热度、天气对航路影响分析、相关业务预警、航线调整、资源优化调配

社会民生领域

发病时间、地点分布、建立预测模型、提供趋势预测

2.2.4 区块链

区块链具有多中心化存储、隐私保护、防篡改等特点

1.技术基础

以非对称加密算法为基础，以改进的默克尔树为数据结构，使用共识机制、点对点网络、智能合约等技术集合而成的一种分布式存储数据库技术。

分类

公有链

联盟链

私有链

混合链

特征

多中心化、多方维护、时序数据、不可篡改、开放共识、安全可靠

2.关键技术

分布式账本

加密算法

散列（hash）算法

MD5、SHA-1、SHA-2\SM3，使用SHA-2中的SHA256算法

非对称加密算法

RSA、Elgamal、D-H、ECC（椭圆曲线加密算法）

共识机制

Pow、Pos、DPoS、Paxos、PDFT

合规监管、性能、资源消耗、容错性

3.应用和发展

将成为互联网的基础协议之一

架构不同分层将承载不同的功能

应用和发展呈螺旋式商上升趋势

2.2.5人工智能

1.技术基础

6个主要阶段

起步发展期

反思发展期

应用发展期

低迷发展期

稳步发展期

蓬勃发展期

聚焦在热点技术、共性技术、新兴技术

2.关键技术

机器学习

将自动将模型与数据匹配，并通过训练模型对数据进行学习的技术

神经网络

自然语言处理

实现人与计算机之间用自然语言进行有效通信的各种理论和方法

应用于机器翻译、舆情监测、自动摘要、观点提取、文本分类、问题回答、文本语义对比、语音识别、中文OCR

专家系统

由人机交互界面、知识库、推理机、解释器、综合数据库、知识获取组成。

第一阶段高度专业化、求解专门问题的能力强，完整性、可移植性、系统的透明性和灵活性存在缺陷

第二阶段单学科专业型、应用型系统，结构较玩啥、移植性有改善

第三阶段多学科综合型系统，采用人工智能语言

第四阶段大型多专家协作系统，多种只是表示、综合知识库

3.应用和发展

人工智能向人机混合智能发展

从人工+智能向自主智能系统发展

人工智能将加速与其他学科领域交叉渗透

人工智能产业将蓬勃发展

人工智能的社会学将提上议程

2.2.6虚拟现实

1.技术基础

VR是一种可以创立和体验虚拟世界的计算机系统

技术主要特征：沉浸性、交互性、多感知性、构想性、自主性

2.关键技术

人机交互技术

三维交互

传感器技术

动态环境建模技术

CAD

3.应用和发展

硬件性能优化迭代加快

网络技术的发展有效助力其应用化的程度

虚拟现实产业要素加速融合

元宇宙等新兴概念为虚拟现实技术带来了沉浸和叠加、激进与渐进、开放与封闭的新的商业理念

3.信息系统治理

3.1IT治理

3.1.1IT治理基础

1.IT治理的驱动因素

良好的IT治理和应用能确保组织IT投资有效性

IT属于知识高密度型领域，其价值发挥的弹性较大

IT已经融入到组织管理、运行、生产和交付等各个领域中，成为各领域高质量发展的重要基础

信息技术的发展演进以及新兴技术的引入，可为组织提供大量新的发展空间和业务机会等

IT治理能够推进组织充分理解IT价值，从而促进IT价值挖掘和融合利用

IT价值不仅仅取决于好的技术，也需要良好的价值管理，场景化的业务融合应用

高级管理层的管理幅度有限，无法升入到IT每项管理当中，需要采取明确责权利和清晰管理去确保IT价值

成熟度较高的组织以不同的方式治理IT，获得了行业领先的业务发展效果

2.IT治理的目标价值

与业务目标一致

有效利用信息与数据资源

风险管理

3.IT治理的管理层次

最高管理层、执行管理层

3.1.2IT治理体系

IT治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命

核心

关注IT定位和信息化建设与数字化转型的权责利划分

体系构成

IT定位

IT应用的期望行为与业务目标一致

IT治理架构

业务和IT在治理委员会中的构成、组织IT与各级分支结构的IT权责边界等

IT治理内容

投资、风险、绩效、标准和规范

IT治理流程

统筹、评估、指导、监督

IT治理效果

内外评价

1.IT治理关键决策

IT原则

IT架构

IT基础设施

业务应用需求

