【原】系统规划与管理师知识点集锦(第三章)

第三章 信息技术服务知识

01

产品、服务和信息技术服务

1)产品：人们向市场提供的能满足消费者或用户某种需求的任何有形物品或无形服务。

通常有4 种类别的产品：

①服务：是为满足客户的需求，供方和需方之间在接触时的活动以及供方内部活动所产生的结果。涉及：为客户提供的有形产品过程中所完成的活动；为客户提供的无形产品过程中所完成的活动；无形产品的交付；为客户创造氛围等。

②软件：无形产品。如：计算机程序、字典、信息记录等。

③硬件：有形产品，是不连续的具有特定形状的产品。

④流程性材料：流程性材料通常是有形产品，是将原材料转化成某一特定状态的有形产品，其状态可能是流体、气体、粒状、带状。其量具有连续的特性，往往用计量特性描述。如燃料、冷却液。

2)服务是一种或多或少具有无形性特征的活动或过程，它是在服务提供者与服务接受者互动过程中完成的。

服务具有如下特性：

①无形性(Intangibility)：服务通常是一种行为。客户在购买前很难完全看到服务的产出或成果，也缺乏具体标准以客观判断服务的优劣。

②不可分离性(Inseparability)：服务的生产与消费往往同时进行而不可分割，且需要服务提供者与客户同时介入服务的过程中并进行频繁的互动。

③异质性(Heterogeneity)：服务的提供常会因人、因时、因地而发生变化。

④易消失性(Perishability)：服务无法储存，产能缺乏弹性，对于需求变动无法通过存货调节。

3)IT(InformationTechnology)服务是指IT服务提供商为其客户提供信息咨询、软件升级、硬件维修等全方位的服务，具体包括产品维护服务、IT专业服务、集成和开发服务、IT管理外包服务等。

《信息技术服务分类与代码》(GB/T29264-2012)：供方为需方提供开发、应用信息技术的服务，以及供方以信息技术为手段提供支持需方业务活动的服务。

常见服务内容包括软件服务、硬件服务及其他相关的服务。

常见IT服务形态有信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数据内容服务、呼叫中心服务和其他信息技术服务。

02

运维、运营和经营

1)运维

《信息技术服务分类与代码》(GB/T29264-2012)：运行维护服务(Operation MaintenanceService)是采用信息技术手段及方法，依据需方提出的服务级别要求，对其信息系统的基础环境、硬件、软件及安全等提供的各种技术支持和管理服务。

运维服务的主要对象包括基础设施、硬件平台、基础软件、应用软件以及依赖于IT基础设施的数据中心、业务应用等信息系统，其范围可以是单个IT基础设施的运维，也可以是整体IT基础设施和业务应用的总体运维。

运维服务交付内容主要包括咨询评估、例行操作、响应支持和优化改善。

《信息技术服务分类与代码》(GB/T29264-2012)：将运行维护服务分为：基础环境运维、硬件运维服务、软件运维服务、安全运维服务、运维管理服务和其他运行维护服务六类。

运行维护服务能力模型的四个关键要素：人员、资源、技术和过程。

2)运营是对组织经营过程的计划、组织、实施和控制，是与产品生产和服务创造等密切相关的各项管理工作的总称。

运营的目的是保证正常的业务开展。

运营管理指对生产和提供公司主要的产品和服务的系统进行设计、运行、评价和改进。

3)经营

经营需要有经营者、经营对象、经营权和经营载体，经营者是经营活动的主体，没有经营者就不可能有经营活动。经营对象是经营的客体，经营对象是经营者把自己的经营活动加于其上的东西。经营权是实现经营的手段，是经营者对经营对象的占有、支配、使用和处理或强制、规范并承担经营责任的权力。经营载体是经营活动得以进行的组织。经济的载体被称为经济组织，一般是家庭、企业；政治的载体被称为政治组织，一般是政府。

