信息系统管理工程师教程(软考中级)

周期内自始至终对风险进行测定、跟踪及报告的程序；（4）应急费

用，并将其列入预算。

11 管理目标的确定和管理措施的选择原则是费用不超过风险所造

成的损失。

20.1.5 风险管理

12 考虑信息安全是必须注意的风险：物理破坏；人为错误；设备故

障；内、外部攻击；数据误用；数据丢失；程序错误。

13 风险管理是指识别、评估、降低风险到可以接受的程度，并实施

适当机制控制风险保持在此程度之内的过程。

14 风险分析的方法与途径：定性分析和定量分析。

15 风险分析小组、管理者、风险分析工具、企业文化决定了进行风

险分析时采用哪种中方式或两者的结合。

16 成功执行需要高级管理部门的支持和指导，管理部门需要确定风

险分析的目的和范围，指定小组进行评估，并给予时间、资金的支

持。风险小组应由不同部门的人员组成，可以是管理者、程序开发

人员、审计人员、系统集成人员、操作人员。

17 风险是指某种破坏或损失发生的可能性。

18 有形资产可以通过资产的价值进行分类，如机密级、内部访问级、

共享级、未保密级。

19 风险管理：风险分析；风险评估；控制风险。

20 风险管理方式：降低风险、避免风险、转嫁风险、接受风险

21 制定安全策略时，首先要识别当前的安全机制并评估它的有效

性。

100 / 142

22 对于每一类威胁要分别对待，采取防护措施时，要考虑：产品费

用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼

容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费

用。

23 安全措施：物理、技术、管理安全措施。

20.2 物理安全措施

24 物理安全主要包括：环境安全、设施和设备安全、介质安全。

20.2.1 环境安全

25 环境安全国家标准：GB50173-93《电子计算机机房设计规范》、

GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全

要求》。

26 健全的环境安全管理包括哪些内容？

答：（1）专门用来放置计算机设备的设施或房间；

（2）对IT资产的恰当的环境保护，包括计算机设备、通信设备、

个人计算机、局域网设备；

（3）有效的环境控制机制，包括火灾探测和灭火系统、湿度控制系

统、双层地板、隐藏的线路铺设、安全设置水管位置（远离敏感设

备）、不间断电源和后备电力供应；

（4）定期对计算机设备周边环境进行检查；

（5）定期对环境保护措施进行测试；

（6）定期接受消防管理部门的检查；

（7）对检查中发现的问题进行处理的流程。

20.2.2 设施和设备安全

101 / 142

28 设备的管理包括：购置、使用、维修和存储管理4个方面。

29 采购装备安全设备时，应遵循哪些原则？

答：（1）严禁采购和使用未经国家信息安全测评机构认可的的其他

信息安全产品；

（2）尽量采用我国自主开发研制的信息安全技术和设备；

（3）严禁直接采用境外密码设备；

（4）必须采用境外信息安全产品时，该产品必须通过国家信息安全

评测机构的认可；

（5）严禁使用未经国家密码管理部门批准和未经国家信息安全质量

认证的国内密码设备。

30 新选设备应符合《数据处理设备的安全》、《电动办公机器的安

全》国家标准。

31 信息系统安全设备的购置和安装遵循哪些原则？

答：（1）设备符合系统选型要求，并且获得批准后方可购置。

（2）凡购回的设备均应在测试环境下经过连续72小时以上的单机

运行测试和联机48小时的应用系统兼容性运行测试。

（3）通过测试后，系统才能进入试运行阶段。试运行时间长短可根

据需要自行确定。

（4）通过试运行的设备，才能投入生产系统，正式运行。

32 设备安全包括：防盗、防毁、防电磁信息辐射泄漏、防止线路截

获、抗电磁干扰及电源保护。

33 备份设备与设施的管理包括哪些内容？

答：（1）制定有关备份保存和恢复的规定；

102 / 142

（2）为所用平台和应用程序制定正式备份周期（每天、周、月）以

及生产开发测试环境。

（3）使用磁带管理系统（在办公现场内外安全保存磁带，且不能破

坏环境），定期参照磁带管理库存登记核对备份磁带的实际库存，

使用磁带识别标签并制定用来防范意外覆盖磁带内容的流程。

（4）备份进程必须与业务预期和机构持续性计划保持一致。

（5）在系统或程序修改前进行备份。

（6）定期把备份送到办公现场外的安全存放地点，备份内容包括：

数据、程序、操作系统以及文档（用户和技术手册、操作流程、灾

难恢复计划）。

（7）正式的恢复流程、正式的媒介销毁流程、从办公地点取走磁带

的流程。

（8）定期对备份的恢复能力进行测试，并定期更新磁带库存以消除

已损坏的磁带。

34 IDS是实时监测和防止黑客入侵系统及网络资源的检测系统。主

要包括：监控中心、基于网络的入侵检测器、基于主机的入侵检测

器和人为漏洞检测器（误用检测）。

20.2.3 介质安全

35 包括介质数据的安全及其本身的安全。常见的不安全情况：损坏、

泄露、意外失误。

36 损坏包括：自然灾害（地震、火灾、洪灾）、物理破坏（硬盘损

坏、设备使用寿命到期、外力破损）、设备故障（停电断电、电磁

干扰）。

103 / 142

37 一、二、三类介质应有多份备份和进行异地备份。

38 解决由于自然的或人为的灾难导致的计算机系统数据灾难，避免

单点故障的出现，只要是利用冗余硬件设备。

39 异地容错已成为数据可用性解决方案的重要组成部分，它提供了

一个远程的应用备份现场，能防止因本地毁灭性灾难引起的数据丢

失。容灾方案的核心是两个关键技术：数据容灾和应用的远程切花

（发生灾难时，可以很快的异地切换），而两者不能截然分开，应

用切换以数据容灾为基础。

40 泄漏包括：电子辐射（侦听微机操作过程）、乘机而入（合法用

户进入安全进程后中途离开）、痕迹泄露（密码、密钥保密不善，

被非法用户获得）。

41 物理访问控制从根本上保护了物理器件和媒介免遭损坏和窃取，

为防止泄露所进行的物理安全管理包括哪些内容？

答：（1）一套物理安全制度，规定了安全控制标准、常识、必须遵

守的规定以及出现违规事件时应采取的措施。

（2）在大楼、机房、通讯室以及大楼以外其他存放场所中，对设备、

数据、媒介和文档进行访问的流程。

（3）适宜的物理控制机制，包括安全警卫、身份标志、生物技术检

测、摄像头、防盗警报、个人计算机及外围设备标签、条形码和锁。

（4）检查监控制度是否得到遵守，包括定期检查事件回报和登记表。

（5）及时检查违反物理访问规定的事件。

42 对电磁泄露造成泄密的防范措施有哪些？

104 / 142

答：对主机房及重要存储、收发部门进行屏蔽处理。具有高效屏蔽

效能的屏蔽室，并与外界的各项联系、连接中均要采取相应的隔离

