(文 / 老孙)
高项倒计时冲刺特辑 Day 28 | 免费
字数约 7000,阅读大约需 14 分钟
一、开场:管理框架这一家子,到底是干嘛的?
各位老铁,今天咱们聊一个"看起来高大上、实际上很接地气"的话题——管理框架四件套。
什么是管理框架四件套?就是高项教材第3章、第4章、第20章里反复出现的四个家伙:IT治理、IT审计、ITIL、CMMI。
一提到这四个词,很多同学的第一反应是"又是一堆英文缩写,记不住"。别急,老孙先给你打个比方,你就秒懂了。
想象你住在一个大型小区:
- IT治理 = 业主委员会 + 开发商的管理层。它负责"定方向、做决策"——小区要不要建游泳池?要不要引入智能门禁?钱花在哪儿?这些战略级的问题,由它来拍板。
- IT审计 = 纪检委 / 审计局。它负责"查问题、提意见"——业委会的钱花得对不对?物业公司有没有偷工减料?审计员拿着放大镜挨个查,查完给你一份审计报告。
- ITIL = 物业管理手册。它负责"日常运营怎么干"——水管爆了找谁?电梯坏了走什么流程?业主投诉怎么处理?ITIL就是一套标准化的物业服务操作手册。
- CMMI = 物业公司的"星级评定"。它负责"你干得好不好,处在什么水平"——一星物业只会扫扫地,五星物业能做到预见性维护、持续优化。CMMI就是给组织的管理能力"打星评级"。
看到了吗?IT治理站在最上面,管的是"方向和决策";IT审计在旁边盯着,管的是"合不合规";ITIL在下面,管的是"日常服务怎么干";CMMI也在下面,管的是"你的能力到了几级"。
这四个家伙各司其职,但又相互关联。考试时特别爱考它们之间的"区别与联系"。
考试分值:这四个框架在选择题中大约占5-8分,几乎每年都会出2-4道相关题目。不算多,但都是"知道就能拿分、不知道就白送分"的送分题。
好,下面我们一个一个来扒。
二、IT治理:董事会级别的"顶层设计"
2.1 IT治理到底是什么?
先说定义。教材原话是:
IT治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织战略目标的过程。
翻译成人话:IT治理就是让"花在IT上的钱"真正产生价值,同时别把组织搞崩了。
注意两个关键词:价值 和 风险。IT治理的本质就是在这两者之间找平衡。
2.2 IT治理 vs IT管理:这道题年年考
很多同学分不清"治理"和"管理"。老孙教你一个秒杀口诀:
治理 = 决策层(董事会)干的事;管理 = 执行层(CEO带着团队)干的事。
| 对比维度 | IT治理 | IT管理 |
|---|---|---|
| 谁来做 | 董事会 / 治理层 | CEO / 高管团队 |
| 做什么 | 评估、指导、监督 | 计划、构建、运行、监控 |
| 关注点 | 方向、价值、风险 | 效率、质量、交付 |
| 类比 | 给出目的地(去北京) | 规划路线、开车到达 |
考试陷阱:题目经常把"治理"和"管理"的动词搞混。记住:治理的三板斧是"评估、指导、监督"(EDM),管理的四步走是"计划、构建、运行、监控"。看到"评估、指导、监督"就选治理,看到"计划、运行"就选管理。
2.3 IT治理六大核心内容
教材说IT治理有六大核心内容,这是一个高频考点:
速记口诀:"组战资,价风绩"(谐音:组战姿,驾风机 -- 摆好战斗姿势,驾着风力飞机)
- 组织职责:谁负责什么,权责分明
- 战略匹配:IT战略和业务战略要对齐
- 资源管理:人、钱、技术合理分配
- 价值交付:IT投资要产出业务价值(创造价值)
- 风险管理:保护IT资产安全(保护价值)
- 绩效管理:用平衡计分卡等工具量化评估
2.4 COBIT框架:IT治理的"国际标准教科书"
提到IT治理,就绕不开COBIT(Control Objectives for Information and Related Technologies)。COBIT是ISACA(国际信息系统审计协会)编制的IT治理与管理框架。
COBIT的核心模型把目标分成五个领域、40个治理和管理目标:
| 领域 | 缩写 | 性质 | 具体内容 |
|---|---|---|---|
| 评估、指导和监控 | EDM | 治理 | 5个治理目标,由董事会负责 |
| 调整、规划和组织 | APO | 管理 | IT整体战略和支持活动 |
| 内部构建、外部采购和实施 | BAI | 管理 | IT解决方案的定义、采购、实施 |
| 交付、服务和支持 | DSS | 管理 | IT服务的运营交付和支持 |
| 监控、评价和评估 | MEA | 管理 | IT性能监控与合规性评估 |
速记口诀:治理只有一个——EDM(评估指导监控);管理有四个——APO、BAI、DSS、MEA(谐音:阿婆摆弄DSS美呀)。
考试重点:COBIT最爱考的就是"治理vs管理"的区分。看到EDM就是治理,看到APO/BAI/DSS/MEA就是管理。治理由董事会和执行管理层负责,管理在高级和中级管理层的职责范围内。
三、IT审计:拿着放大镜的"检查官"
