前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇運維服務管理制度范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

運維服務管理制度范文第1篇

傳統被動的、孤立的、分散的“救火隊”式IT運維管理模式，讓IT部門疲憊不堪。而且，隨著公司業務模式的復雜化和多樣化，更帶來IT運營環境的復雜性和不確定性。在IT運維系統時，IT部門普遍面臨多種新的復雜的情況和問題。主要有以下幾個方面：

（1）運維人員被動救火，工作效率低下

在IT運維管理過程中， IT員工工作太被動，只有當事件已經發生并已造成業務影響時才能發現和著手處理。這種被動“救火”不但使IT服務人員終日忙碌，也使IT服務本身質量很難提高，導致IT和業務部門的滿意度都不高等。

其中比較典型的例如IT部門響應服務需求時沒有相應的時間記錄工具，或者因為各種原因導致工作人員不愿使用工具記錄工作情況，這樣不僅不利于處理過程的跟蹤，更不利于知識的積累和知識庫的完善。

（2）流程規范不足，沒有形成閉環跟蹤

在運維流程方面，很多企業IT部門還一直處于原始的基礎狀態。例如在事件處理流程上，存在以下幾種典型的問題：①沒有明確的事件升級標準，例如滿足怎樣的條件后，事件必須從一線轉到二線支持工程師，再轉到三線研發工程師處理。②沒有事件的有限級定義標準，沒有建立優先級和解決時限的關聯關系，從而不能保證事件解決的實效性和 IT 資源的有效利用。③事件產生后沒有明確而唯一的責任人，從而缺乏對事件有效的監控和跟蹤機制。④沒有對事件統一的 IT 服務管理受理的界面，沒有事件完整記錄、沒有及時反饋。

這些都使事件/服務請求處理過程中沒有形成嚴格的閉環管理；沒有建立明確的重大或緊急事件處理流程，從而不能保證在相應事件發生后有效及時地處理。對事件處理過程的記錄比較分散，隨意性很大，沒有控制。更沒有嚴格規范的流程政策和控制手段，使之存在太多的漏洞。整體運行維護情況不能夠一目了然，無法清楚地知道各位員工的工作情況和工作狀態，從而缺少對流程有效的監控和跟蹤。

（3）缺乏運維技術工具

企業缺乏諸如事件監控和診斷工具等技術工具，事件不能在技術工具的支持下得到主動、快速處理。事件和工作任務在分派過程中沒有相應的技術工具記錄所有歷史信息，不便于跟蹤和分析；配置管理信息沒有相關工具支持，不能為配置元素建立復雜的關系、狀態等屬性和提供相應查詢功能。

總的來說，目前諸多企業在IT系統運維方面并沒有高度重視，前期規劃僅為解決短期IT建設問題。但隨著企業規模的不斷擴大，IT系統涉及的設備種類越來越多，對全系統的運營和維護管理提出了近乎苛刻的要求，而相對的則是IT運維的原始和落后的現狀。

建立IT運維管理制度，關鍵在于規范

我們可以看出，在企業信息化發展到一定階段，IT系統建設重點應該要從系統實施轉向以應用運維提升為主，運維質量保障、安全機制變得重要起來，這時除了技術的保障以外，制度保障越顯得重要。

作為CIO，建立完善的IT運維管理制度是最主要的工作內容，是企業信息化有效執行和監督的立足點。由此，CIO應首先是一位管理專家，其次才是技術專家。IT部門本身管理不好，就不可能為業務部門提供滿意的IT服務，業務部門對IT部門的滿意度就會低，滿意度低又會影響IT投資及新項目的開展，使IT部門陷入困境。所以建立高效規范的IT運維管理機制，是CIO走向戰略管理的第一步。對于IT部門來說，可從以下幾個方面來進行IT運維制度化。

（1）轉變運維觀念，樹立規范化意識。樹立制度化的IT運維意識，才能在日常繁雜瑣碎的工作中有效區分任務的優先級，將有限的資源投入到最能滿足“客戶”需要的工作中。

（2）建立事件處理流程，強化規范執行力度。首先需要建立故障和事件處理流程，利用表格工具等記錄故障及其處理情況，以建立運維日志，并定期回顧從中辨識和發現問題的線索和根源。建立每種事件的規范化處理指南，減少運維操作的隨意性，最大程度上降低故障發生的概率。