IT投资和优先顺序

2.IT治理体系框架

IT战略目标

IT治理组织

IT治理机制

IT治理域

IT治理标准

IT绩效目标

3.IT治理核心内容

本质

实现IT的业务价值

IT与业务战略匹配实现

IT风险的规避

组织内部建立相关的职责实现

核心内容

组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理

4.IT治理机制经验

原则

简单

透明

适合

3.1.3IT治理任务

全局统筹

价值导向

机制保障

创新发展

文化助推

3.1.4IT治理方法与标准

我国信息技术服务标准库（ITSS）中IT治理系列标准

IT治理通用要求

包含内外部要求、治理主体、治理方法、以及信息技术及其应用的管理体系

治理框架三大治理域

信息技术顶层设计

管理体系

资源

IT治理实施指南

实施框架

治理的实施环境、实施过程和治理域

信息和技术治理框架（COBIT）

治理和管理目标

子主题

信息和技术治理解决方案的设计

子主题

IT治理国际标准（ISO/IEC 38500）

主要任务

评估、指导、监督

3.2IT审计

3.2.1IT审计基础

审计目的

组织的IT战略与业务战略保持一致

保护信息资产的安全以及数据的完整、可靠、有效

提高信息系统的安全性、可靠性及有效性

合理保证信息系统及其运用符合有关法律、法规及标准等要求

审计范围

总体范围、组织范围、物理范围、逻辑范围

审计人员

职业道德

知识、技能、资格、经验

专业胜任力

利用外部专家服务

审计风险

固有风险

IT 活动不存在相关控制的情况下，易于导致重大错误的风险

可从IT组织层面控制、一般控制及应用控制三个方面分析固有风险

是IT活动本身所具有的，审计人员只能评估，无法控制或影响他；

是主观的、复杂的，不同IT活动器固有风险水平不同

控制风险

与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险

可从IT组织层面控制、一般控制及应用控制三方面分析控制风险

与内部控制制度执行的时效性有关，与审计无关，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响，

其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量

检查风险

通过预定的审计程序未能发现重大、单个或其他错误相结合的风险

影响检查风险的因素

IT审计规范不完善、审计人员自身或计算原因

总体设计风险

针对单个控制目标所产生的各类审计风险的总和

3.2.2审计方法与技术

审计准则

信息系统审计准则（ISACA）

内部控制-整体框架报告（COSO）

萨班斯法案（SOX）

信息及相关技术控制目标（COBIT）

审计法规

法律法规、审计准则、IT审计国际标准、组织内部控制、行业规范

常用方法

访谈法、调查法、检查法、观察法、测试法、程序代码检查法

审计技术

风险评估技术

风险识别技术

德尔菲法、头脑风暴、检查表法、SWOT技术、图解技术

风险分析方法

定性分析、定量分析

风险评价技术

单因素风险评价、总体风险评价

风险应对技术

云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流

审计抽样技术

统计抽样、非统计抽样

计算机辅助审计技术

CAAT

大数据审计技术

大数据智能分析技术、大数据可视化分析技术、大数据多数据源综合分析技术

审计证据

特性：充分性、客观性、相关性、可靠性、合法性

审计底稿

作用

是形成审计结论、发表审计意见的直接依据

是评价考核审计人员的主要依据

是审计质量控制与监督的基础

对未来审业务具有参考备查作用

分类

综合类工作底稿

审计人员在审计计划阶段和审计报告阶段，为规划和控制、总结整个审计工作并发表审计意见所形成的审计工作底稿

主要包括：

升级业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书、审计人员对整个生津工作进行组织管理的所有记录和资料

