一、服务管理（ITSS）

　　A、组成要素（PPTR）：
　　　　1.人员：提供IT服务所需的人员及其知识，经验和技能要求【正确选人】
　　　　2.流程：提供IT服务时，合理利用必要的资源，将输入转化为输出的一组相互关系和结构化的活动【正确做事】
　　　　3.技术：交付满足质量要求的IT服务应使用的技术或具备的技术能力【高效做事】
　　　　4.资源：提供IT服务所依存和产生的有形及无形资产【保障做事】
　　B、IT服务生命周期（PIOIS）：
　　　　1.规划设计：从客户业务战略出发，以需求为中心，参照ITSS对IT服务进行全面系统的战略规划和设计，为IT服务的部署实施做好准备，以确保提供满足客户需求的IT服务。
　　　　2.部署实施：依据ITSS建立管理体系，部署专用工具及服务解决方案。
　　　　3.服务运营：根据服务部署情况，依据ITSS，采用过程方法，全面管理基础设施，服务流程，人员和业务连续性，实现业务运营与IT服务运营融合。
　　　　4.持续改进：根据服务运营的实际情况，定期审批IT服务满足业务运营的情况，以及IT服务本身存在的缺陷，提出改进策略和方案，并对IT服务进行重新规划设计和部署实施，以提高IT服务质量。
　　　　5.监督管理：依据ITSS对IT服务服务质量进行评价，并对服务供方的服务过程，交付结果实施监督和绩效评估。

二、信息系统审计

　　A、目的：评估并提供反馈，保证和建议。
　　B、关注之处：可能性，保密性，完整性。
　　C、组成部分：
　　　　1、信息系统的管理，规划与组织。
　　　　2、信息系统技术基础设施与操作实务。
　　　　3、资产的保护
　　　　4、灾难恢复与业务持续计划
　　　　5、应用系统开发、获得、实施与维护。
　　　　6、业务流程评价与风险管理。
　　D、审计原则：
　　　　1、ISACA公告
　　　　2、ISACA公告职业准则
　　　　3、ISACA职业道德规范
　　E、5个基本原则：
　　　　1、满足利益相关者需求
　　　　2、端到端覆盖企业
　　　　3、采用单一集成框架
　　　　4、启用一种综合的方法
　　　　5、区分治理和管理
　　F、风险的审计方法：企业风险，确定风险，风险评估，风险管理，风险沟通。
　　G、审计步骤：
　　　　1、编制组织使用的信息系统清单并对其进行分类。
　　　　2、决定哪些系统影响关键功能和资产。
　　　　3、评估哪些风险影响这些系统及对商业运作的冲击
　　　　4、在上述评估的基础上对系统分级，决定审计优先值，资源，进度和频率。审计者可以制定年度审计计划，开列出一年之中需要进行的审计项目。
　　H、审计流程：