3.1 IT审计是什么?
IT审计就是拿着标准和规范,对组织的信息系统及其IT内控进行检查、评价,然后发表审计意见。
如果说IT治理是"定规矩",那IT审计就是"查规矩执行得怎么样"。
IT审计的目的:了解组织IT系统整体状况,评价是否实现IT目标,识别IT风险,提出改进建议。
3.2 IT审计 vs 传统财务审计
| 对比维度 | 传统财务审计 | IT审计 |
|---|---|---|
| 审什么 | 会计报表、财务数据 | 信息系统、IT内控、数据完整性 |
| 重要性含义 | 错报/漏报对报表使用者决策的影响 | IT风险对组织的影响(业务中断、数据泄露等) |
| 风险类型 | 重大错报风险 | 固有风险、控制风险、检查风险 |
| 谁来做 | 注册会计师 | IT审计师(如CISA持证人) |
3.3 审计流程四阶段:准实终续
审计流程分为四个阶段,这是高频考点:
速记口诀:"准实终续"(准备 -> 实施 -> 终结 -> 后续)
几个容易出题的细节:
- 审计实施阶段是核心环节,也是"关键阶段",关系到整个审计工作的成败
- 后续审计不是一次新的审计,而是前一次审计的有机组成部分
- 审计终结阶段要出具审计报告,这是最终产出物
3.4 IT审计的两大业务分类
| 大类 | 子类 | 审什么 |
|---|---|---|
| IT内部控制审计 | 组织层面IT控制审计 | IT战略、架构、风险管理、外包管理等 |
| IT一般控制审计 | 应用系统、数据库、操作系统、网络相关控制 | |
| 应用控制审计 | 输入控制、处理控制、输出控制 | |
| IT专项审计 | 生命周期审计、运维审计、安全审计、项目审计、数据审计等 | 针对特定风险或需求的专项检查 |
四、ITIL:IT服务管理的"百科全书"
4.1 ITIL是什么?
ITIL(IT Infrastructure Library,IT基础设施库)是一套IT服务管理的最佳实践框架。它不是一个标准,而是一个"操作指南"——告诉你IT服务应该怎么干、怎么管。
教材第4章在"IT服务管理"这个小节里,列出了ITIL中的关键活动。虽然教材没有大篇幅展开ITIL 4的完整框架,但考试会考其中几个核心概念。
4.2 IT服务管理的11个活动
教材明确列出了IT服务管理的11个活动(与ITIL高度对应):
4.3 高频考点:事件(Incident)vs 问题(Problem)
这是考试中出镜率最高的辨析题,几乎每隔一两年就考一次。
事件:IT服务遭遇计划外中断或质量下降。说白了就是"系统出故障了"——网断了、软件崩了、打印机不出纸了。事件管理的目标是尽快恢复服务,不管你用什么办法,先让系统跑起来再说。
问题:几个看起来有相同或相似根本原因的事件,就构成一个"问题"。问题管理的目标是找到根本原因、减少事件复发。
| 对比维度 | 事件(Incident) | 问题(Problem) |
|---|---|---|
| 是什么 | 服务中断或质量下降 | 多个事件的共同根本原因 |
| 目标 | 尽快恢复服务 | 找到根因,减少复发 |
| 时间视角 | 当下、紧急 | 长期、根治 |
| 类比 | 头疼吃止痛药 | 去医院查清为什么总头疼 |
| 处理方式 | 临时解决方案(workaround) | 永久解决方案(根因修复) |
口诀:"事件灭火,问题挖根"。
考试陷阱举例:题目描述"某公司的邮件系统本月第三次宕机,技术人员每次都重启服务器解决"。问:这属于什么管理?答案是事件管理(因为只是重启恢复,没有去查根因)。如果题目改成"技术人员对三次宕机进行了关联分析,发现是内存泄漏导致的",那就是问题管理了。
4.4 其他关键活动速记
- 变更管理:确保所有变更都经过评审和控制,标准化方法处理变更,减少变更带来的服务影响。注意:变更管理重在"过程"和"管理",不是技术。
- 配置管理:维护CMDB(配置管理数据库),记录所有配置项信息及其关系。CMDB是IT服务管理的"家底清单"。
- 服务台:IT服务干系人的"官方接口",是沟通、协调、响应的窗口。
- 服务级别管理:通过SLA(服务水平协议)约定服务标准,持续监控和改进。
五、CMMI:给组织管理能力"打星评级"