（3）設立ITIL（信息技術基礎設施庫）服務臺，引入優先處理原則。設立服務臺以確定服務要求和IT運維目標，ITIL指南要求企業定義服務臺的關鍵流程，不僅僅定義流程是什么，還包括它們是如何運作的，還要指出每個流程對企業有什么影響和意義。應用ITIL中的IT服務臺及服務級別協議思想，保證例行的事有相關責任人進行處理；有了服務級別協議，制定事件處理優先級次序，就可把事件再細分為例行事件和例外事件。

（4）最后要引入SLA管理。SLA（Service Level Agreement即服務水平協議），IT部門應該自發給自己負責管理的系統或者客戶服務建立一個能夠量化的運維目標，這樣不僅能夠務實地提高服務質量和管理水平，也能夠在目標達成后作為團隊工作改進的成績得到肯定，提高IT人員的工作成就感。

參照ITIL建立成功運維管理體系的三要素

從IT運維的現狀和發展趨勢來看，ITIL已經成為推進IT運維體系建設和日常操作管理的首要標準和“最佳實踐”參照。ITIL是起源于英國政府自身IT管理需求開發的標準。對照ITIL的九層評估模型，可以發現許多企業目前在人員、流程、技術等三個方面存在很多問題。也就是說，在進行IT運維管理時，要在這三個方面齊頭并進才能從總體上提升IT運維服務管理。

（1）人員組織：在IT運維中人員因素應該是首要考慮的因素。因為ITIL的應用實際上是一個管理活動，特別依靠人的積極參與來完成。在管理過程中，可能涉及到人員的職能、利益、思維模式、工作方式等的轉換，產生的誤解、消極和阻力不容忽視。因此，除了在制度安排、企業文化方面的工作以外，更要積極采取多方面措施誘導和疏通，包括服務意識培訓、ITIL運維技能培養、發展規劃和激勵等方式。

（2）管理流程：運維流程設計是ITIL實施核心之一，它必須結合現狀，既不是現有管理流程的直接轉述和電子化，也不是完全依照最佳實踐的照搬拷貝。①流程是分階段的目標定義、設計、固化、評價和改進過程。②ITIL作為IT部門內部管理的流程，存在和外部流程的接口整合銜接的問題，需要在運維流程設計和流程自動化處理等環節中妥善解決。另外，還應該充分了解：運維流程既有需要嚴格執行的僵化一面，也有面向效果靈活變通的一面。

（3）技術工具：管理工具是指在IT運維管理過程中能夠借助的用來提高服務質量和效率的所有工具的總稱。對于企業來說，要特別關注兩類工具：①IT運維監控和診斷優化工具；②流程自動化工具。這里需要提醒的地方是，許多企業特別重視IT運維工具本身，而常常忽視了ITIL所倡導的通過流程等制度約束和引導，才能更好地發揮效益。因此，即使沒有引入ITIL運維流程以及電子化平臺，也應該建立并利用一些必要的運維紙質流程和制度，否則難以得到很好的應用。

結論

總之，CIO想在IT系統運維過程獲得最佳的效果，不是單純通過項目建設能夠達到的，高效IT運維系統是需要一個持續改進、不斷優化的長期過程，IT運維管理制度化也必不可少。（作者單位系中國海洋石油總公司）

參考文獻：

【1】左天祖. 中國IT服務管理指南. 北京：北京大學出版社，2004.