措施和设计。

（2）对本地网、局域网传输线路传输辐射的抑制，采取光缆传输的

方式。

（3）对终端设备辐射的防范。采用主动式干扰设备（干扰机）。

43 意外失误（操作失误、意外疏忽），采取应付突发事件的计划来

指导工作。

20.3 技术安全措施

44 技术安全措施包括2个方面内容：系统安全和数据安全。

20.3.1 系统安全措施

45 保障信息系统安全以面临的安全风险为出发点，以安全策略为核

心。

46 系统安全的措施包括哪些内容？

答：系统管理，系统备份，病毒防治、入侵检测系统配备。

47 系统管理的过程是软件升级；薄弱点扫描；策略检查；日志检查；

定期监视。

48 系统备份在国内份额发展先后经历了单击备份、局域网络备份、

远程备份三个阶段。

49 系统备份的方法：文件备份；服务器主动式备份；系统复制；跨

平台备份；SQL数据库备份；分级式存储管理；远程备份。

50 目前的备份的最好的解决方案是基于建立备份中心的具有“容

灾”性能的远程备份解决方案，容灾和容错有哪些不同？

105 / 142

答：容错就是系统运行过程中，若某个子系统或部件发生故障，系

统将能够自动诊断出故障所在位置和故障的性质，并自动启动冗余

或备份的子系统或部件，保证系统能够继续正常运行，自动保存或

者恢复文件和数据。容灾也是为了保证系统的安全可靠，但是所针

对的导致系统中断的原因不同，容灾是为了防止由于自然灾害等导

致整个系统全部或大部分发生的问题。

51 按工作方式不同，系统备份可分为哪几种类型？

答：（1）完全备份，可将指定目录下的所有数据都备份在磁盘或磁

带中，占用比较大的磁盘空间。

（2）增量备份，最后一次完全备份拷贝后，仅对数据的变动进行备

份。

（3）系统备份，对整个系统进行备份，因为在系统中同样具有许多

重要数据。

52 病毒防治：预防病毒和消除病毒，预防包括2个方面：对已知病

毒的预防和对未知病毒的预防。对已知病毒的预防采用特征判定技

术或静态判定技术，对未知病毒的预防是行为规则判定技术（动态

判定技术）。

53 计算机病毒的预防技术主要包括：磁盘引导区保护、加密执行程

序、读写控制技术和系统监控技术。

54 网络系统中安装的入侵检测系统具有哪些功能？

答：（1）实时监视网络上正在进行通信的数据流，分析网络通信会

话轨迹，反映出内外网的连接状态。

106 / 142

（2）通过内置已知网络攻击模式数据库，能够根据网络数据流和网

络通信的情况，查询网络事件，进行相应的响应。

（3）能够根据发生的网络安全事件，启用配置好的报警方式，如

E-mail、声音报警。

（4）提供网络数据流量统计功能，能够记录网络通信的所有数据包，

对统计结果提供数表与图形两种显示结果，为事后分析提供依据。

（5）默认预设了很多的网络安全事件，保障客户基本的安全需要。

（6）提供全面的内容恢复，支持多种常用协议。

（7）提供黑名单快速查看功能，是管理员可以方便的查看需要特别

关注的主机的通信情况。

（8）支持分布式结构，安装于大型网络的各个物理子网中，一台管

理器可管理多台服务器，达到分布安装、全网监控、集中管理。

20.3.2 数据安全措施

55 数据安全包括哪些内容？

答：（1）物理完整性，数据能够免于物理方面破坏的问题，如掉电、

火灾；（2）逻辑完整性，能够保持数据库的结构，对一个字段的修

改不至于影响其他字段；（3）元素完整性，在每个元素的数据是准

确的；（4）数据的加密；（5）用户鉴别，确保每个用户被正确识

别，避免非法用户入侵（6）可获得性，用户一般可访问数据库和所

有授权访问的数据；（7）可审计性，能够追踪到谁访问过数据库。

56 数据安全措施：数据库安全、终端识别、文件备份、访问控制。

57 终端安全主要解决计算机信息的安全保护问题，具有哪些功能？

107 / 142

答：（1）基于密码或密码算法的身份验证，防止非法使用机器；（2）

自动和强制存取控制，防止非法访问文件；（3）多级权限管理，防

止越权操作；（4）存储设备安全管理，防止非法软盘复制和硬盘启

动；（5）数据和程序代码加密存储，防止信息被窃；（6）预防病

毒，防止病毒侵袭；（7）严格的审计跟踪，便于追查责任事故。

58 终端识别也成为回叫保护。

59 访问控制是指防止对计算机及计算机系统进行非授权访问的存

取，主要采用两种方式实现：（1）限制访问系统的人员；（2）限

制进入系统的用户所能做的操作。前者通过用户识别与验证来实现，

后者依靠存取控制实现。访问控制手段包括：用户识别代码、密码、

登录控制、资源授权（用户配置文件、资源配置文件、控制列表）、

授权核查、日志和审计。

60 用户表示与验证是访问控制的基础，是对用户身份的合法验证，

常用的方法有哪几种？

答：（1）要求用户输入一些保密信息，如用户名和密码。

（2）采用物理识别设备，如访问卡、钥匙和令牌。

（3）采用生物统计学系统，基于某只特殊物理特性对人进行唯一性

识别，如签名识别法、指纹识别法、语音识别法。

61 除了密码外，访问控制的特性还包括哪些内容？

答：（1）多个密码，即一个密码用于进入系统，另一个密码用于规

定操作权限。

（2）一次性密码，系统生成一次性密码的清单。

108 / 142

（3）基于时间的密码，访问使用的正确密码随时间变化，变化基于

时间和一个秘密的用户钥匙，密码隔一段时间就发生变化，变得难

以猜测。

（4）智能卡，访问不但需要密码，还需要物理的智能卡才有权限接

近系统。

（5）挑战反应系统，使用智能卡的加密的组合来提供安全访问控制

/身份识别系统。

62 存取控制是对所有的直接存取活动通过授权进行控制以保证计

算机系统安全保密机制，是对处理状态下的信息进行保护。有两种

方法：隔离技术法、限制权限法。

63 隔离技术的主要实现方式：物理隔离方式、时间隔离方式、逻辑

隔离方式、密码技术隔离方式。

64 限制权限是限制特权以便有效的限制进入系统的用户所进行的

操作。对用户进行分类管理，安全密级授权不同用户分在不同类别；

对目录文件的访问进行严格的权限控制，防止越权操作；放置在临

时目录或通信缓冲区的文件要加密，用完尽快移走或删除。

20.4 管理安全措施

65 管理安全措施包括2个方面：运行管理和放犯罪管理。

66 运行管理是过程管理是实现全网安全和动态安全的关键，包括日

常运行的管理、运行情况的记录以及对系统运行情况进行检查和评

价。

67 运行管理包括哪些内容？

109 / 142

答：（1）出入管理：根据安全等级和涉密范围进行分区控制；对机

房和区域的进出口进行严格控制。

（2）终端管理：目的是增强对终端用户管理的有效性；提高终端用

户的满意度；降低系统运营管理成本；提升企业竞争力。终端管理

包括3个模块：事件管理、配置管理、软件分发。

（3）信息管理：健全的信息管理包括如下内容：数据所用者的制度，