企业经营：是根据一个组织的资源状况和所处的市场竞争环境，对组织长期发展进行战略性规划、部署，制定组织的愿景、目标和方针的战略层次活动。

①  经营思想

具体表现为6个观念

市场观念：是企业处理自身与用户之间关系的经营思想。

竞争观念：是企业处理自身与市场竞争对手之间关系的经营思想。

效益观念：是企业处理自身投入与产出之间关系的经营思想。

创新观念：是企业处理现状和变革之间关系的经营思想。(技术创新/市场创新/组织创新)

长远观念：是企业处理自身近期利益与长远发展关系的经营思想。

社会观念：是企业处理自身发展之间关系的经营思想。

②  经营目标

可分为：

(1)战略目标：是对企业战略经营活动预期取得的主要成果的期望值，是企业宗旨中确认的企业经营目的、社会使命的进一步阐明和界定，它反映了企业在一定时期内经营活动的方向和所要达到的水平，既可以是定性的，也可以是定量的，比如竞争地位、业绩水平、发展速度等。

根据企业所处发展的不同时期，通常有三个方面的战略目标：

a)成长性目标：是表明企业进步和发展水平的目标。指标包括销售额及其增长率、利润额及其增长率、资产总额、设备能力、品种、生产量。

b)稳定性目标：是表明企业经营状况是否安全，有没有亏损甚至倒闭的危险。指标包括经营安全率、利润率、支付能力等

c)竞争性目标：是表明企业的竞争能力和企业形象。指标包括市场占用率、产品质量名次等。

(2)战术目标：是企业的短期目标，是战略目标的具体化。

特点有：

• 实现的期限较短，反映企业的眼前利益。

• 具有渐进性。

• 目标数量较多。

• 其实现有一定的紧迫性。

制定经营目标的原则有：

• 目标的关键性原则

• 目标的可行性原则

• 目标的定量化原则

• 目标的一致性原则

• 目标的激励性原则

• 目标的灵活性原则

③  经营计划：是指在经营决策基础上，根据经营目标对企业的生产经营活动和所需要的各项资源，从时间和空间上进行具体统筹安排所形成的计划体系。

经营计划的特点：

• 决策性

• 外向性

• 综合性

• 激励性

经营计划的任务：

• 把经营目标具体化

• 分配各种资源

• 协调生产经营活动

• 提高经济效益

④  经营管理：是指企业整个生产经营活动进行决策，计划、组织、控制、协调，并对企业员工进行激励，以实现其任务和目标一系列工作的总称。

经营管理的主要任务是合理地组织生产力，使产、供、销各个环节相互衔接，密切配合；人、财、物各种要素合理结合，充分利用，以尽量少的劳动消耗和物质消耗，生产出更多的符合社会需要的产品。

03

IT治理

IT治理是指设计并实施信息化过程中各方利益最大化的制度安排，包括业务与信息化战略融合的机制、权责对等的责任担当框架和问责机制、资源配置的决策机制、组织保障机制、核心IT能力发展机制、绩效管理机制以及覆盖信息化全生命周期的风险管控机制。

目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，建立信息化可持续发展的长效机制，最终实现IT商业价值。

IT治理规定了整个组织IT规划与组织、获得与实施、交付与支持、监控与评价的基本框架，以此监控IT的战略制定、机构建立以及组织实施，保证企业信息和信息系统的运营始终处于正确的轨道上。

IT管理是企业IT部门在IT系统运营阶段中在管理方面采用的方法论、手段、技术、制度、流程、文档的统称，是在既定的IT治理模式下，管理层为实现企业目标而采取的行动。

04

IT服务管理

IT服务管理(ITSM)是一套帮助组织对IT 系统的规划、研发、实施和运营进行有效管理的方法，是一套方法论。

IT 服务过程方面的问题，更多的不是来自技术，而是来自管理方面。

ITSM是一套通过服务级别协议(SLA)来保证IT服务质量的协同流程，它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、 问题管理等许多流程的理论和实践。

ITSM是一种以流程为导向、以客户为中心的方法。

ITSM的核心思想是，IT组织不管是组织内部的，还是外部的，都是IT服务提供者，其主要工作就是提供低成本、高质量的IT服务，而IT服务的质量和成本则需从IT服务的客户(购买IT服务)方和用户(使用IT服务)方加以判断。