運維服務管理制度范文第2篇

2008年，巨人網絡與IRM全球信息科技服務部正式開展戰略合作，依托ITIL對其服務管理進行“標準化改造”。ITIL是一套IT服務管理的最佳實踐指南及標準，它從流程入手，將服務質量、效率等透明化，在可操作性的前提下保證IT服務管理成功實施，同時為IT服務質量衡量提供可審核的標準。

作為IT服務管理的全球領導者，IBM利用自身在ITIL方面的專業能力與深入經驗，為巨人網絡量身定制了端到端的fT服務管理解決方案，建立起了事件管理、問題管理、變更管理及資產與配置管理等幾大流程，同時明確了服務級別、可用性、連續性、IT財物、能力管理以及業務關系和供應商管理等審核標準，還幫助巨人網絡建立起了一支熟悉項目運作的運維工程師團隊。

巨人網絡CTO宋仕良表示“這一項目的成功經驗將在更廣的范圍內推廣，建立起一套更完善的文檔管理制度和相應的文檔模板，包括服務管理政策和計劃、服務級別協議(SLAI、流程描述、相關記錄等，以更加有效地對IT服務進行規劃、實施、運行和控制。與IRM的進一步合作，將從成本、質量和風險等多個方面給公司帶來更多顯著的收益。”

宋仕良認為，網絡游戲要為玩家提供更好的游戲體驗，要從技術層面和策劃層面兩方面入手。技術層面要解決游戲中的問題，比如卡機、掉線、BUG等等，這些問題的解決一定要盡可能地快，對于724小時的網游運維系統來說，一個小時的停頓都是致命的。ITIL實施之后，用戶數據、連接狀態、網絡狀況等都可以實時顯示出來，一出問題，馬上可以接到報警。策劃層面要及時把握玩家的需求，巨人網絡在這方面非常注重。實施ITIL之前，公司一般需要經過四五天或一周的時間，對玩家的意見進行策劃層面的反應，現在已經可以做到當天了解玩家對游戲功能的反饋意見，并于次日對玩家意見進行跟進。

運維服務管理制度范文第3篇

關鍵詞：校園網；運維；DTSM

中圖分類號：TP1 文獻標識碼：A 文章編號：1671—7597（2012）0510159-02

0 引言

近年來，許多學校把信息化的水平作為學校競爭力的核心要素之一，加大了信息化基礎設施、數字化校園和各類應用系統的建設投入。隨著數字化校園網建設的深入推進，信息系統的規模不斷擴大，校園網用戶對網絡的體驗和和依賴性不斷加深，對校園網服務品質要求不斷提升。隨之而來的，是對承擔學校信息化建設和校園網運維工作的網絡中心（或信息中心）等部門，提出了更高的工作要求。

1 校園網的運維現狀

1.1 運維特點

1）響應要求高，因校園網用戶群體普遍比較年輕和活躍，對網絡的依賴性很強并且網絡體驗較深，對網絡質量和服務品質有較高的要求；

2）鏈路層故障比較集中，因設備室基礎環境較差、線路老化和標識不清等原因，50%以上的網絡報障集中在鏈路層面；

3）網絡安全和行為管理工作很重要，

因校園網用戶群體普遍比較活躍、文化教育程度很高，很多人喜歡嘗試各類技術探索，如此一來，規避潛在的計算機網絡業務風險，保障校園網信息平臺系統高效的、安全的運行則是一項重要的工作；

4）缺少統一的運維系統，受限于經費和意識等因素，學校沒有部署統一的運維系統，部分學校也僅部署了網絡監控系統，即便如此，監控的層面和顆粒度都遠遠不能適應服務要求。

1.2 運維需求

按照運維的技術廣度和深度，校園網運維問題主要體現在四個核心需求層面上，即核心層網絡層面、接入層網絡層面、應用數據層面和用戶服務層面。

1）核心層網絡層面包括：核心網（城域網）網絡維護服務、機房環境（含動力系統）維護服務、服務器設備維護服務、網絡安全服務等；

2）接入層網絡層面包括：鏈路維護服務、接入層網絡維護服務；

3）應用數據層面包括：數據庫系統、應用系統和門戶等；

4）用戶服務層面：就是在教學、科研和生活方面提供優質快捷的網絡質量和網絡服務。

1.3 運維模式

校園網運維模式不盡相同，以淮安地區為例，主要運維類型包括以下三種：

1）自行維護：采用設備自行維修，維護工作量最大的鏈路維護交由學生團隊，團隊由網絡中心的老師管理。這種維護模式最大益處是可以節約些經費。但網絡中心困擾于從事低技術含量、重復性的工作等問題。

