CISA第三章学习总结.docxVIP

第三章信息系统获取、开发与实施总结要点：业务实现的管理实务是一个过程，通过这个过程，组织会针对业务问题评估技术解决方案。项目组合定义为在一个给定的时间点上，一个组织机构做执行的所有项目（相关的或不相关的）。一个项目可能会从组织的任何一个部门发起，包括信息系统部门。使用目标和工作分解结构，就可以根据不同的技术，比如LOC和FPA，就可以识别出所有的项目活动，并定义这些活动的规模大小。项目必须要对项目的持续时间，花销，交付物进行综合考虑。具体IT过程中的管理实务对IT资源和活动进行控制和管理。软件开发生命周期的主要阶段可能包括可行性研究阶段，需求定义阶段，详细设计阶段，开发阶段，测试阶段，培训阶段，实施阶段，认证阶段以及实施后回顾阶段。根据使用的开发工具和提高工作效率的辅助工具，开发过程可能会有所不同识别项目风险非常重要。作为IT过程的一部分，组织使用管理实务来识别和分析IT基础设施的需求。当组织的IT系统和IT基础设施发生变更时，就会用管理实务来管理这些变更（变更管理，发布管理和配置管理）。IT审计师应该理解系统开发，获取和维护的方法，进而能够识别出可能的系统安全脆弱点和那些需要控制措施的点。组织针对其系统和IT架构的管理实务的其他内容包括业务过程重组，电子上午和商业职能。在IT实践中，通过评估输入控制过程来判定系统是否只允许合法的，经过授权的并唯一的交易。学习总结：* 项目的定义： 1、项目是一项有待完成的任务，且有特定环境与要求 2、在一定的组织机构内，利用有限资源（人力、物力、财务等）在规定的时间内完成任务 3、任务要满足一定性能、质量、数量、技术指标等要求。* 项目的目标应该包括成果性目标和约束性目标，满足客户、管理层和供应商在时间、费用和性能上的不同需求。* 项目群可以看成是由一系列项目和有时间边界的任务组成，这些项目和任务通过共同的目标、共同的预算、相互交织的日程和策略等紧密的联系在一起。* 成功的实施项目群，需要对以下内容进行有效管理： 1、项目群的范围、财务、日程、目标及交付物； 2、项目群所处的环境； 3、项目群的沟通与文化； 4、项目群的组织。* 项目群中典型的沟通结构就是召开项目群所有者会议和项目群团队会议* 项目管理办公室是项目管理和项目群管理过程的所有者，它必须是永久性的组织结构，需要配置充足的人员，以对当前的项目管理提供充分的支持，同时开发新的程序和标准。* 项目管理办公室只涉及项目管理程序中的活动和任务，并不涉及具体的项目内容。* 项目组合的管理目的： 1、优化项目组合的结果 2、对项目优先级排序，进行日程安排 3、协调对资源的使用 4、项目中的知识传递* 项目是短期的、战术性的* 项目群是长期的、战略性的* 项目组合具有管理周期（每季度或每年）* 组织可以获得的业务收益才是实施IT项目的源动力* 规划IT项目时，首先要考虑业务模式（商业模式、业务案例）* 可行性分析时业务模式分析的一种* 对项目进行充分详细的业务模式分析，作为启动和持续一个项目的验证条件，为项目的实施提供一个合理的理由* 业务模式分析是项目生命周期中各个决策过程的关键因素，无论在项目的哪一个阶段，如果业务模式分析表明由于成本增加或预期的利益不能实现使得项目不再有意义时，项目发起人或指导委员会应当考虑是否要终止项目的执行。* 在一个良好定义的项目中，通常建立了一些决策点，有时称为“阶段点”或“生死点”，在这些点上进行业务模式分析后决定当前的项目是否依然有意义。* 如果IT项目实施阶段中其业务模式发生变化，应当通过部门规划和审批流程对项目重新进行评估和批准* 实施后评审：在项目实施后6~18个月进行，评价利益实现程度* 有关项目的所有治理决策应当由业务效益驱动，并进行周期性评审* 信息系统项目可以由组织的任何一部分启动，包括信息系统部门* 业务过程的设计方法也同样适用于项目管理过程* 项目管理的组织规划： 1、职能式组织形式：项目经理仅作为一个成员，没有正式管理权 2、项目式组织形式：项目经理有正式授权负责项目 3、矩阵式组织形式：项目经理与部门经理同时共同分担管理权限* 用户管理部门拥有项目和最终系统的所有权，当系统被定义和完成时，用户管理部门应当评价和批准系统的交付。* 安全主管评价安全测试计划并在实施之前进行报告* 成功的项目计划的全面特征式项目基于风险的管理过程而且本身是互动的。* 项目中三个元素/纬度必须考虑 1、时间/持续时间需要花多少时间才能完成项目 2、成本/资源需要花费多少 3、交付品什么是必须做的* 软件规模评估：源代码行数、功能点分析（FPA）、FPA特征点* 源代码行数评估结构化程序语言（BASIC、COBOL）有用，其他不行* 功能点分析（FPA）广泛用于评估开发大型业务应用