至少包括数据分类（机密、限制、公开）、数据管理职责、数据保

存期限和销毁方法；数据拥有权限的交互方法；机密数据的特别处

理；数据所有者的责任、对自己数据访问的授权和监督、定义数据

备份需求；处理数据输出错误、对数据的错误提交进行更正和重新

提交、核对输出、处理冲突；审核过程有利于跟踪最初的源文件或

输入数据、跟踪主控文件的更改和更新、跟踪争议和出错信息的更

正和处理过程、为现有的需求重新定期评估已有的报告或输出。

20.5 相关的法律法规

68 信息系统法律的主要内容：信息网络的规划与建设、信息系统的

管理与经营、信息系统的安全、信息系统和知识产权保护、个人数

据保护、电子商务、计算机犯罪和计算机证据与诉讼。

69 信息安全管理涉及的方面：人事管理、设备管理、场地管理、存

储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。

70 我国信息安全管理的基本方针：兴利除弊、集中控制、分级管理、

保障国家安全。

20.6 安全管理的执行

110 / 142

71 信息安全管理的第一步是安全组织机构的建立，首先确定系统安

全管理员（SSA）的角色，并组成安全管理小组或委员会，制定出符

合本单位需要的信息安全管理策略，包括安全管理人员的义务和职

责、安全配置管理策略、系统连接安全按策略、传输安全策略、审

计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物

理安全策略、系统安全评估原则。

72 执行安全管理要做些什么？

答：（1）从管理体制上保证安全策略切实可行，指定安全管理条例，

要求每个员工必须遵守。

（2）从管理手段上保证安全策略切实可行，

（3）从管理成员上保证安全策略切实可行，需要网络管理人员不断

提高自己的技术水平，使管理能够得到有效落实。

（4）从管理支持上保证安全策略切实可行，和国内外安全产品厂商

或咨询顾问公司建立密切关系。

73 指定安全管理制度，实施安全管理的原则是什么？

答：多人负责原则、任期有限原则、职责分离原则。

20.6.1 安全性管理指南

74 安全性管理指南的内容是什么？

答：（1）制定运行管理手册。使管理人员在工作中的一言一行都有

章可依，有据可查。

（2）编写完善、详细的用户手册，使用户可以根据书面的规定来实

施操作，在遇到疑问的时候可以找到依据。

111 / 142

（3）安全检查清单是进一步的详细信息，为实现安全性而列出了一

些推荐做法和最佳实践，使各项设置保持正确。

20.6.2 入侵检测

75 为了便于入侵检测的进行，防止系统受到攻击，从哪些方面实

现？

答：（1）使用目前世界安全技术和产品；

（2）设置对文件、目录、打印机和其他资源的访问权限；

（3）加强密码管理；

（4）在网络用户准备登录时，对其进行严格的身份认证；

（5）通过对网络文件进行严格的访问控制达到限制用户行为的目

的。

76 进行入侵检测的益处有哪些？

答：（1）通过检测和记录网络中安全违规行为，惩罚网络犯罪、防

止网络入侵事件的发生。

（2）检测其他安全措施未能阻止的攻击或安全违规行为。

（3）检测黑客在攻击前的探测行为。

（4）报告计算机或网络中存在的安全威胁。

（5）提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，

利于其进行修补。

（6）在大型、复杂的网络中布置入侵检测系统，显著提高网络安全

管理的质量。

20.6.3 安全性强度测试

20.6.4 安全性审计支持

112 / 142

77 审计记录包括哪些信息？

答：事件发生的时间和地点；引发事件的用户；事件的类型；事件

是否成功。

78 安全管理的执行包括：制定安全性管理指南、布置入侵检测系统、

进行安全性强度测试、部署安全性审计支持。

第21章 性能和能力管理

21.1.2 性能评价指标

1 反映计算机负载和工作能力的指标：系统响应时间、系统吞吐率、

资源利用率。

2 系统响应时间是计算机完成某一任务（程序）所花费的时间。为

用户CPU时间和系统CPU时间之和。

系统时间主要是指访问磁盘、访问主存和I/O等待世间，因此衡量

响应时间主要是衡量用户CPU时间。

3 用户CPU时间取决于3个特征：时钟周期，指令平均时钟周期数、

程序中总的指令数。

4 系统吞吐率是单位时间内的工作量。

5 系统额定能力是指理想状态下，系统可承受的最大吞吐率；可用

能力是指能使用户高效工作的能力；可用能力与额定能力之间的比

例就称为系统的效率。

6 系统吞吐率与负荷之间的关系：在系统负荷较小时，吞吐率指标

增长很快，到某个点时，吞吐率指标的增长率会减低，该点的吞吐

113 / 142

率称为拐点能力，继续增加负荷，到某一点时，吞吐率会逐步降低，

系统出现超负荷现象。

7 反映系统吞吐率的指标：每秒百万次指令（MIPS）、每秒百万次

浮点运算（MFLOPS）、位每秒（BPS）、数据报文每秒（PPS）、事

务每秒（TPS）。

8 资源利用率指标以系统资源处于忙状态的时间为标准。对于一个

平衡系统而言，系统空闲与忙的世间片均匀的分布在正运行时间内，

因此系统资源既不会太忙也不会太闲。

9 其他综合性能指标包括：可靠性、可维护性、可扩展性、可用性、

功耗、兼容性、安全性、保密性、环境适应性。系统可靠性、可维

护性、可用性和功耗都是定量指标，兼容性、安全性、保密性和可

扩展性属于定性指标。

21.1.3 设置评价项目

10 系统性能评价项目主要是CPU、主存、磁盘、网络。

11 CPU，考察它在系统中的工作性能要关注CPU利用率、队列长度、

每秒中断次数。内存，参考分页文件数目，如果单位事件内此类文

件使用频繁（每秒个数大于5），就应增加内存，考察内存的性能参

数包括内存利用率、物理内存和虚拟内存的大小。磁盘，硬盘忙和

空闲的事件比例、每秒读写次数、每次传输平均耗时和硬盘队列长

度。网络，网络发送接受的数据量、带宽的利用情况。

21.1.4 性能评价的方法和工具

12 性能评价方法可分为2类：模型法和测量法。

13 模型法又分为分析模型法和模拟模型法。

114 / 142

14 分析模型法是在一定假设条件下，计算机系统参数与性能指标参

数之间存在着某种函数关系，按其工作负载的驱动条件列出方程，

用数学方法求解。使用最多的是排队模型，包括三个部分：

（1）输入流，指各种类型的“顾客”按什么样的规则到来。

（2）排队规则，对于来的顾客按怎样的规则次序接受服务。

（3）服务机构，同一时刻有多少服务设备可接纳顾客。

15 为使模型的使用对系统的评价有价值，必须解决哪些问题？

答：（1）设计模型。

（2）解模型。

（3）校准和验证模型。

16 模拟分析法是用模拟程序的运行去动态的表达计算机系统的状

态，并进行统计分析，得出性能指标。