5.1 CMMI是什么?
CMMI(Capability Maturity Model Integration,能力成熟度模型集成)是用来评估和指导组织管理过程改进的模型。当前版本是CMMI 2.0。
如果说ITIL告诉你"该怎么做",CMMI告诉你"你做到了什么水平"。
5.2 五个成熟度等级:核心中的核心
CMMI把组织的成熟度分为5个等级,这是必背考点:
速记口诀:"初管定量优"(初始 -> 管理 -> 定义 -> 量化 -> 优化)
每个等级的核心特征,老孙用一句话帮你记住:
| 等级 | 名称 | 一句话特征 | 生活类比 |
|---|---|---|---|
| 1级 | 初始级 | 能干但没谱,靠个人能力 | 新手司机,能开但全凭感觉 |
| 2级 | 已管理级 | 项目级别有计划有监控 | 按导航开车,但只会一条路线 |
| 3级 | 已定义级 | 组织级标准流程,制度化 | 驾校教练,有标准教学流程 |
| 4级 | 量化管理级 | 用统计数据量化管理 | 赛车手,靠数据调校引擎 |
| 5级 | 优化级 | 持续优化,主动创新 | F1车队,数据驱动+持续创新 |
考试重点:
- 2级和3级的区别:2级是"项目级"的管理(每个项目可以用自己的方式),3级是"组织级"的标准化(全组织用统一流程)。这是最爱考的辨析点。
- 4级和5级是"高成熟度等级",以量化方式关注效率效能提升和持续改进。
- 每个等级都包含低等级的要求:5级包含4级,4级包含3级,以此类推。
5.3 CMMI的四大能力域类别
CMMI 2.0将最佳实践归为四大类:
| 类别 | 英文 | 做什么 |
|---|---|---|
| 行动 | Doing | 生产和提供优秀解决方案 |
| 管理 | Managing | 策划和管理解决方案实施 |
| 使能 | Enabling | 支持解决方案实施和交付 |
| 提高 | Improving | 维持和提高效率效能 |
速记:"行管使提"(行动、管理、使能、提高)。
5.4 基于CMMI的过程改进六步法
组织要做CMMI改进,走六步:
- 定义改进目标:跟组织业务目标对齐
- 建立改进团队:跨部门关键角色组成
- 开展差距分析:对照目标成熟度级别,找差距
- 导入培训和过程定义:学最佳实践,定义标准过程
- 过程部署:在组织内全面推行标准过程
- CMMI评估:三种评估方法(基准评估、维持性评估、评价评估)
六、终极对比:COBIT vs ITIL vs CMMI
这三者的对比是高频考点中的高频考点。很多同学容易混淆,老孙用一张表帮你彻底理清:
| 对比维度 | COBIT | ITIL | CMMI |
|---|---|---|---|
| 全称 | 信息和技术治理框架 | IT基础设施库 | 能力成熟度模型集成 |
| 制定者 | ISACA(国际信息系统审计协会) | 英国OGC(后转至AXELOS) | CMMI Institute |
| 定位 | IT治理与管理框架 | IT服务管理最佳实践 | 过程改进与能力评估 |
| 关注焦点 | 治理层面 -- "做对的事" | 服务运营 -- "把事做对" | 能力水平 -- "做到几级" |
| 核心产出 | 40个治理和管理目标 | 服务管理流程与实践 | 5个成熟度等级 |
| 适用对象 | 董事会、高管层 | IT服务团队、运维团队 | 研发管理、项目管理团队 |
| 类比 | 交通法规 | 驾驶手册 | 驾照等级考试 |
速记口诀:"COBIT管方向,ITIL管服务,CMMI管等级"。
选择题排除技巧:
- 题目出现"治理""董事会""战略对齐""评估指导监督" -> 选COBIT / IT治理
- 题目出现"服务台""事件""问题""变更""SLA" -> 选ITIL / IT服务管理
- 题目出现"成熟度等级""过程改进""量化管理""能力域" -> 选CMMI
- 题目出现"审计""检查评价""审计报告""合规性" -> 选IT审计