2）第三方專項維護：把服務器設備的維修維護、或則把網絡鏈路的新增維護、或則把動力系統分包給第三方。這種維護模式的益處是讓學校的老師有更多的精力從事業務系統和關鍵系統的維護，花較少的經費把工作量大而繁瑣，技術含量較低的工作交由第三方負責。但也存在流程脫節、服務不到位等問題。

3）第三方整體外包維護：學校把核心層網絡層面、接入層網絡層面和用戶服務層面整體打包給專業的第三方機構，網絡中心的老師主要關注于業務系統、應用數據層面和科研。這種模式的益處非常明顯，服務方通過各類規范機制，能夠預警或則第一時間處理各類問題，可給用戶提供高質量的網絡、高水平的網絡服務，學校的各個群體對此都很滿意。

2 基于點易科技運維體系的統一運維方案

點易科技運維體系遵循ITIL國際規范和ITSM規范，以IT資源配置管理為核心，緊密圍繞校園網用戶的各項需求，進行了全面的設計。在面對用戶日益復雜的IT環境，整合IT資源，通過運維體系實現對IT基礎架構的統一全面監控和管理，能夠及時采集各類告警數據、性能數據和配置數據，進行集成統一的分析、查詢、報告和展示，幫助運維管理人員方便有效的定位系統問題，直觀快速的診斷和分析問題，將運維模式由被動的支持轉為主動式服務。通過服務臺接收各類告警事件，按照預先定義的事件管理流程完成事件的處理。建立故障管理、問題管理、變更管理、配置管理等八個服務工作流程，通過管理人員、技術和流程的有機結合，實現IT運維管理標準化和規范化，形成一個整體的IT運維體系。

該體系實現了IT服務支持過程的標準化、流程化、規范化，極大地提高了故障應急處理能力，提升了信息部門的管理效率和服務水平。

2.1 統一運維服務體系

整個運維服務體系包括運維技術力量、管理人員、IT綜合資源和IT運維系統（DTSM）四大部分。通過IT運維系統的標準化、流程化的管理方法，實現人管流程，以客戶為中心、以流程為導向的運維服務目的。

2.1.1 統一運維管理體系

統一運維管理采用基于ITIL的服務管理方法論作為指導，建立完善的IT資源綜合維護管理體系。主要包括：服務臺、事件管理、問題管理、資源管理、變更和管理、服務水平管理、知識庫/方案庫管理和績效考核管理等。

2.1.2 統一運維技術力量

按照統一運維技術力量的分布方式和專業性特點，分為一線、二線和三線服務團隊。

1）一線服務團隊：一線服務團隊是指現場駐點或最靠近現場的所有技術維護人員、服務臺人員、項目經理和相關其他服務人員組成的服務團隊。通過統一的運維服務中心對整個校園的各種信息化設備和系統資源進行運維。

2）二線服務團隊：二線服務團隊支持是指點易科技流動服務團隊。具有較高水平的故障分析能力以及豐富的實踐經驗。

3）三線服務團隊：三線服務團隊支持是指合作伙伴和合約廠家。三線服務團隊具有較高的專業技術水平以及豐富的專屬產品實踐經驗和解決方案。

2.2 校園網運維管理平臺（DTSM）

點易科技校園網綜合運維管理平臺（DTSM）是為整合校園網系統運行環境、網絡、服務器與業務應用等的分割管理，實現對IT資源的集中、統一、全面流程管理的專業平臺。平臺系統設計遵循FCAPS、eTOM、ITIL等國際服務管理標準和規范，達到技術、功能、服務三方面的有機整合。以IT資源基礎架構為基礎，實現對各種IT資源的管理、數據采集和實時監控。通過服務臺管理、事件管理、問題管理、變更管理和知識庫管理等各種規范流程和管理方法，實現IT運維的自動化、標準化和規范化。有效融合IT運維管理中的IT資源、監控、運維流程、人力資源和服務各個重要元素。有效提高故障應急處理能力，提升系統運維的管理效率和服務水平。實現校園網用戶入網流程管理、網絡服務流程管理、網絡資源管理和各種視圖展現，平臺能夠與收費系統和主流802.1x廠商認證系統對接并實現數據交互。目前該平臺已經部署在國內多所高校，管理運行情況良好。