17 使用测量方法，要解决哪些问题？

答：（1）根据系统评价目的和需求，确定测量的系统参数。

（2）选择测量的方法和工具。测量的方式有两种：采样式和跟

踪式。常用的测量工具可分为硬件测量工具、软件测量工具、固件

测量工具、混合型测量工具。

（3）测量时工作负载的选择。有两种方法：一种是让计算机系

统在日常的使用状况下运行，但选择某些与测量者要求相接近的时

间区间。另一种是由测量者编写一组能反应他们要求的典型程序，

或者选择市场上已有的一些适合他们要求的典型程序。两种工作负

载相比，前一种工作负载常在系统系能监控时使用；后一种工作负

载在比较各种系统或选购新系统时使用。

115 / 142

18 常用的系统性能的基准测试程序有哪些？

答：（1）实际的应用程序方法（2）核心基准程序方法（3）简单基

准测试程序（4）综合基准测试程序（5）整数测试程序，

（6）浮点测试程序（7）Wetstone基准测试程序（8）SPEC基准测

试程序（9）TPC基准程序

21.1.5 评价结果的统计与比较

19 性能评价结果通常有2两个指标：峰值性能和持续性能。

20 峰值性能是指在理想情况下，计算机系统可获得的最高理论性能

值，不能反应系统的实际性能，实际性能往往只有峰值性能的

5%-35%。

21 持续性能常用的三种平均值是算术、几何、调和平均值。调和平

均值是真正与所测试程序的运行时间总和成反比的，是最为精确的。

对各种计算机进行比较时，并对其性能规格化时，用几何平均值。

21.2 系统能力管理

22 能力管理是一个从动态角度考虑组织业务与系统基础设施之间

的关系，它要考虑哪三个问题？

答：（1）IT系统的成本相对于组织的业务需求而言是否合理。

（2）现有IT系统的服务能力是否满足当前及将来的客户需求。

（3）现有的IT系统能力是否发挥了最佳效能。

21.2.1 能力管理概述

23 能力管理的范围包括哪些？

答：（1）所用硬件设备，包括PC、工作站和各类服务器。

（2）所有网络设备，包括LAN、WAN、交换机和路由器。

116 / 142

（3）所有外部设备，包括各种的大容量存储设备、打印机。

（4）所有软件，包括自主和外购的系统和应用程序软件。

（5）人力资源，所用参与IT系统运营管理的技术人员和管理

人员。

24 能力管理的目标包括哪些内容？

答：确保以合理的成本及时地提供IT资源以满足组织当前及将来的

业务需求。具体包括：

（1）分析当前的业务需求和预测将来的业务需求，并确保这些需求

在指定能力计划时得到充分的考虑。

（2）确保当前的IT资源能够发挥最大的效能、提供最佳的服务绩

效。

（3）确保组织的IT投资按计划执行，避免不必要的资源浪费。

（4）合理预测技术的发展趋势，从而实现服务能力与服务成本、业

务需求与技术可行性的最佳组合。

21.2.2 能力管理活动

25 能力管理中的循环活动包括：能力数据监控、能力评价和分析诊

断、能力调优和实施变更以及规划和构建能力数据库。

21.2.3 设计和构建能力数据库

26 能力数据库中的数据包括：技术数据、服务数据、业务数据、资

源应用数据、财务数据。

27 规划和构建能力数据库时应考虑哪些问题？

答：（1）用于集中式数据存储的硬件和软件的可用性；

（2）指定专人负责能力数据库的更新和维护，其他人只有查阅权限。

117 / 142

（3）定期对能力数据库中的内容进行审查和核对。

28 能力数据库中的信息有两个用途：为制作提交给管理层和技术人

员的绩效报告和能力管理报告提供基础；预测未来的能力需求。

29 能力数据库的结构和存储包括哪些内容？

答：输入数据

（1）业务数据，包括系统服务的用户数量；公司分支机构的数目和

位置；系统注册用户的数目；终端PC的数量；预期工作量的季节变

化；业务交易网站的数目。

（2）服务数据，如交易响应时间、对作业进行批处理的时间。

（3）技术数据，

（4）财务数据，来源有财务计划；IT预算；外部提供商新软、硬件

升级的花费。

（5）数据应用资源，

输出数据：（1）服务和组件报告。（2）例外报告。（3）能力预测。

21.2.4 能力数据监控

30 监控中常见的性能数据有哪些？

答：CPU使用率、内存使用率、每一次作业的CPU占用率、磁盘IO

和存储设备利用率、队列长度、每秒处理作业数、请求作业响应时

间、登录和在线用户数、网络节点数量。一类是监控系统容量（吞

吐量）、一类是监控系统性能（响应时间）。

31 阀值是正常运转时所要求基准水平，设置阀值的情况：为特定组

件设定；为特定系统服务设定。

32 系统和用户服务的用户响应时间策略有哪些？

118 / 142

答：（1）在客户端和服务器端的应用软件内植入专门的监控代码。

（2）采用装有虚拟终端软件的模拟系统。

（3）使用分布式代理监控软件。

（4）通过辅助监控设备来跟踪客户端样本。

21.2.5 能力分析诊断

33 对监控数据进行分析主要针对的问题有哪些？

答：资源争夺、资源负载不均衡、不合理的锁机制、低效的应用逻

辑设计、服务请求的突增、内存占用效率低。

21.2.6 能力调优和改进

34 能力调优的策略有哪些？

答：均衡负载；均衡磁盘I/O；定义一套良好的锁规则，说明锁的级

别以及何时应该用锁；有效利用内存。

21.2.7 实施能力变更

35 正式的能力变更管理流程来实现能力变更有哪些好处？

答：（1）对使用该服务的用户将会产生较少的不利影响。

（2）提高用户的效率。

（3）提高IT部门的工作效率。

（4）强化对关键应用服务的管理和应用。

21.2.8 能力管理的高级活动项目

36 能力管理的高级活动包括哪些内容？

答：（1）需求管理，首要目标是影响和调节客户对IT资源需求。

（2）模拟测试，目标是分析和测试未来情况发生变更对能力配

置规划的影响。

119 / 142

（3）应用选型，目的在于对计划性应用系统变更或实施新的应

用系统所需的资源进行估计。需要考虑初始的系统分析和设计阶段

就必须确定所需的服务级别；新建应用系统的弹性。

21.2.9 能力计划、考核和报告

37 能力报告的编制和更新必须按照规定的时间间隔进行。

38 典型的能力计划包括哪些内容？

答：计划范围、假设条件、管理概要、业务说明、服务概要、资源

概要、服务改进方案、成本核算模型及建议。服务概要和资源概要

均包括对当前情况的介绍和未来情况的预测两部分。

39 能力管理报告的内容包括哪些？

答：能力计划的控制信息、流程实施中所用的资源、有关服务能力

和绩效改进活动的进展及有关例外事项报告（能力实际利用程度与

计划利用程度之间的差异及其变化趋势和对服务的影响，能力利用

程度预期在长期和短期内上升和下降的情况）。

第22章 系统维护

22.1 概述

22.1.1 系统维护的任务和内容

1 系统维护的内容：系统应用程序维护；数据维护；代码维护；硬