ITSM是一种IT管理，与传统的IT管理不同，它是一种以服务为中心的IT管理。

实施ITSM的根本目标有3个：

①以客户为中心提供IT服务

②提供高质量、低成本的服务

③提供的服务是可准确计价的

ITSM的基本原理可简单地用“二次转换”来概括，第一次是“梳理”，第二次是“打包”。

首先将纵向的各种技术管理工作(即传统IT管理的重点)，如服务器管理、网络管理和系统软件管理等，进行“梳理”，形成典型的流程，这是第一次转换。然后将流程进行“打包”成特定的IT服务，然后提供给客户，这是第二次转换。

第一次转换将技术管理转化为流程管理，第二次转换将流程管理转化为服务管理

ITSM适用于IT管理而不是组织的业务管理，清楚这点非常重要，因为它明确划分了ITSM与ERP、CRM和SCM等管理方法和软件之间的界限。这个界限是：前者面向IT管理，后者面向业务管理。

ITSM不是通用的IT规划方法。ITSM的重点是IT的运营和管理。

IT规划关注的是组织的IT方面的战略问题，而ITSM是确保IT战略得到有效执行的战术性和运营性活动。

虽然技术管理是ITSM的重要组成部分，但ITSM的主要目标不是管理技术。有关IT的技术管理是系统管理和网络管理的任务，ITSM的主要任务是管理客户和用户的IT需求。

05

项目管理

项目是“一组有起止时间的、相互协调的受控活动所组成的特定过程，该过程要达到符合规定要求的目标，包括时间、成本和资源等各方面的要求与约束”。

包含如下3层含义：

(1)项目是一项有待完成的任务，且有特定的环境与要求。

(2)有一定的组织机构内，利用有限资源(人力、物力、财力等)在规定的时间内完成任务。

(3)任务要满足一定性能、质量、数量、技术指标等要求。

项目的特点：

①临时性：所有的项目都是临时的，有明确的开始和结尾，并以实现特定的目标为宗旨，而这个目标也构成了衡量项目成败的客观标准。

②独特性：指项目的可交付成果(产品或服务)具有非重复性的特点。

③渐进性：项目的实施过程体现为一个向目标推进的逐步完善的过程。

④不确定性：导致项目非重复性的主要原因是其外部条件以及实施过程的不确定性，任何项目都不可避免的具有风险。

项目生命周期的5个阶段：①项目启动②项目规划③项目执行④项目监控⑤项目收尾。不是每一个项目都必须经过以上每一个阶段。

• 项目启动：包括发起项目，授权启动项目，任命项目经理，组建项目团队，明确项目干系人

• 项目规划：包括制订项目计划，确定项目范围，配置项目人力资源，制订项目风险管理计划，编制项目预算表，确定项目预算表，制订项目质量保证计划，确定项目沟通计划，制订采购计划等。

• 项目执行：当项目启动和策划中要求的前期条件具备时，项目即开始执行，进行实施项目。

• 项目监控：跟踪与控制项目

• 项目收尾：包括项目移交评审，项目合同收尾，项目行政收尾工作。

项目管理是在项目活动中运用专门的知识、技能、工具和方法，使项目达到预期目标的过程；是以项目作为管理对象，通过一个临时性的、专门的组织对项目进行计划、组织、执行和控制，并在时间、费用、性能、质量等方面达到预期目标的一种系统管理方法。项目管理贯穿整个项目的生命周期，是对项目的全过各管理。

项目管理，试图获得对5个变量的控制：时间、成本、质量、范围、风险。

单项目管理包括：

(1)项目范围管理：为了实现项目的目标，对项目的工作内容进行控制的管理过程。它包括范围的界定、范围的规划、范围的调整等。

(2)项目时间管理：为了确保项目最终的按时完成一系列管理过程。它包括具体活动界定，活动排序，时间估计，进度安排及时间控制等各项工作。

(3)项目成本管理：为了保证完成项目的实际成本、费用不超过预算，对项目成本和费用的管理过程。它包括资源的配置，成本、费用的预算以及费用的控制等各项工作。

(4)项目质量管理：为了确保项目达到客户所规定的质量要求，所实施的一系列管理过程。它包括质量规划、质量控制和质量保证等。

(5)人力资源管理：为了保证所有项目人员的能力和积极性都得到最有效地发挥和利用，所做的一系列管理措施。它包括组织的规划、人员的选择、团队的建设和项目团队管理等一系列工作。