业务类工作底稿

审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿

主要包括

符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表

备查类工作底稿

审计人员在设计过程中形成对审计工作仅具有备查工作用的审计工作底稿

3.2.3审计流程

准备、实施、终结、后续审计阶段

3.2.4审计内容

子主题

4.信息系统管理

4.1管理方法

4.1.1管理基础

1.层次结构

信息系统四要素：人员、技术、流程和数据

2.系统管理

四大领域

规划和组织

设计和实施

运维和服务

优化和持续改进

4.1.2规划和组织

1.规划模型

战略三角形

业务战略、信息系统、组织机制

2.组织模型

业务战略

阐明组织寻求的业务目标以及期望如何达成的路径

迈克尔-波特：获得竞争力优势的三种战略

组织机制战略

组织的设计以及为定、设置、协调和控制其工作流程而做出的选择

哈罗德-莱维特：钻石模型

信息系统战略

组织用来提供信息服务的计划

4.1.3设计和实施

1.设计方法

从战略到系统框架

从系统框架到系统设计

转换框架

三类问题：内容、人员、位置

2.架构模式

集中式架构（主机架构）

分布式架构（基于服务器的架构）

面向服务的系统架构（基于web的架构）

4.1.4运维和服务

1.运行管理和控制

主要活动：过程开发、标准制定、资源分配、过程管理

2.IT服务管理

组成：服务台、事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、财务管理、容量管理、服务连续性管理、可用性管理