件设备维护；文档维护。

22.1.2 系统维护的方法

2 提高系统的可维护性，需要从哪些方面着手？

120 / 142

答：（1）建立明确的软件质量目标和优先级；（2）使用提高软件

质量的技术和工具；（3）进行明确的质量保证评审；

（4）选择可维护性的程序设计语言； （5）系统的文档。

22.2 制定系统维护计划

22.2.1 系统的可维护性

3 信息系统的可维护性是对信息系统进行维护的难易程度的度量。

影响系统可维护性主要有三个方面：可理解性、可测试性、可修改

性。

4 国外企业一般通常把维护过程中各项活动所消耗的时间记录下

来，用来间接衡量系统的可维护性，详细内容包括什么？

答：识别问题的时间；管理延迟的时间；管理工具的收集时间；分

析诊断问题的时间；修改设计说明书的时间；修改程序源代码的时

间；局部测试时间；系统测试和回归测试时间；复查时间；恢复时

间。

22.2.2 系统维护的需求

5 系统维护的需求主要源于决策层的需要、管理机制或策略的改变、

用户意见、对信息系统的更新换代。

6 系统维护的项目包括哪些内容？

答：（1）硬件维护，对硬件系统的日常维护和故障处理。

（2）软件维护，在软件交付使用后，为了改正软件当中存在的

缺陷、扩充新的功能、满足新的需求、延长软件寿命而进行的修改

工作。

121 / 142

（3）设施维护，规范管理监视的流程，IT人员自发地维护系统

运行，主动的为其他部门、乃至外界客户服务。

系统维护的重点是应用软件的维护工作，按软件维护的不同性质划

分为4种类型：纠错性维护、适应性维护、完整性维护、预防性维

护，根据对各种维护工作分布情况的统计结果，一般纠错性维护占

21%，适应性维护占25%，完整性维护达50%，预防及其他类型的维

护仅为4%。

7 根据系统运行的不同阶段可哪4种不同级别的维护？

答：（1）一级维护，即最完美的支持，配备足够数量工作人员，他

们在接到请求时，提供随时对服务请求进行响应的速度，并针对系

统运转的情况提出前瞻性的建议。

（2）二级维护，提供快速的响应，工作人员在接到请求时，提

供24小时内对请求进行响应的速度。

（3）三级维护，提供较快的响应，工作人员在接到请求时，提

供72小时内对请求进行响应的速度。

（4）四级维护，提供一般性的响应，工作人员在接到请求时，

提供10日内对请求进行响应的速度。

22.2.3 系统维护计划

8 通常在设计系统维护计划之前，要考虑哪些因素？

答：（1）维护的背景，包括系统当前情况、维护的对象、维护工作

的复杂性和规模。

（2）维护工作的影响，包括新系统目标的影响、对当前工作进

度的影响、对本系统其他部分的影响、对其他系统的影响。

122 / 142

（3）资源的要求，包括维护提出的时间要求、维护所需费用（与

步进行维护所造成的损失比是否核算）、维护所需的工作人员。

9 做系统维护计划要考虑很多个方面，包括维护预算、维护需求、

维护系统、维护承诺、维护负责人、维护执行计划、更替。

10 系统维护具有很高的代价，占整个系统生命周期总费用的60%。

有形代价直接来自维护工作本身；无形代价来自维护工作产生的效

果和影响。

11 维护工作可分为非生产性活动和生产性活动2部分，非生产性活

动是理解源代码的功能、解释数据结构、接口特点和性能限度，此

部分工作量和费用与系统的复杂程度、维护人员的经验水平以及对

系统的熟悉程度密切相关；生产性活动主要是分析评价、修改设计

和编写程序代码，工作量和费用与系统开发的方式、方法、采用的

开发环境有直接关系。

12 维护需求单中包含哪些内容？

答：需求提出部门、需求提出人员姓名、需求提出时间、拟修改子

系统名称、拟修改功能名称、具体修改要求、系统负责人签字、功

能完成情况记录、功能完成人员姓名、功能完成时间。

22.2.4 系统维护的实施形式

13 系统维护的实施有4中形式：每日检查、定期维护、预防性维护、

事后维护。

22.3 系统维护工作的实施

22.3.1 执行维护工作的过程

14 维护产生的修改对系统有哪几个方面的副作用？

123 / 142

答：（1）对源代码的修改可能会引入新的错误；

（2）对数据结构进行修改可能会带来的数据的不匹配错误；

（3）任何对源程序的修改，如不能对相应的文档进行更新，造成源

程序与文档的不一致，将给今后的应用和维护工作造成混乱。

22.3.2 软件维护

15 软件维护管理包括哪些内容？

答：（1）任何人员不得擅自对系统文件进行删除和修改，软件操作

人员不得对系统文件进行任何内容的操作。

（2）系统管理员对软件系统进行全面维护，并进行记录。

（3）定期对系统进行病毒检查。

（4）建立故障报告制度。

（5）对软件进行修改升级时，首先要全面备份系统数据，做好新旧

系统数据的衔接工作。

16 软件维护按哪些方法分类，包括哪些类型？

答：（1）按维护的具体目标分类：完整性、适应性、纠错性、预防

性；（2）按开发方分类：自己公司开发的、合同开发的、市场购买

的。

22.3.3 硬件维护

17 硬件维护管理的要求是什么？

答：（1）核算中心网络应配备不间断电源。工作场地应配备必要的

火警设施、消防器材，严禁烟火。

（2）操作人员应每天保持设备环境的清洁整齐，爱护设备。在

系统管理员的指导下，每周进行设备保养。

124 / 142

（3）系统管理员每周全面检查一次硬件系统，做好检查记录，

发现问题及时处理，以保证系统正常运行。

（4）每月对计算机场地的安全进行检查，包括电源、消防、报

警、防鼠、防电磁波、防雷击、防静电措施，及时消除隐患。

第23章 新系统运行及系统转换

1 系统转换，也称为系统切换与运行，是指以新系统替换旧系统的

过程，即旧系统停止使用，新系统开始运行。

23.1 制定计划

23.1.1 系统运行计划

2 系统运行计划的内容包括：运行开始的时间、运行周期、运行环

境、运行管理的组织机构、系统数据的管理、运行管理制度、系统

运行结果分析。

23.1.2 系统转换计划

3 系统转换计划应充分考虑新系统的特点和新旧系统的差别，包括：

对新旧系统的功能、数据、处理方式的比较；文件或数据的转换；

业务规章的调整。

4 系统转换计划包括的内容：系统转换项目、系统转换负责人、系

统转换工具、系统转换方法、系统转换时间表（预计系统转换测试

开始时间和预计系统转换开始时间）、系统转换费用预算、系统转

换方案、用户培训、突发事件/后备处理计划。

23.2 制定系统运行体制

5 系统运行体制是整个系统运行的方法、流程和规定。

125 / 142

23.3 系统转换测试与运行测试

6 系统转换测试的运行步骤是什么？

答：（1）调研转换到本环境下的大致影响；（2）选择可用的系统；

（3）选择验证项目；（4）准备转换系统；

（5）执行转换测试；（6）评价转换测试结果。