(6)项目沟通管理：为了确保项目的信息合理的收集和传输，所需要实施的一系列管理措施。它包括沟通规划、信息传输和进度报告等。

(7)项目风险管理：涉及项目可能遇到各种不确定因素，所需要实施的一系列管理措施。它包括风险识别、风险量化、制订对策和风险控制等。

(8)项目采购管理：为了从项目实施组织之外获得所需资源或服务，所采取的一系列管理措施。它包括采购计划、采购与征购、资源的选择以及合同的管理等项目工作。

(9)项目集成管理：是指为了确保各项目工作能够有机地协调和配合，所展开的综合性和全局性的项目管理工作和过程。它包括项目集成计划的制订、项目集成计划的实施、项目变动的总体控制等。

2)项目群管理是指为了实现组织的战略目标和利益，而对一组项目(项目群)进行的统一协调管理。项目群管理可以提高高IT服务项目提供的质量，统一协调资源，降低成本，能更好地实现企业战略目标和客户需求。

项目群管理是为了实现项目群的战略目标与利益，而对一组项目进行的统一协调管理。项目群管理是以项目管理为核心。

项目群管理通常不直接参与对每个项目的日常做的工作侧重在整体上进行规划、控制和协调，指导各个项目的具体管理。

项目群管理关注项目群的组织收益管理、利益理和沟通、风险管理和问题解决、项目群计划编制与控制、商业论证管理、质量管理等。

项目群也具有其特色的生命周期，包括识别项目群、定义项目群、对项目群综合治理、项目的组合管理、项目群的收益管理、项目群的收尾管理等。

项目管理办公室(Project Management Office，PMO)，最初目的是节约成本，提高项目成功率，以及实施标准流程，以应对越来越多的项目管理任务。

项目群管理组织结构的基本形式为单类项目群组织结构、多类项目群组织结构、复合式组织结构；根据项目群是以业务为导向(职能型)，还是以客户为导向(矩阵型)，单类项目群可分为单客户项目群和单业务项目群，多类项目群可分为多客户项目群和多业务项目群。

单类项目群

(1)单客户项目群管理架构。单客户项目群是指以实现客户目标为导向，对应单独的客户，每个客户有多个IT服务业务的项目。

(2)单业务项目群管理架构。单业务项目群是指以服务为导向，对应单独的IT 服务，每个IT服务有多个客户的项目。

多类项目群

多类项目群与单类项目群最大的区别在于项目规模较大，一名项目经理已经难以协调，需要设置PMO或者IT服务总监在上层进行统一协调管理。

①多客户项目群管理框架：指按客户目标管理设置

②多业务项目群管理框架：指按业务目标管理设置

复合项目群是指单类项目群和多类项目群的组合，往往区分大客户和中小客户。大客户以客户目标管理，每个客户下有多个业务；中小客户以业务目标管理，每个业务下面有多个客户。

06

质量管理理论

全面质量管理(Total Quality Management，TQM)核心思想是在一个企业内各部门中做出质量发展、质量保持、质量改进计划，从而以最为经济的水平进行生产与服务，使用户或消费者获得最大的满意。

戴明环(PDCA)，“策划”(P)—实施(D)—检查(C)—处理(A)。

质量三部曲指的是质量策划、质量改进和质量控制，通过识别顾客的要求，开发出让顾客满意的产品，并使产品的特征最优化，同时优化产品的生产过程。这样不但能够满足客户的需求，也能满足企业的需求。

质量螺旋就是要求我们首先去识别顾客的需求，开发出适合顾客需求的产品，然后生产和销售这样的产品，使顾客获得满意。顾客得到满意之后又会产生新的需求，企业可以根据顾客的新需求进行新一轮的循环。

