? 信息系統工程監(jiān)理資質管理的必要性、意義:在信息系統工程建設中實施監(jiān)理可以為工程建設提供更合理、專業(yè)、全面的保證。其意義：①可以幫助業(yè)主單位更合理的保證工程的質量、進度、投資，交合理、客觀的處理好它們之間的關系，②可以合理地協調業(yè)主單位和建設單位之間的關系，③可以有助于第三方的專業(yè)化服務功能。
? 信息系統工程監(jiān)理內容：“四控、三管、一協調”。四控：質量控制、進度控制、投資控制、變更控制；“三管”：合同管理、信息管理、安全管理。“一協調”：協調有關單位及人員間的關系。
? 信息系統工程監(jiān)理資質管理辦法：①管理體系：包括資質評審和審批、年檢、升級、降級、取消及其他相關內容；②工作流程：包括資質評審和資質審批，其資質評審又包括：評審申請、評審的受理和資料審查、對申請單位進行現場審查，出具評審報告。其資質審批又包括：審批申請、審批。
? 信息系統工程監(jiān)管等級條件:無論信息系統工程監(jiān)理的甲級資質、乙級資質還是丙級資質，其認證和評定和審批資質條件都是由綜合條件，業(yè)績、監(jiān)理能力、人才實力等四個方面的水平來審核的。
? 監(jiān)理人員資質管理：①管理部門：監(jiān)理工程師資格的管理工作由工信部資質管理辦公室來具體組織實施②評定條件：具有大學本科學歷、二年以上從事信息系統工程設計、實施、監(jiān)理工作經歷，或者具有大專學歷，四年以上從事信息系統工程設計、實施、監(jiān)理工作經歷；經過監(jiān)理工程師資格考試合格；監(jiān)理工程師資格考試，是參加人事部信息系統監(jiān)理師考試④資格管理：獲得信息系統工程監(jiān)理工程師資格后，還有登變更、重新登記、注銷、批評撤銷和吊銷等資格的日常管理。
? ITIL（IT infrastructure library,IT基礎設施庫）：于20世紀80年代后期開發(fā)，已經成為IT服務管理在世界范圍內事實上的標準。其專注于IT運營領域。其中也是IT服務管理的最佳實踐。
? IT服務管理（ITservice management,ITSM）：是一套通過服務級別協議（SLA）來保證IT服務質量的協同流程，它融合了系統管理、網絡管理、系統開發(fā)管理等管理活動和變更管理、資產管理、問題管理等許多流程的理論和實踐。而ITSMF組織則認為，是一種以流程為導向，以客戶為中心的方法，它通過融合IT服務與組織業(yè)務，提高組織在IT服務提供和服務支持方面的能力及其水平。
? IT服務管理的核心思想：是IT組織，不管它是企業(yè)內部的還是外部的，都是IT服務提供者，其主要工作就是提供低成本、高質量的IT服務。
? 實現ITSM（IT服務管理）的根本目標：①以客戶為中心提供IT服務②提供高質量、低成本的服務③提供服務是可準確計價的。
? IT服務管理的基本原理：簡單概括為“二次轉換”，第一次是“梳理”既是將各種技術管理工作進行“梳理”，從而形成典型的流程，這就實現第一次轉換，第二次是“打包”，就是將這些流程按需要“打包”成的特定IT服務，提供給用戶，這就是實現第二次轉換。
? IT服務管理的范圍：ITSM（IT服務管理）適用于IT管理而不是企業(yè)的業(yè)務管理，它是區(qū)分與ERP（Enterprise resource planning,企業(yè)資源計劃）、CRM（Customer relationship management,客戶關系管理）、SCM（Supply chain management,供應鏈管理），因為前者是面向IT管理，而后者是面向業(yè)務管理的。其ITSM（IT服務管理）不是通用的IT規(guī)劃方法，其重點燭IT的運營和管理，而不是IT的戰(zhàn)略規(guī)劃。其中IT規(guī)劃是關注IT的戰(zhàn)略問題， 而ITSM則是確保IT戰(zhàn)略得到有效執(zhí)行的戰(zhàn)術性和運營性活動。其主要任務是管理客戶和用戶的IT需求。
? IT服務管理的價值：①商業(yè)價值：確保IT流程支撐業(yè)務流程，整體上提高了業(yè)務運營的質量；通過事故管理流程，變更管理流程和服務臺等提供了更可靠的業(yè)務支持；客戶對IT有更合理的期望，并更加清楚為達到期望他們所需要的付出；提高了客戶和業(yè)務人員的生產率；提供更加及時有效的業(yè)務持續(xù)性服務；客戶和IT服務提供者之間建立更加融洽的工作關系，提高了客戶滿意度。②財務價值：降低了實施變更的成本；當軟件或硬件不再使用時，可以及時取消對其的維護合同；量體裁衣的能力，即根據實際需要提供適當的能力，如磁盤容量；恰當的服務持續(xù)性費用。③ 內部價值和創(chuàng)新價值：IT服務提供方更為清楚地理解客戶的需求，確保了服務有效支撐業(yè)務流程；更多地了解當前提供的IT服務的有關信息；改進IT支持，使業(yè)務部門能夠更加靈活地使用IT；提高了服務的靈活性和可適應性；提高了預知未來發(fā)展趨勢的能力，從而能夠更加迅速地采用新的服務需求和進行相應的市場開發(fā)。⑤員工利益：IT人員更加清楚了解對他們的期望，并有合適的流程和相應的培訓以確保能夠實現這些期望；提高IT人員的生產率；提高了IT人員的士氣和工作滿意度；使IT部門的價值得到更好的體現，從而提高了員工的工作積極性。
? 信息系統審計：IS audit，目前還沒有通用的定義，但是美國信息系統審計的權威專家將它定義為收集并評估證據以決定一個計算機系統是否有效地保護資產，維護數據完整，完成組織目標，同時最經濟的使用資源。
? 信息系統審計的目的：是評估并提供反饋、保證及建議。其關注部分分為可用性、保密性、完整性。
? 信息系統審計的理論基礎：①傳統審計理論②信息系統管理理論③行為科學理論④計算機科學
? 信息系統審計的基本業(yè)務：①系統開發(fā)審計，包括開發(fā)過程的審計、開發(fā)方法的審計，為IT規(guī)劃指導委員會及變革控制委員提供咨詢服務。②主要數據中心，網絡、通信設施的結構審計，包括財務系統和非財務系統的應用審計③支持其他審計人員的工作，為財務審計人員與經營審計人員提供技術支持和培訓同。④為組織提供增值服務，為管理信息系統人員提供技術，控制與安全指導，推動風險自評估程序的執(zhí)行。⑤軟件及硬件供應商及外包服務商提供的方案、產品及服務質量是否與合同相符審計⑥災難恢復和業(yè)務持續(xù)計劃審計⑦對系統運營效能、投資回報率及應用開發(fā)測試審計⑧系統的安全審計⑨網站的信譽審計⑩全面控制審計
? 信息系統審計的主要組成：①信息系統的管理、規(guī)劃與組織②信息系統技術基礎設施與操作實務③資產的保護④災難恢復與業(yè)務持續(xù)計劃⑤應用系統開發(fā)⑥業(yè)務流程與風險管理
? 信息系統審計的依據：①一般公認信息系統審計準則②信息系統的控制目標③其他法律及規(guī)定
基于風險的審計方法：①編制組織使用的信息系統清單并對其進行分類②決定哪些系統影響關鍵功能和資產③評估哪些風險影響這些系統及對商業(yè)運作的沖擊④在上述評估的基礎上對系統分級，決定審計優(yōu)先值、資源、進度和頻率