23.3.1 系统转换测试

7 判定系统转换是否成功要考虑些什么？

答：系统转换是否达到预期的目标；系统转化是否产生了副作用；

是否实现了成本效益原则。

8 进入系统转换的前提条件包括技术上和组织上（业务上）的准备，

具体包括哪些内容？

答：技术方面的前提条件：

（1）新系统已开发完成并经过各项测试（单元测试、功能测试、集

成测试、压力测试）；

（2）数据转换程序已开发完成并经过各项测试（单元测试、功能测

试、集成测试）。

（3）新系统在数据转换后的数据基础上进行了实际数据的测试。

技术方面的准备工作：

（1）准备好转换作业到新系统所需的程序组，该程序组可以将作业

转换到新系统中运行，以便测试新系统的运行情况。

（2）准备好转换前后验证转换结果的程序组，该程序组可以对作业

转换到新系统前后的运行结果进行比较，来测试新系统的运行是否

正确。

126 / 142

组织上的准备工作：

（1）组织落实（各级部门成立相应的领导小组和工作小组，最高层

成立统一的、包括各部门负责人的指挥中心）

（2）业务操作手册、规章制度、管理办法的制定。

（3）培训手册的编写与培训。

（4）模拟运营计划的制定与实施。

9 执行转换测试，把质量标准、检查点、和审查作为转换测试工作

的组成部分，进行严格的测试和验收，包括：功能测试、运作测试、

品质测试、综合测试。

23.3.2 运行测试

10 运行测试是转换到新系统后的试运行环节，目的是测试新系统转

换后的运行情况，对采用新系统产生的效果的检测。

23.4 系统转换

23.4.1 系统转换计划

11 系统转换计划包括哪些内容？

答：（1）确定转换项目；（2）起草作业运行规则；（3）确定转换

方法；（4）确定转换工具和转换过程；（5）转换工作执行计划；

（6）风险管理在计划；（7）系统转换人员计划；

12 系统转换的方法有哪几种，并详细说明？

答：（1）直接转换，在确定系统准确无误后，用新系统直接替换旧

系统，终止旧系统运行，中间没有过度阶段。

（2）试点后直接转换，某些系统有一些相同部分，转换时选择一个

作为试点，试点成功后，其他部分可以同时进行直接转换。

127 / 142

（3）逐步转换，分期分批的进行转换。

（4）并行转换，安排一段新旧系统并行运行的时期，直到新系统正

常运行有保证时，才停止旧系统运行。

13 转换所用的工具包括基本软件、通用软件、专用软件、其他软件。

14 风险管理计划的内容是什么？

答：（1）系统环境转换，保证原来所有旧系统的访问，都能转化到

新系统上。

（2）数据迁移，是将历史数据进行清洗、转换，并装载到新系统的

过程，同时也是新系统今后稳定运行的有力保障。

（3）业务操作的转换，在转换到新系统后，需要对业务处理进行跟

踪检查，及时发现由于业务操作可能导致的问题。

（4）防范意外风险，除了对计划内风险设置应对措施外，还有防范

其他风险的措施，从而具备一种应对各种风险的报告、决策机制。

15 转换工作涉及的人员：转换责任人、系统运行管理责任人、从事

转换工作的人员、从事开发的人员、网络工程师和数据库工程师。

16 工作人员应具备的素质：实用经验、行业经验、分析技能、具体

的技术专长、领导才能及经验。

17 带领好新系统转换团队应具备的经验：正式的任务和职责；培训

和知识共享举措；任务目标、计划、进度、问题及风险的传达；对

人员配备水平、变化、缺少量及工作量的监控。

23.4.2 系统转换的执行

14 为了顺利的执行系统转换工作，需要哪些必要的工作？

答：（1）一套包括转换结束后的审查阶段在内的转换管理方法；

128 / 142

（2）一个包括任务、资源及时间安排等方面在内的系统转换计划；

（3）由负责质量监督或内部审计的人员完成的实施后审查；

（4）使用模板并进行调查，以收集转换结束后的材料，并征求转换

工作参与者的反馈。

（5）在阶段和/或转换工作完成后，召开项目结束后的审查会议；

（6）召开汇报会以交流实施后审查的结果，确保将改进措施编入现

有方针、规程及未来的项目。

15 系统转换的执行有转换负责人、系统运行管理负责人、从事转换

工作的人员、开发负责人、从事开发的人员、网络工程师、数据工

程师组成，并按转换计划执行，同时要建立系统使用说明文档，主

要有《用户操作手册》（用户使用说明书）、《计算机操作流程》、

《程序说明书》。

23.5.2 开发环境的管理

16 可以使用工具来辅助工作人员对开发环境进行管理，也可以使用

管理软件，适合于开发环境的管理软件和相关厂商提供的服务，可

以做到在应用中的问题发生前解决问题。典型的厂商有Mercury、

Quest、Borland。

23.5.3 系统发行和版本管理

17 版本管理主要负责协调项目经理的日程，以及将产品从最终测试

阶段转移到加工制造阶段，完整记录开发过程中各项更改历程并实

现版本管理软件来进行管理。

18 版本管理完成哪些主要任务？

129 / 142

答：建立项目；重构任何修订版的某一项或者某一文件；利用加锁

技术防止覆盖；当增加一个修订版时要求输入变更描述；提供比较

任何两个修订版的使用工具；采用增量存储方式；提供对修订版历

史和锁定状态的报告功能；提供归并功能；允许任何时候重构任何

版本；设置权限；建立晋升模型；提供各种报告。

19 新系统运行与系统转换大致可分为几个步骤，每个步骤的工作主

要有哪些？

答：（1）制定计划，包括系统运行计划和系统转换计划，

系统运行计划包括：运行开始的时间、运行周期、运行环境、运行

管理的组织机构、系统数据的管理、运行管理制度、系统运行结果

分析；系统转换计划包括：系统转换项目、系统转换负责人、系统

转换工具、系统转换方法、系统转换时间表（预计系统转换测试开

始时间和预计系统转换开始时间）、系统转换费用预算、系统转换

方案、用户培训、突发事件/后备处理计划。

（2）制定系统运行体制，即建立整个系统运行的方法、流程和规定。

（3）系统转换测试与运行测试：1 调研转换到本环境下的大致影响；

2 选择可用的系统；3 选择验证项目；4 准备转换系统；5 执行转

换测试；6 评价转换测试结果。

（4）新系统运行和系统转换的执行。

（5）新系统运行和系统转换的评估。

第24章 信息系统评价

1 系统评价是指根据预定的系统目的，在系统调查和可行性研究的

130 / 142

基础上，主要从技术和经济方面，就各种系统设计的方案所能满足

需要的程度及消耗和占用的各种资源进行评审和选择，并选择出技

术上先进、经济上合理、实施上可行的最优或满意方案。

2 根据评价与系统的关系，可区分出评价类型：

评价与系统的

关系

评价与决策 决策前评价；决策中评价；决策后

评价

评价与系统发

展过程

评价与信息特

征

基于数据的评价；基于模型的评价；

基于专家知识的评价；基于数据、

模型、专家知识评价