零缺陷(ZD)，克劳斯比的质量改进过程是以下下列4项质量管理原理为基础的：

• 质量应定义成符合要求，而不是好或优秀。

• 质量保证体系的原则是预防不合格，而不是对不合格进行评估。

• 工作标准应该是零缺陷，而不是差不多就行。

• 以不合格付出的代价来衡量质量，而不是用不合格的百分比来衡量质量。

六西格玛(6)：是一种改善企业质量流程管理的技术，以“零缺陷”的完美商业追求，带动质量成本的大幅度降低，最终实现财务成效的提升与企业竞争力的突破。

做100万件事情，其中只有3~4件是有缺陷的。6

六西格玛改进遵循五步循环改进法，即(定义Define、测量Measure、分析Analyze、改进Improve、控制Control，即DMAIC模式)。

• 定义：确定需要改进的目标及其进度，企业高层领导就是确定企业的策略目标，中层营运目标可能是提高制造部门的生产量，项目层的目标可能是减少次品和提高效率。界定前，需要辨析并绘制出流程。

• 测量：以灵活有效的衡量标准测量和权衡现在的系统与数据，了解现有质量水平。

• 分析：利用统计学工具对整个系统进行分析，找到影响质量的少数几个关键因素。

• 改进：运用项目管理和其他管理工具，针对关键因素确立最佳改进方案。

• 控制：监控新的系统流程，采取措施以维持改进的结果，以期整个流程充分发挥功效。

质量管理过程

1)质量策划是根据质量目标确定工作内容(措施)、职责和权限，然后确定程序和要求，最后才付诸实施的一系列过程。

质量策划的输入有：

• 质量方针或上级质量目标的要求

• 顾客和其他相关方的需求和期望

• 与策划内容有关的业绩或成功经历

• 存在的问题点或难点

• 过去的经验教训

• 质量管理体系已明确规定的相关的要求或程序

质量策划的内容：

①设定质量目标

②确定达到目标的途径

③确定相关的职责和权限

④确定所需的其他资源

⑤确定实现目标的方法和工具

⑥确定其他的策划需求

质量策划的输出有：

• 为什么要进行质量策划或为什么要制定该项质量计划，适当分析现状与质量方针或上一级质量目标要求，以及顾客和相关方的需求和期望之间的差距

• 通过质量策划设定质量目标

• 确定下来的各项目具体工作或措施以及负责部门或人员

• 确定下来的资源、方法和工具

• 确定下来的其他内容，如质量目标和各项措施的完成时间

2)质量控制：是保证产品和服务质量、并使产品和服务质量不断提高的一种质量管理方法。

质量控制是对生产全过程中产品质量的控制；可以通过观察记录的管理数据，及时分析生产过程中的质量问题，以便迅速采取措施，消除造成质量问题的隐患，使生产处于稳定状态。

质量控制的要点：

①质量控制范围包括生产过程和质量管理过程

②质量控制的关键点是使所有质量过程和活动始终处于完全受控状态

③质量控制的基础是过程控制

3)质量保证活动侧重于为满足质量要求提供使对方信任的证据，而质量控制活动侧重于如何满足质量要求。

质量保证工作的主要内容包括：

制定质量保证计划、过程与产品质量检查、编制质量保证工作报告和问题跟踪与持续改进。

质量保证计划应至少包括如下内容：

①质量保证的目的

②质量保证的检查范围

③质量保证检查的时间或周期

④质量保证检查的依据

⑤质量保证人员的职责和分工

⑥过程与产品质量检查

4)质量改进：是为了消除系统性或者长期性的质量问题，对现有的质量水平在控制的基础上加以提高，使质量达到一个新水平、新高度。

质量改进与质量控制不一样，但两者是紧密相关的，质量控制是质量改进的前提，质量改进是质量控制的发展方向，控制意味着维持其质量水平，改进的效果则是突破或提高。可见，质量控制是面对“今天”的要求，而质量改进是为了 “明天”的需要。

质量控制是日常进行的工作，可以操作规程中加以贯彻执行。质量改进则是一项阶段性的工作，达到既定目标之后，该项工作就完成了

质量改进活动涉及质量管理到的全过程，改进的对象既包括产品(或服务)的质量，也包括各部门的工作质量。产品质量改进是指改进产品自身的缺陷，或是改进与之密切相关事项的工作缺陷的过程。