3.运行与监控

运行监控、安全监控

4.终端侧管理

5.程序库管理

6.安全管理

7.介质控制

8.数据管理

4.1.5优化和持续改进

戴明环PDCA

计划、执行、检查、处理

六西格玛，五阶段方法DMAIC/DMADV

定义、度量、分析、改进/设计、控制/验证

1.定义阶段

目标：待优化信息系统定义、核心流程定义、团队组建

2.度量阶段

目标：流程定义、指标定义、流程基线、度量系统分析

良好的度量系统：准确、可重复、线性、可重现、稳定

3.分析阶段

目标：价值流分析、信息系统异常的源头分析、确定优化改进的驱动因素

4.改进/设计阶段

目标：改进/设计的解决方案推进、定义新的操作/设计条件、定义和缓解故障模式

5、控制/验证

目标：标准化新程序/新系统功能的操作控制要素

持续验证优化的信息系统的可交付成果

记录经验教训

4.2管理要点

4.2.1数据管理

数据管理能力成熟度评估模型DCMM

数据战略

数据战略计划、数据战略实施、数据战略评估

数据治理

数据治理组织、数据制度建设、数据治理沟通

数据架构

数据模型、数据分布、数据集成与共享、元数据管理

数据应用

数据分析、数据开放共享、数据服务

数据安全

数据安全策略、数据安全管理、数据安全审计

数据质量

数据质量需求、数据质量检查、数据质量分析、数据质量提升

数据标准

业务术语、参考数据和主数据、数据愿、指标数据

数据生存周期

数据需求、数据设计和开发、数据运维和数据退役

理论框架与成熟度

国内常用的数据管理模型

数据管理能力成熟模型DCMM

初始级、受管理级、稳健级、量化管理级、优化级

数据治理框架DGI

数据管理能力评价模型DCAM

数据管理模型DAMA

4.2.2运维管理

1.能力模型

能力建设

人员能力

资源能力

技术能力

过程

2.智能运维

能力要素

能力平台

能力应用

场景分析、能力构建、服务交付、迭代调优

智能运维需具备智能特征

能感知、会描述、自学习、会诊断、可决策、自执行、自适应

4.2.3信息安全管理

1.CIA三要素

保密性、完整性、可用性

2.信息安全管理体系

3.网络安全等级保护

A安全保护等级划分

第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益

第二级，会对相关公民、法人和其他组织的权益产生严重损害或也别严重损害，或对社会秩序和公共利益造成危害，但不危害国家安全

第三级，会对社会秩序和公共利益造成严重危害，或对国家安全造成危害

第四级，会对社会秩序和公共利利益造成也别严重危害，或对国家安全造成严重危害

第五级，会对国家安全造成特别严重危害

B安全保护能力等级划分

第一级，防护来自个人的、很少资源的威胁源的，一般的自然灾害

第二级，防护外部小型组织的、拥有少量资源的威胁源，一般的自然灾害

第三级，外部有组织的团体、拥有较丰富资源的威胁源，较为严重灾害

第四级，国家级别的、敌对组织的、严重灾害

5.信息系统工程

5.1软件工程

5.1.1架构设计

1.软件架构风格

数据流风格

批处理序列、管道/过滤器

调用/返回风格

程序/子程序、数据抽象和面向对象、层次结构

独立构件风格

进程通信、事件驱动的系统

虚拟机风格

解释器、基于规则的系统

仓库风格

数据库系统、黑板系统、超文本系统

2.软件框架评估

敏感点

一个或多个构建的特性

权衡点

影响多个质量属性的特性，是多个质量属性的铭感点

三种评估模式

基于调查问卷的方式

基于场景的方式（常用）

架构权衡分析法

软件架构分析法

成分效益分析法

刺激、环境、响应三方面描述场景

基于度量的方式

5.1.2需求分析

软件需求是指用户对新系统功能、行为、性能、设计约束等方面的期望

1.需求层次

业务需求、用户需求、系统需求

质量功能部署QFD：将用户要求转化成软件需求的技术

常规需求、期望需求、意外需求

2.需求过程

需求获取

用户访谈、问卷调查、采样、清洁串联版、联合需求计划

需求分析

好的需求：二义性、完整性、一致性、可测试性、确定性、可跟踪性、正确性、必要性

结构化分析SA方法进行需求分析

核心：数据字典

模型：数据模型（实体关系图E-R）、功能模型（数据流图DFD）、行为模型（状态模型,状态转换图STD）

面向对象的分析OOA

模型

用例模型

分析模型

需求规格说明书编写SRS

需求验证与确认

3.UML

统一建模语言UML是一种定义良好、易于表达、功能强大、且普遍使用的建模语言

架构

构造块

3种：事物、关系、图

规则

范围、可见性、完整性、执行

公共机制

包括规格说明（详细说明）、修饰、公共分类（通用划分）、扩展机制

事物

结构事物、行为事物(动作事物）、分组事物、注释事物（注解事物）

关系

分类

依赖、关联、泛化、实现

图

类图、对象图、构件图、组合结构图、用例图、顺序图（时序图）、通信图、定时图（计时图）、活动图、部署图、制品图、包图、交互概览图

视图

逻辑视图（设计视图）、进程视图、实现视图、部署视图、用例视图

4.面向对象分析

面向对象分析阶段的核心工作是简历用例模型与分析模型

用例模型

结构化分析方法

四阶段：识别参与者、合并需求并获得用例、细化用例描述、调整用例模型

分析模型

过程

定义概念类、确定类之间的关系、为类添加之职责、建立交互图等

前三步骤，称为：类-责任-协作者建模

类之间的关系

关联、依赖、泛化、聚合、组合、实现等

5.1.3软件设计

1.结构化设计