3 评价的基本要素：评价者、评价对象、评价目标、评价指标、评

价原则和策略。

24.1 信息系统评价概述

24.1.1 信息系统评价的概念和特点

4 根据信息系统的特点、系统评价的要求与具体评价指标体系的构

成原则，可从技术性能评价、管理效益评价和经济效益评价3个方

面对信息系统进行评价。

24.1.2 信息系统的技术性能评价

5 信息系统技术性能评价主要包括哪些内容？

答：（1）系统的总体技术水平，包括网络的结构、系统的总体结构；

131 / 142

评价的类型

事前评价；事中评价；事后评价

所采用的技术先进性、实用性；系统的正确性和集成程度。

（2）系统的功能覆盖范围，对各个管理层次及业务部门的支持

程度，满足用户要求的程度、数据管理的规范。

（3）信息系统开发和利用的范围和深度。包括是否优化了业务

流程；人、财、物的合理利用，对市场客户等信息的利用率。

（4）系统质量。人机交互的灵活性与方便性，系统响应时间与

信息处理速度满足管理业务需求的程度，输出信息的正确性与精确

度，单位时间内的故障次数与故障时间在工作时间中的比例，系统

结构与功能调整、改进和扩展、与其他系统交互或集成的难易程度，

系统故障诊断、故障恢复的难易程度。

（5）系统安全性，保密措施的完整性、规范性和有效性，业务

数据是否会被修改和被破坏，数据使用权限是否得到保证。

（6）系统文档资料的规范、完备与正确程度。

24.1.3 信息系统的管理效益评价

6 简述管理效益评价的内容？

答：管理效益即社会效益，是间接的经济效益，是通过改进组织结

构与运作方式、提高人员素质等途径，促使成本下降、利润增加而

逐渐地间接获得的效益。

管理效益评价可以反过来从系统运行产生的间接管理作用和价值来

进行评价：

（1）系统对组织适应环境所作的结构、管理制度与管理模式等的变

革所起的作用。

（2）系统帮助改善企业形象、对外提高客户对企业的信任度，对内

132 / 142

增强员工的自信心和自豪感的程度。

（3）系统使管理人员获得许多新知识、新技术与新方法和提高技能

素质的作用。

（4）系统对实现系统信息共享的贡献，对提高员工协作精神及企业

的凝聚力的作用。

（5）系统提高企业的基础管理效率，为其他管理工作提供有力条件

的作用。

24.1.4 信息系统成本的构成

7 信息系统的成本有哪些内容构成？

答：（1）系统运行环境及设施费用。

（2）系统开发成本。

（3）系统运行与维护成本。

可以从功能属性角度将其划分：

（1）基础成本（开发阶段所需投资和初步运行所需各种设施的建设

费用，如开发成本、基础设施购买费、信息材料成本费）；

（2）附加成本（指运行维护过程中增加的新的消耗，如材料耗损费、

折旧费、业务费）；

（3）额外成本（由于信息的特殊性质而引起的成本耗费，如信息技

术以及信息交流引起的通信费）；储备成本（在信息活动中作为储

备而存在的备用耗费，如各种公积金）。

（1）开发成本，指在信息系统的分析设计过程中的耗费，包括市场

调研费用、人力耗费。

（2）基础设施购买费，在信息系统建立之初对硬件设备的购买费用。

133 / 142

（3）信息材料成本费，对信息活动中所需利用的信息资料的购买费

用。

（4）各种耗损费，信息材料耗损费（因材料的时效性和材料使用程

度而引起的损耗）；物质材料损耗费（能源损耗和原材料的损耗）；

固定资产损耗、折旧费（各项固定资产的折旧）。

（5）通信费用。为进行系统内外交流引起的费用，如联网所缴纳的

上网费、软件购买费。

（6）调研费用和咨询费用。包括上级部门委托或自身需要或接受外

来委托所进行的调研、咨询过程中产生的耗费，也被称为业务费）。

（7）劳务费。包括职工工资、离退休人员工资及出差的差旅费。

（8）各种管理费。对人员的管理，如职工医药费福利措施以及对系

统内部资源的维护与管理费用。

（9）税金。

24.1.5 信息系统经济效益的来源

8 信息系统的效益主要从创收和服务活动中获得，按其属性可分为

固有收益（指能长期进行的产品服务和科研基金的申请）、直接收

益（从各种服务和信息产品销售中直接获得）、间接收益（信息产

品或服务的成果被再次利用所产生的收益），具体包括哪些内容？

答：（1）科研基金费及科学事业费。

（2）系统人员进行技术开发的收入。

（3）服务收入。

（4）生产经营收入。

（5）其他收入。

134 / 142

24.1.6 信息系统经济效益的评价方法

9 信息系统经济效益的评价方法包括哪几种？请具体说明。

答：（1）投入产出分析法：分析手段是投入产出表，根据系统的实

际资源分配和流向，列出所有投入产出，制成二维表。适用于从系

统角度对系统做经济性分析，数据源一般为系统硬指标（数据库、

设备、人员的消耗费用）。

（2）成本效益分析法：用一定的价格，分析测算系统的效益成

本，从而计算系统的净收益，判断经济上的合理性。关键是效益值

的测算，包括有形经济效益和无形社会效益。

（3）价值工程方法：价值工程方程式:V（产品价值）=F（功能）

/C（成本）

C数量化相对容易，F难以量化，采取的方式是分析系统的功能，对

每一项确定质量评价指标，通过调查，请专家、核心用户对各项功

能打分、评价，由此确定个功能的权值和功能系数。为改进现有系

统而进行工作评价时，用价值工程方法分析功能、成本的变动对价

值的影响尤为有效。

24.1.7 信息系统的综合评价

10 信息系统多指标综合评价包括哪3方面内容？

答：（1）综合评价指标体系及评价标准的建立，是评价工作的前提；

（2）用定性或定量的方法确定各指标具体数值；（3）各评价值的

综合，包括综合算法和权重的确定、从评价值的计算。

11 多指标综合评价的特征是什么？

答：（1）包含多个独立指标；

135 / 142

（2）指标分别体现信息系统的多个方面，通常具有不同的量纲。

（3）目的是对系统做出一个整体性的判断，并用一个总体评价

值来反映信息系统的一般水平。

24.2 信息系统评价项目

24.2.1 建立评价标准

12 在信息系统周期的不同阶段，应用绩效评价的作用是不同的，这

些不同具体体现在哪些方面？

答：（1）系统规划期，重点关注如何识别满足业务目标的IT系统，

同时规划战略目标，并从不同的层面沟通和管理，建立良好的组织

架构和技术基础架构是必不可少的；

（2）系统设计期，理解IT战略后，识别、开发或获取、实施IT

解决方案，保持项目的方向；

（3）系统转换期，主要是对已有系统的变更与维护，确保系统

生命周期的持续改进；

（4）系统运行期，重点在于考核系统找出问题反馈修正系统，

关注服务的价值交付，以及应用系统的实际数据处理流程及系统安

全性。

13 对于信息系统的评价，首先应确定相应的系统评价者、评价对象、

评价目标、评价指标和评价原则及策略，编写《信息系统评价计划

书》。

14 信息系统评价步骤包括哪些内容？