2.3 校園網統一運維的特點

校園網實施統一運維后，主要特點包括：1）統一IT運維門戶，資源管理、資源監控、運維流程和服務一體化；2）應需而動、隨需而動的動態業務平臺；可以根據客戶要求二次開發；3）與主流802.1x廠商認證系統對接并實現數據交互；4）可視化、儀表化、智能化導航管理的運維模式；5）豐富的行業經驗、專業的服務管理。

3 校園網統一運維應用案例

3.1 案例說明

某高校有大學城、本部兩個校區，網絡信息點60000多個，接入層設備2000多臺，服務器100多臺，安全和出口設備若干臺，出口帶寬2G。學校的網絡與現代教育技術中心承擔校園網、數字化校園應用系統、基礎教學實驗室和300多間多媒體課室的建設、管理和維護。在2010年度之前各類故障的響應和處理占據了老師和相關技術骨干的主要工作時間。

自從2010年點易科技接手該大學統一運維后，利用前期的調研結果，即著手部署運維平臺（DTSM）、采集和建立統一資源配置庫，建立和規范相關管理制度和流程。將各種IT管理活動按照流程的方式加以組織，并且賦予每個流程以特定的目標、范圍和職能，從而加強了IT管理的全面性和綜合性。

1）采集和建立IT資源配置庫，從工作區的端口編號到設備間的配線架表和對應的接入層交換機、中心機房的服務器、安全設備、應用系統、數據庫、機房動力系統和統一錄入和配置到運維系統的資源配置庫。

2）完善IT資源監控系統和運維系統，通過統一資源配置庫，對網絡設備、服務器設備、服務應用、數據庫系統等資源進行實時采集和監控。值班人員能做通過統一展現平臺，提前發現和解決問題。

3）根據用戶IT管理的特點而建立的各類制度。建立和執行中心機房管理和巡檢制度、變更制度、風險和應急管理制度和服務臺制度。

3.2 校園網統一運維的成效

通過點易統一運維體系實現對IT基礎架構的統一全面監控和管理，以及建立基于流程的標準化服務體系，使該大學IT系統得到穩定、可靠、安全的運行，使該校校園網運維工作步入一個有序的、規范的層次，使IT系統更好的為該大學校園網業務系統提供服務，從而提高整體運行效率，提升運行服務水平。

參考文獻：

[1]王革明、肖琳，基于ITIL的校園網運維服務體系設計與實踐[J].西北工業大學學報（自然科學版），2010（12）.

運維服務管理制度范文第4篇

關鍵詞：IT運維，一站式運維，服務標準，響應時間，優點

引言：一站式運維管理服務圍繞IT運維的最新需求，在提供專業支持能力的同時，覆蓋了IT業務和系統，使得IT資源最大化地作用于企業核心業務發展，促進企業業務收益。本文從服務內容、服務人員、服務方式和相應時間四個方面闡述了一站式運維的內涵，指出一站式運維服務內容具有全面性和多樣性，給出了人員配置的最佳實踐，按照客戶的不同要求訂制的不同服務方式以及制定了服務響應時間的標準。本人最后總結了一站式運維的優點，對一站式運維的前景進行了展望。

目前IT運維業務的日益繁榮，當IT建設的熱潮過后，IT系統的運行維護越發顯得重要。客觀地說，目前企業信息化建設重點已從大規模網絡、平臺、業務系統的建設階段轉向以深化應用、提升應用效益為主要特征的“運行維護”階段。IT建設大潮最終為企業帶來的是IT系統的日益龐大和IT系統支持的業務越來越紛繁復雜。大型企業迫切地需要整合處理IT業務支持和系統支持的服務能力，需要通過對IT運維的統一接口管理來簡化IT運維管理流程，降低故障發生頻率，提高問題處理效率，需要以業務和系統為對象的服務來覆蓋所支持業務運行的IT需求。