面向数据流、自顶向下、逐步求精和模块化

输入/输出设计、处理流程设计、数据存储设计、用户界面设计、安全性和可靠性设计

原则：高内聚、低耦合

2.面向对象设计

单职原则、开闭原则、里式替换原则、依赖倒置原则、接口隔离原则、组合重用原则、迪米特原则（最少知识法则）

3.设计模式

创建型模式

工厂方法模式、抽象工厂模式、原型模式、单例模式、建造者模式

结构型模式

适配器模式、桥接模式、组合模式、装饰模式、外观模式、享元模式、代理模式

行为型模式

责任链模式、命令模式、解释器模式、迭代器模式、中介者模式、备忘录模式、观察者模式、状态模式、策略模式、模板方法模式、访问者模式

5.1.4软件实现

1.软件配置管理

2.软件编码

3.软件测试

静态测试（桌前检查、代码走查、代码审查）

动态测试

白盒测试（结构测试）

逻辑覆盖

语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、条件组合覆盖、修正的条件/判定覆盖、路径覆盖

黑盒测试（功能测试）

等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法、正交试验法

5.1.5部署交付

1.软件部署与交付

2.持续交付

3.持续部署

方案

K8s+docker、Matrix

原则

层次

Build、Ship、Run

不可变服务器

蓝绿部署和金丝雀部署

4.部署与交付的新趋势

5.1.6过程管理

1.成熟度模型CSMM

2.成熟度等级

1级：初始级

2级：项目规范级

3级：组织改进级

4级：量化提升级

5级：创新引领级

5.2数据工程

5.2.1数据建模

1.数据模型

概念模型（信息模型）

逻辑模型

层次模型、网状模型、关系模型、面向对象模型、对象关系模型

物理模型

2.数据建模过程

数据需求分析

概念模型设计

逻辑模型设计

物理模型设计

5.2.2数据标准化

1.元数据标准化

2.数据元标准化

数据元：对象、特性、表示

3.数据模式标准化

4.数据分类和编码标准化

5.数据标准化管理

确定数据需求、指令数据标准、批准数据标准、实时数据标准

5.2.3数据运维

1.数据存储

数据存储介质：磁带、光盘、磁盘

存储管理：资源调度管理、存储资源管理、负载均衡管理、安全管理

2.数据备份

数据备份结构

DAS备份结构、基于LAN的备份结构、LAN-FREE备份结构、SERVER-FREE备份结构

策略

完全备份、查分备份、增量备份

3.数据容灾

RPO：灾后允许数据丢失量

RTO：系统恢复时间

4.数据质量评价与控制

评价方法

直接评价、间接评价

质量控制

前期控制、过程控制、系统检测、精度评价

5.数据清理

三步骤：数据分析、数据监测、数据修正

5.2.4数据开发利用

1.数据集成

2.数据挖掘

流程：确定分析对象、数据准备、数据挖掘、结果评估、结果应用

任务：数据总结、关联分析、分类预测、聚类分析、孤立点分析

3.数据服务

数据目录服务、数据查询与浏览及下载服务、数据分发服务

4.数据可视化

一维、二维、三维、多维、时态数据、层次数据、网络数据可视化

5.信息检索

方法：全文检索、字段检索、基于内容的多媒体检索、数据挖掘

技术：布尔逻辑检索技术、截词检索技术、临近检索技术、限定字段检索技术、限制检索技术

5.2.5数据库安全

1.数据库安全威胁

2.数据安全对策

3.数据安全机制

5.3系统集成

5.3.1集成基础

内容：技术环境的集成、数据环境的集成、应用程序的集成

技术原则：开放新、结构化、先进性、主流化

5.3.2网络集成

子主题

5.3.3数据集成

1.数据集成层次

基本数据集成

隔离、调和

多视图集成

模式集成

多粒度数据集成

2.异构数据集成

异构数据集成方法

过程式方法、声明式方法

开放数据库鼓励按标准ODBC

基于XML的数据交换标准

基于JSON的数据交换格式

5.3.4软件集成

软件构件标准

CORBA公共对象请求代理对象

COM

DCOM与COM+

.NET

J2EE

5.3.5应用集成

对应用集成的技术要求

具有应用间的互操作性

具有分布式环境中应用的可移植性

具有系统中应用分布的透明性

协调链接应用的组件

应用编程接口API、事件驱动型操作、数据映射

5.4安全工程

5.4.1工程概述

5.4.2安全系统

1.安全机制

基础设施实体安全

机房安全、场地安全、设施安全、动力系统安全、灾难预防与恢复

平台安全

操作系统漏洞检测和修复、网络安全产品部署

数据安全

介质与载体安全保护、数据访问控制、数据完整性、数据可用性、数据监控和审计、数据存储于备份安全

通信安全

通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞

应用安全

业务软件的程序安全性测试、业务交往的防抵赖测试、业务资源的控制访问验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的唯一性与一致性及防冲突检测、业务数据的保密性检测、业务系统的可靠性检测、业务系统的可用性检测

运行安全

应急处置机制的配套服务、网络系统安全性检测、网络安全产品运行检测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞及通报、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务