答：（1）确定评价对象，下达评价通知书，组织成立评价工作组和

专家咨询组。

136 / 142

（2）拟定评价工作方案，搜集基础资料。

（3）评价工作组实施评价，征求专家意见和企业反馈，撰写评

价报告。

（4）评价工作组将评价报告报送专家咨询组复合，向评组织机

构送达评价报告和选择公布评价结果，建立评价项目档案。

24.2.2 设置评价项目

15 国家信息化评测中心已推出我国第一个信息化指标体系—《企业

信息化测评指标体系》，包括3部分：一套基本指标；一套补充指

标即效能评价；一套评议指标即定性指标。

24.3 评价项目的标准

16 评价标准：性能评价标准；运行质量评价标准；系统效益评价标

准。

24.3.1 性能评价标准

17 性能评价标准指标体系：可靠性、效率、可维护性、可扩充性、

可移植性、实用性、适应性、安全保密性。

24.3.2 运行质量评价标准

18 系统运行质量评价是指从系统实际运行的角度出发对系统性能

和建设质量进行的分析、评估和审计。系统评价的步骤:根据评价的

目标和目的设置评价指标体系，对不同的系统评价目的应建立不同

的评价指标体系，然后根据评价指标体系确定采用的评价方法，围

绕确定的评价指标对系统进行评价，最后给出评价结论。

19 运行质量评价指标：预定的系统开发目的的完成情况；运行环境

的评价；系统运行使用评价；系统的质量评价。

137 / 142

20 系统质量评价指标：系统对用和业务需求的相对满意程度;系统

开发工程的规范与否；系统功能的先进性、有效性、和完备性；系

统的性能、成本、效益综合比；系统运行结果的有效性和可行性；

结果是否完整；信息资源的利用率；提供信息的质量如何；系统实

用性。

24.3.3 系统效益评价标准

21 系统效益评价指对系统的经济效益和社会效益的评价。

22 成本效益法是用系统所消耗的各种资源与收获的收益做比较。主

要步骤：（1）明确企业管理信息化的成本和收益的组成；（2）将

成本和收益量化，计算货币价值；（3）通过一定技术经济分析模型

或公式，计算所用的指标；（4）比较成本和收益的平衡关系，做出

经济效益评价的结论。

23 企业信息化的成本包括：设备购置费用；设施费用；开发费用；

系统运行维护费用。

24 企业信息化的收益：产值增加所获得利润收益；产品生产成本降

低所节约的开支。

25 系统效益评价方法5种：差额计算法（经济效益=可能收入-可能

支出，用于信息系统初步构想时的粗略概算）；比例计算法（经济

效益=产出/投入，评价信息系统的技术经济效益）；信息费用效益

评价法（现值指数法，用于公共事业）；边际效益分析（每变动一

个单位的生产量而收益变动的数量，若每单位生产增加时，其边际

效益大于边际成本，表示这一单位的生产所获在扣除成本后仍有剩

余，因此总利润增加则愿意生产，反之则减少生产，只有当两者相

138 / 142

等是，才能稳定，此时虽无利润可赚，但总利润最大，此时边际效

益实际上就是该产品市场均衡价格，即MR=P）；数学模型法（包括

图解法和线性模型法）。

24.4 系统改进建议

26 评价报告有正文、附录两部分组成，正文包括：企业系统基本情

况描述；主要各项绩效指标对比分析；评价结论；评价依据和评价

方法。附录包括评价工作的基础文件和数据资料。

27 评价报告应该有独立的审计人员进行审核，即评价工作程序是否

完整；评价方法是否正确；选用评价方法是否适当；评价报告是否

符合规范。

28 常见系统改进建议有哪两类？

答：（1）系统修改或重构的建议；（2）系统开发说明书的建议。

第25章 系统用户支持

25.1 用户角度的项目

25.2 用户支持

1 用户支持包括哪些内容？

答：（1）软件升级服务，在服务期限内客户可以根据自己的需要免

费升级到新的版本和移植到新的平台。

（2）软件技术支持服务，提供基于Internet的电子化支持，提供5×8

小时及7×24小时远程电话支持服务。

（3）远程热线支持服务（SupportLine for Mibble-Ware），提供

基于Internet的电子化支持，7×24小时远程电话支持服务。

139 / 142

（4）全面维护支持服务（EPSA for Mibble-Ware），提供基于Internet

的电子化支持提供7×24小时远程电话支持服务，提供客户现场技

术服务。

（5）用户教育与培训服务，对于软件的使用用户提供软件的使用培

训，制定相应的教育培训计划，提供相关人员进行实施。

（6）提供帮助服务台，解决客户的一些常见问题。

25.3 用户咨询

2 用户咨询方式：直接咨询服务；电话服务；公告板或讨论组；电

子邮件；网上表格、网上实时咨询服务、网络会议咨询服务、专家

咨询服务、合作的数字参考服务。

25.4 帮助服务台

3 服务台的主要职能包括哪些内容？

答:（1）接受客户请求（通过电话、传真、电子邮件）；

（2）记录并跟踪客户意见；

（3）及时通知客户其请求的当前状况和最新进展；

（4）根据服务级别协议，初步评估客户需求，尽力解决他们或

将其安排给有关人员解决；

（5）根据服务级别协议要求，监督规章制度的执行情况并在必

要的时候对其进行修改；

（6）对客户请求从提出直至验证和终止的整个过程进行管理；

（7）在需要短期内调整服务级别协议时及时与客户沟通；

（8）协调二线支持人员和第三方支持小组；

（9）提供管理方面的信息和建议以改进服务绩效；

140 / 142

（10）根据用户的反馈发现IT服务运营过程中产生的问题；

（11）发现客户培训和教育方面的需求；

（12）终止事故并与客户一道确认事故的解决情况。

4 服务台的分布模式主要有：分布式、集中式、虚拟式。

5 对服务台员工素质的要求是由服务台的任务和结构决定的，服务

台员工包括哪几类？

答：接线员、初级服务员、中级服务员和高级服务员。

6 客户和用户的满意度是评价服务台工作的主要指标，可以从哪几

个方面进行评价？

答：（1）电话应答是否迅速；

（2）呼叫是否按时传送给二线支持；

（3）是否按时恢复服务；

（4）是否及时通知用户正在实施的变更和将来需要实施的变更。

（5）首次修复率；

（6）服务台员工接电话是否有礼貌；

（7）用户是否的得到预防事故发生的建议。

25.5 人员培训服务

7 培训需要包括哪些内容？

答：（1）经理管理级的培训（A级）。培训着重于计算机管理系统

对管理的影响，具有的意义，计算机管理系统的业务流程、票据流

转规范。

（2）使用人员的培训（B级），即后台操作人员的培训，强调保

证录入数据的正确性。

141 / 142

（3）系统维护员的培训（C级），着重于计算机管理系统的总体

结构、参数设备、系统安装的培训。

8 培训的方式有哪些？

答：（1）职业模拟培训模式；

（2）实际操作培训模式；

（3）沙盘模拟配需模式。

142 / 142