一站式運維管理服務方案很好的幫助用戶解決了上述問題。一站式運維管理服務圍繞IT運維的最新需求，在提供專業支持能力的同時，覆蓋了IT業務和系統，使得IT資源最大化地作用于企業核心業務發展，促進企業業務收益。

一站式運維管理服務團隊將針對業務和系統IT現狀進行分析，靈活地訂制服務流程、管理制度及標準交付物，使得所有服務均可追溯、可交付、可量化，提升企業IT的可管理性。同時，針對信息系統特點提出相應的改進建議。用戶只需要一個運維窗口，就能解決所有問題，不再需要針對不同服務內容對口多個服務對象。通過一站式服務管理流程將用戶遇到的所有IT問題進行統一消化處理，明確責任界面，提升處理速度。這樣，在幫助企業合理降低IT運維成本的同時，也為IT系統優化升級提供保障，為用戶提供可靠的IT咨詢服務，降低客戶成本，高效運維，從而在用戶中獲得較高評價。

一站式運維從四個方面關注運維質量和運維結果。它們分別是服務人員、服務內容、服務方式、響應時間。下面我們分別上述四個方面來說明一站式運維的具體內涵。

一、服務內容

一站式運維的服務內容不但涉及服務器硬件也涉及了操作系統、數據庫等基礎環境，更重要的是一站式運維是最關注用戶感受的，一站式運維的核心內容在于對應用系統的運維，它的內容包括：

* 服務器、存儲運維

* 操作系統運維

* 數據庫運維

* 應用系統支撐環境運維(如WebSphere、WebLogic等中間件)

* 應用系統調整、變更

* 應用系統深化應用

* 用戶支持

正是因為運維服務內容的全面性和多樣性，引入一站式運維才能使IT資源最大化地作用于企業核心業務發展，促進企業業務收益。

二、服務人員

一站式運維人員采用前端+團隊的方式進行服務。前端人員在運維中主要承擔IT業務支持和應用層面運維的任務，這些工程師是服務的窗口，他們對業務有著相當程度的了解，用戶與他們的溝通采用業務語言，極大地提高了溝通效率，保障了系統的生命力。

對系統輔助工具的開發，數據庫、操作系統、服務器的運維是通過后端支持團隊實現的。前端應用人員具有專業化的特點，后端運維團隊具有標準化的特點，二者形成了金字塔式的服務團隊，完整的對應用系統的深化應用和運維提供支持。

三、服務方式

一站式運維采用了現場支持服務、遠程服務支持、定期客戶回訪和用戶培訓多種方式相結合的服務方式。在一站式運維中，將按照客戶不同的要求訂制不同的服務方式。

四、響應時間

不管采用一站式運維，還是引入很多新的運維工具，其根本都是為了提高響應時間和客戶滿意度，保障系統的生命力。

在系統運維時根據問題類型劃分嚴重級別，按照嚴重級別做出相應響應。以下是響應承諾示例：

優先級

情況

響應時間

優先級1（P1）系統不能工作，影響用戶業務；

2小時內

優先級2（P2）系統能夠工作，但部分功能失效，數據出現明顯錯誤，性能下降，但不止中斷用戶業務。

4小時內

優先級3（P3）軟件運行尚可，但出現系統報錯或安裝出現問題；

24小時內

優先級4（P4）用戶對產品使用方面的問題、疑問或建議。

48小時內

一站式運維服務管理流程將用戶遇到的所有IT問題進行統一消化處理，明確責任界面，提升處理速度。用戶只需要一個運維窗口，就能解決所有問題，不再需要針對不同服務內容對口多個服務對象。我們相信，一站式運維服務將會得到越來越廣的應用，也將為企業的信息化建設做出更大貢獻。