改进项目的选择重点，应是长期性的缺陷,一般来说，应把影响企业质量方针目标实现的主要问题，有：

①市场上质量竞争最敏感的项目

②质量指标达不到规定“标准”的项目

③产品或服务质量低于行业先进水平的项目

④其他，如质量成本高的项目，用户意见集中的项目，索赔与诉讼项目，影响产品信誉的项目等

5)质量改进实施方法

(1)PDCA实施方法的7个步骤：

①明确问题

②掌握现状

③分析问题产生的原因

④拟订对策并实施

⑤确认效果

⑥防止问题再发生并标准化

⑦总结

(2)DMAIC方法：定义—测量—分析—改进—控制

6)质量管理工具

(1)质量管理旧七工具

• 统计分析表：是利用统计表对数据进行整理和初步原因分析的一种工具。

• 数据分层法：是将性质相同的，在同一条件下收集的数据归纳在一起，以便进行比较分析。

• 排列图，也称帕累托图。是分析和寻找影响质量主要因素的一种工具。

• 因果分析图：也称鱼骨图(石川图)。是将造成某项结果的众多原因，以系统的方式图解，即以图来表达结果(特性)与原因(因素)之间的关系。其形状像鱼骨。

• 直方图，也称柱状图。是表示数据变化情况的一种主要工具。

• 散布(点)图，也称相关图。是将两个可能相关的变量数据用点画在坐标图上，用来表示一组成对的数据之间是否有相关性。

• 控制图：是对生产或者服务过程的关键质量特性值进行测定、记录、评估并监测过程是否处于控制状态的一种图形方法。

质量管理旧七工具是强调用数据说话，重视对制造过程的质量控制。

(2)质量管理新七工具

• 系统图：是指系统地分析、探求实现目标的最好手段的方法。

• 关联图：是把现象与问题有关系的各种因素串联起来的图形。

• 亲和图。也称KJ法。是指把收集到大量的各种数据、资料，按照其之间的亲和性(相近性)归纳整理，使问题明朗化，从而有利于问题解决的一种方法。

• 矩阵图：是指从问题事项中找出成对的因素群，分别排列成行和列，找出其间行与列的相关性或相关程度大小的一种方法。

• 矩阵数据分析法：与矩阵图法类似，它是在矩阵图上填数据，形成一个分析数据的矩阵。

• PDPC(Process DecisionProgram Chart，过程决策程序图)法

• 箭条图法，也称矢线图法。是计划评审法在质量管理中的具体运用，使质量管理的计划安排具有时间进度内容的一种方法。

质量管理新七工具是整理、分析语言文字资料(非数据)的方法，着重用来解决全面质量管理中PDCA循环的P(计划)阶段的有关问题。

07

信息安全管理

信息安全管理体系(ISMS)是整个管理体系的一部分。它是基于业务风险的方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。

管理体系包括：组织结构、方针政策、规划活动、职责、实践、程序、过程和资源。

 

信息安全的基本属性有：

• 完整性。是指信息在存储或传输的过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。

• 可用性。是指信息可被合法用户访问并能按要求顺序使用的特性。即在需要时就可以取用所需的信息。

• 保密性。是指信息不被泄露给非授权的个人和实体，或供其使用的特性。

• 可控性。是指授权机构可以随时控制信息的机密性。

• 可靠性。是指信息以用户认可的质量连续服务于用户的特性。

信息安全管理活动主要包括：

(1)定义信息安全策略

(2)定义信息安全管理体系的范围

(3)进行信息安全风险评估

(4)确定管理目标和选择管理措施

(5)准备信息安全适用性申明

信息系统的安全保护等级共分为五级

第一级。信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级。信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级。信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或对国家安全造成损害。

第四级。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或对国家安全造成严重损害。

第五级。信息系统受到破坏后，会对国家安全造成特别严重损害。

等级保护工作的主要环节有：定级、备案、安全建设整改、等级评测和安全检查。