七、四件套关系全景图
最后,我用一张图帮你把四者的关系串起来:
一句话总结:IT治理在最上面定方向,COBIT是治理的国际框架,ITIL在服务层面落地执行,CMMI在能力层面评级提升,IT审计则在旁边全程监督检查。
八、考前速记卡
8.1 IT治理速记
- 定义:有效机制 + 平衡风险 + 确保战略目标
- 三板斧:评估、指导、监督(EDM)
- 六大核心:"组战资,价风绩"
- COBIT:5个领域、40个目标,EDM是治理,APO/BAI/DSS/MEA是管理
- 治理 vs 管理:治理定方向(董事会),管理干活儿(CEO团队)
8.2 IT审计速记
- 目的:检查评价IT系统,识别风险,提出建议
- 四阶段:"准实终续"(准备-实施-终结-后续)
- 实施阶段是核心环节
- 后续审计不是新审计
- 两大业务:IT内部控制审计 + IT专项审计
8.3 ITIL速记
- 定位:IT服务管理最佳实践
- 11个活动:服务台 + 事件/问题/变更/配置/发布管理 + 服务级别/财务/容量/连续性/可用性管理
- 核心辨析:"事件灭火,问题挖根"
- 变更管理重"过程"不重"技术"
8.4 CMMI速记
- 全称:能力成熟度模型集成,当前V2.0
- 五级:"初管定量优"
- 2级 = 项目级管理,3级 = 组织级标准化
- 4级+5级 = 高成熟度等级(量化+优化)
- 四大类别:"行管使提"
- 改进六步:目标-团队-差距-培训-部署-评估
九、实战演练:5道典型选择题
题1:IT治理的核心内容不包括以下哪项?
A. 战略匹配 B. 价值交付 C. 事件管理 D. 风险管理
答案:C。事件管理属于ITIL/IT服务管理的范畴,不属于IT治理的六大核心内容。IT治理六大核心是:组织职责、战略匹配、资源管理、价值交付、风险管理、绩效管理。
题2:在COBIT框架中,"评估、指导和监控(EDM)"属于( )的职责范围。
A. 项目经理 B. 治理机构 C. 运维团队 D. 开发团队
答案:B。EDM是COBIT中唯一的治理领域,由董事会和执行管理层(即治理机构)负责。
题3:某公司的CRM系统在一周内发生了3次无法登录的故障,每次技术人员都通过重启服务解决。这种处理方式属于( )。
A. 问题管理 B. 事件管理 C. 变更管理 D. 配置管理
答案:B。每次都是"重启恢复",是事件管理的典型做法(临时解决方案,快速恢复服务)。如果对3次故障进行根因分析并找到根本原因,才属于问题管理。
题4:CMMI模型中,组织能够建立标准过程并实现制度化,属于( )。
A. 初始级 B. 已管理级 C. 已定义级 D. 量化管理级
答案:C。已定义级(3级)的核心特征就是"组织级标准流程+制度化"。2级是项目级管理,4级才到量化。
题5:以下关于COBIT、ITIL、CMMI的描述,正确的是( )。
A. ITIL侧重于IT治理的顶层设计
B. COBIT主要用于IT服务的日常运营管理
C. CMMI主要用于指导组织项目管理过程的改进
D. ITIL和CMMI定位相同,可以互相替代
答案:C。A错,ITIL侧重服务管理不是治理;B错,COBIT侧重治理不是日常运营;D错,ITIL管服务流程,CMMI管能力等级,定位不同不能互替。
十、收尾:管理框架不用怕,记住定位就能答
今天这篇文章,我们用"小区管理"的类比,把IT治理、IT审计、ITIL、CMMI这四件套的核心概念和考试重点全部过了一遍。
最后帮你提炼成一句话:
IT治理定方向(评估指导监督),IT审计查问题(准实终续),ITIL管服务(事件问题变更),CMMI评等级(初管定量优)。
这四个框架,每个记住一个核心定位 + 一个速记口诀,考试时就能快速排除错误选项。
明天Day 29,我们进入法律法规和标准化相关考点。各位加油,冲刺阶段每一分都值得争取。
我是老孙,陪你一起拿下高项。
本文为"2026年高项冲刺特辑"系列 Day 28
作者:老孙 | 公众号:软考找老孙