參考文獻：

[1] 牛新莊. 循序漸進DB2——DBA系統管理、運維與應用案例.北京:清華大學出版社,2009

運維服務管理制度范文第5篇

目前，現代企業經營越來越依賴信息系統，信息系統管理信息、處理業務以及存儲大量的數據。也迫切需要對信息化管理現狀進行全面的審計，以分析評估存在的問題，提出解決方案，完善IT風險控制，保障各信息系統的規范運作，降低信息化風險，提高業務運營的經濟性和有效性。IT審計雖然區別于財務審計，運營審計等常規審計，但其審計方法論仍不可能脫離常規審計所用的方法論。也就是必須對審計目標，審計范圍，審計計劃等等均需進行清晰闡述，并在實施IT審計后，出具具有充分、適當的審計證據支持的IT審計報告。

一般來說，實現全面的IT審計，應當從審計對象的整個生命周期領域、審計對象及組織層次來開展。

一.IT審計范圍

進行IT審計的對象包括但不限于以下領域：1.管理組織與制度；2.項目管理流程規范性 ，包括應用系統的開發、測試與上線管理；3.基礎設施及運維管理；4.信息安全管理；

IT審計涉及的應用系統包括但不限于以下領域：1.生產系統；2.營銷系統；3.辦公自動化系統；

IT審計涉及的組織層次包括但不限于以下領域：1.高層決策者；2.中層管理者；3.技術部門員工；4.業務部門員工。

二.IT審計具體實施

ELC（entity level control）控制。關注客戶在IT治理方面的相關組織架構是否合理，管理制度是不是健全，具體的審計程序就是獲取客戶的組織結構圖，及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。

系統開發和變更。關注系統開發和系統后續變更實施中的控制，具體的審計程序首先就是獲取系統開發及變更相關的管理制度，該文原載于中國社會科學院文獻信息中心主辦的《環球市場信息導報》雜志http：//總第522期2013年第39期-----轉載須注名來源如調閱《系統開發制度》《系統變更管理制度》，二是關注系統開發過程的合理性，如是否經過了需求提出、可行性研究、領導層審批，系統上線之前是否經過了充分的測試，獲取一些內控痕跡和表單，如《××系統需求報告》、《××系統可行性報告》、《××系統立項審批單》、《××系統單元測試報告》、《××系統集成測試報告》、《××系統上線審批單》，《變更審批單》，采取抽樣后穿行測試。

操作系統及數據庫控制。關注操作系統和數據庫的控制，如登錄時密碼控制強度、敏感操作的權限分配、日志的保存。

應用系統控制。關注應用系統控制的合理性。如銀行使用的綜合業務系統（有的叫核心業務系統）、國際結算系統、大小額系統、信貸管理系統等等，關注其安全配置和用戶權限。

接口控制與信息安全。關注其數據準確性、完整性、以及組織級的網絡管理的相關制度，如防火墻的架構，內外網分離程度等。

三.IT審計依據

IT審計依據的來源基本上業界都有很充分的理論依據以及最佳實踐，以下IT控制標準、法律法規、行業最佳實踐都可作為IT審計的依據。

IT標準、規范及最佳實踐； 企業內控框架-COSO；IT治理-COBIT、ISO 38500；IT規劃與架構設計-Zachman、TOGAF、FEA；IT應用系統開發與運維-軟件開發規范、CMMI、ISO9126；IT基礎設施生命周期管理-網絡、主機、安全等設備管理規范；IT服務管理-ITIL、ISO20000；IT項目控制-PMP、Prince2、項目監理規范；信息安全管理-ISO27001、ISO27002；業務連續性計劃-BS25999、ANSI/NFPA 1600；IT應用控制-輸入控制、處理控制及輸出控制；IT資源協同-EAI、SOA、共享中心等……

目前，信息系統的正常運行已經成為銀行業務正常運營的最基本條件之一，信息科技在有力提升銀行核心競爭力的同時，信息科技風險也愈發突出和集中，信息科技風險控制已成為銀行業風險管理的重要內容，而IT審計作為銀行業風險管理體系的重要組成部分，其重要性和必要性已經日益得到銀行業管理層的關注。

IT與其他如財務審計等不同之處，主要在于審計框架是否全面。審計過程仍遵循常規審計步驟，包括審計策劃、審計準備、審計對象調查、實施審計、審計發現復核及溝通、審計報告六大步驟。