管理安全

人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理

授权和审计安全

安全防范体系

六项能力：预警、保护、检测、反应、恢复、反击

2.安全服务

对等实体认证服务

数据保密服务

数据完整性服务

数据源点认证服务

禁止否认服务

犯罪证据提供服务

3.安全技术

加密、数字签名技术、防控控制、数据完整性、认证、数据挖掘

5.4.3工程基础

5.4.4工程体系架构

ISSE-CMM基础

适用工程组织、获取组织、评估组织

ISSE

实施过程：工程过程、风险过程、保证过程

ISSE-CMM体系结构

两维设计：域、能力

域维/安全过程域

能力域/公共特性

level 1：非正规实施级

level 2：规划和跟踪级

level 3：充分定义级

level 4：量化控制级

level 5：持续改进级

6.项目管理概论

6.1PMBOK发展

6.2项目基本要素

6.2.1项目基础

独特的产品、服务或成果

临时性工作

项目驱动变更

项目创造业务价值

项目启动北京

6.2.2项目管理的重要性

6.2.3项目成功的标准

完成项目效益管理计划

达到可行性研究与论证中记录的已商定的财务测量指标（净现值、投资回报率、内部报酬率、回收周期、效益成本比率）

达到可行性研究与论证的非财务目标

组织从当前状态成功转移到将来状态

履行合同条款和条件

达到组织战略、目的和目标，使干系人满意

可接受的客户/最终用户的采纳度

将可交付成果整合到组织的运营环境中

满足商定的交付质量

遵循治理规则

满足商定的其他成功标准或准则

6.2.4项目、项目集、项目组合与运营管理之间的关系

子主题

6.2.5项目内外部运行环境

1.组织过程资产

2.组织内部的事业环境因素

3.组织外部的事业环境因素

6.2.6组织系统

1.治理框架

2.管理要素

3.组织结构类型

系统型或简单型、职能（集中式）、多部门、矩阵-强、矩阵-弱、矩阵-均衡、项目导向、虚拟、混合型、PMO

PMO：支持型、控制型、指令型

6.2.7项目管理和产品管理

子主题

6.3项目经理的角色

6.3.1项目经理的定义

6.3.2影响力范围

6.3.3项目经理的能力

项目管理

战备和商务

领导力

人际交往、领导者品质与技能、政策和权力

6.4价值驱动的项目管理知识体系

6.4.1项目管理原则

1、勤勉、尊重和关心他人

2、营造协作的项目团队环境

3、促进干系人有效参与

4、聚焦于价值

5、识别、评估和响应系统交互

展现领导力行为

风格：专制型、民主性、放任型、指令型、参与型、自信型、支持型、共识型

根据环境进行裁剪

将质量融入到过程和成果中

驾驭复杂性

优化风险应对

拥抱适应性和韧性

为实现目标而驱动变革

6.4.2项目生命周期和项目阶段

1.项目生命周期和项目阶段

通用的生命周期

2.项目生命周期类型

预测型

迭代型

增量型

适应型

混合型

6.4.3项目管理过程组

启动

规划

执行

监控

收尾

6.4.4项目管理知识领域

子主题

6.4.5项目绩效域

6.4.6价值交付系统

创造价值

价值交付组件

信息流

7、项目立项管理

7.1项目建议与立项申请

内容

项目必要性

项目的市场预测

项目预期成果（如产品方案、服务）的市场预测

项目建设必需的条件

7.2项目可行性研究

7.2.1可行性研究的内容

技术可行性分析

进行项目开发的风险

人力资源的有效性

技术能力的可能性

物资（产品）的可用性

经济可行性分析

支出分析

一次性支出、非一次性支出

收益分析

直接受益、间接受益、其他收益

收益投资币、投资回收期分析

敏感性分析

社会效益可行性分析

对组织内部

对社会发展

运行环境的可行性分析

其他方面的可行性分析

7.2.2初步可行性研究

7.2.3详细可行性研究

依据

原则

科学性原则、客观性原则、公正性原则

方法

投资估算法、增量净效益法

内容

7.3项目评估与决策